Festlegen der minimale NTFS-Berechtigungen und Benutzerrechte für IIS 5.x oder IIS 6.0

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Dieser Artikel beschreibt die minimalen Berechtigungen festlegen, die für einen dedizierten Internet Information Services (IIS) 5.0, IIS 5.1 und IIS 6.0-Webserver erforderlich sind.
Die Beschränkung für diesen Artikel
Warnung Dieser Artikel gilt nur für dedizierte Webserver, die IIS-Basisfunktionen wie HTML statische Inhalte oder einfache Active Server Pages (ASP) Inhalt bedienen verwenden. Berechtigungsanforderungen, die in diesem Artikel beschrieben werden, sind nur auf die Basisberechtigungen für einen dedizierten Webserver, auf dem IIS 5 ausgeführt wird.x oder IIS 6.0. In diesem Artikel wird nicht berücksichtigt. andere Produkte von Microsoft und Drittanbietern unterschiedliche Berechtigungen erforderlich. Sie können Server- und Dokumentation für bestimmte Sicherheitsanforderungen überprüfen. Es wird empfohlen, dass Sie Lesen Sie die zugehörige Artikel die für die Rollen Ihres Webservers spezifisch sind.
Schritte vor der Konfiguration von Berechtigungen in einer Produktionsumgebung testen
Bevor Sie auf einem Produktionswebserver Änderungen vornehmen, empfehlen wir, dass Sie die folgenden Schritte ausführen:
  1. Ausführen die aktuellste Version des IIS Lockdown-Tools. Die folgenden Programme und Dienste wurden als Teil der Test-Suite installiert, die zum Testen der Serversicherheit nach der Gewährung der in diesem Artikel beschriebenen Berechtigungen verwendet wurde:
    • Index-Services
    • Die Terminaldienste
    • Skript-Debugger
    • IIS
      • Gemeinsame Dateien
      • Dokumentation
      • FrontPage-Servererweiterungen 2000
      • Internetdienste-Manager (HTML)
      • WWW
      • FTP
  2. Führen Sie die folgende Funktionstests:
    • Hypertext-Dokumente (HTML)
    • Active Server Pages (ASP)
    • FrontPage-Servererweiterungen, verbinden, bearbeiten, Andsaving, wenn FPSE während der Verwendung des Lockdown-Tools aktiviert ist
    • Secure Socket Layer (SSL)-Verbindungen

Inhalt

Show all imageAlles anzeigenHide all imageAlles ausblenden

Erteilen von Besitzrechten und Berechtigungen an den Administrator und an das system

Gehen Sie hierzu folgendermaßen vor:
  1. Öffnen Sie Windows ­Explorer. Dazu klicken Sie aufStart, klicken Sie auf Programme, und klicken Sie dann aufWindows Explorer.
  2. Erweitern Sie Arbeitsplatz.
  3. Maustaste auf das Systemlaufwerk (in der Regel ist dies Laufwerk C), und klicken Sie dann auf Eigenschaften.
  4. Klicken Sie auf die Registerkarte Sicherheit , und klicken Sie dann aufErweitert , um das Dialogfeld Zugriffseinstellungen für LocalDisk zu öffnen.
  5. Klicken Sie auf der Registerkarte Besitzer , aktivieren Sie das KontrollkästchenBesitzer der Objekte und untergeordneten Container ersetzen und dann klicken Sie auf Übernehmen.

    Wenn Ihnen die folgende Fehlermeldung angezeigt wird, klicken Sie auf Weiter:
    Ein Fehler Hasoccurred Security Information to%systemdrive%\Pagefile.sys anwenden
  6. Klicken Sie aufJa, wenn sinngemäß die folgende Fehlermeldung angezeigt:
    Sie haben keine Berechtigung zum Lesen von Inhalt des Verzeichnisses %systemdrive%\System Volume Information - führen Sie dann das Verzeichnis Berechtigungen ersetzen - All-Berechtigung werden ersetzte Grantingyou Vollzugriff
  7. Klicken Sie auf OK , um das Dialogfeld zu schließen.
  8. Klicken Sie auf Hinzufügen.
  9. Fügen Sie die folgenden Benutzer hinzu, und erteilen Sie ihnen die FullControl NTFS-Berechtigung:
    • Administrator
    • System
    • Ersteller-Besitzer
  10. Nachdem Sie diese NTFS-Berechtigungen hinzugefügt haben, klicken Sie aufErweitert, aktivieren Sie das Kontrollkästchen Berechtigung für Allchild Objekte zurücksetzen und Verteilung der erbbaren Berechtigungen aktivieren , und klicken Sie dann auf Übernehmen.
  11. Wenn Sie die folgende Fehlermeldung erhalten, klicken Sie aufWeiter:
    Informationen zu %systemdrive%\Pagefile.sys Applyingsecurity Fehler
  12. Nachdem Sie NTFS-Berechtigungen neu festgelegt haben, klicken Sie aufOK.
  13. Klicken Sie auf die Gruppe "Jeder" , klicken Sie aufEntfernen, und klicken Sie dann auf OK.
  14. Öffnen Sie die Eigenschaften für den Ordner %systemdrive%\ProgramFiles\Common, und klicken Sie dann auf die Registerkarte Sicherheit .Fügen Sie das Konto, das für den anonymen Zugriff verwendet wird. Standardmäßig ist dies TheIUSR_<MachineName> Konto. Dann fügen Sie der Gruppe Benutzer. Stellen Sie sicher, dass Folgendes ausgewählt werden lässtjedoch:<b00> </b00> </MachineName>
    • Lesen Sie & ausführen
    • Ordnerinhalt auflisten
    • Lesen
  15. Öffnen Sie die Eigenschaften für das Stammverzeichnis, das YourWeb Inhalt enthält. Standardmäßig ist dies der Ordner %systemdrive%\Inetpub\Wwwroot.Klicken Sie auf der Registerkarte Sicherheit das Konto IUSR_ hinzufügen<MachineName>Konto und den Benutzern zu gruppieren, und stellen Sie dann sicher, dass nur die folgenden Areselected:<b00> </b00> </MachineName>
    • Lesen Sie & ausführen
    • Ordnerinhalt auflisten
    • Lesen
  16. Wenn Sie schreiben NTFS-Berechtigung ForInetpub\FTProot oder dem Verzeichnispfad für Ihre FTP-Site(s) erteilen möchten, wiederholen Sie bis15.

    Hinweis Wir empfehlen nicht, das anonyme Konto in den Verzeichnissen, einschließlich der Verzeichnisse von der FTP-Dienst verwendet, verwendet NTFS schreiben Permissionsto gewähren. Diese kann zu einem unnötigen Daten auf den Webserver hochgeladen werden.

Deaktivieren der Vererbung in Systemverzeichnissen

Gehen Sie hierzu folgendermaßen vor:
  1. Wählen Sie im Ordner %systemroot%\System32 Allfolders mit Ausnahme der folgenden:
    • Inetsrv
    • Certsrv (falls vorhanden)
    • COM
  2. Mit der rechten Maustaste die verbleibenden Ordner, klicken Sie aufEigenschaften, und klicken Sie dann auf die Registerkarte Sicherheit.
  3. Klicken Sie auf Deaktivieren Sie das Kontrollkästchen Zulassen vererbbareberechtigungen , klicken Sie auf Kopieren, und klicken Sie dann aufOK.
  4. Der Ordner "% SystemRoot%" Wählen Sie alle Exceptthe im folgenden Ordner:
    • Assembly (falls vorhanden)
    • Heruntergeladene Programmdateien
    • Hilfe
    • Microsoft.NET (falls vorhanden)
    • Offline-Webseiten
    • System32
    • Aufgaben
    • Temp
    • Web
  5. Mit der rechten Maustaste die verbleibenden Ordner, klicken Sie aufEigenschaften, und klicken Sie dann auf die Registerkarte Sicherheit.
  6. Klicken Sie auf Deaktivieren Sie das Kontrollkästchen Zulassen vererbbareberechtigungen , klicken Sie auf Kopieren, und klicken Sie dann aufOK.
  7. Anwenden von Berechtigungen auf:
    1. Öffnen Sie die Eigenschaften für den Ordner "% SystemRoot%", klicken Sie auf die Registerkarte Sicherheit , fügen Sie der IUSR_<MachineName> </MachineName> und "IWAM_"<MachineName> </MachineName> Konten und Benutzer gruppieren, und stellen Sie sicher, dass nur die folgenden aktiviert sind:
      • Lesen Sie & ausführen
      • Ordnerinhalt auflisten
      • Lesen
    2. Öffnen Sie die Eigenschaften für den Ordner %systemroot%\Temp Wählen Sie die IUSR_<MachineName> </MachineName> Konto (dieses Konto ist bereits vorhanden, da sie aus dem Ordner "Winnt" erbt wird), und aktivieren Sie dann das Kontrollkästchen Ändern . Wiederholen Sie diesen Schritt für die "IWAM_"<MachineName> </MachineName> -Konto und die Benutzergruppe .
    3. Wenn FrontPage-Servererweiterungen-Clients wie FrontPage oder Microsoft Visual InterDev verwendet werden, öffnen Sie die Eigenschaften für den Ordner %systemdrive%\Inetpub\Wwwroot, wählen Sie die Gruppe Authentifizierte Benutzer , wählen Sie Folgendes aus und klicken Sie dann auf OK:
      • Ändern
      • Lesen Sie & ausführen
      • Ordnerinhalt auflisten
      • Lesen
      • Schreiben

NTFS-Berechtigungen

In der folgende Tabelle sind die Berechtigungen, die angewendet werden, wenn Sie die Schritte im Abschnitt "Deaktivieren der Vererbung in Systemverzeichnissen" aufgeführt. Diese Tabelle dient nur zur Referenz.

Gehen Sie folgendermaßen vor, um die Berechtigungen in der folgenden Tabelle anzuwenden:
  1. Öffnen Sie Windows ­Explorer. Dazu klicken Sie aufStart, auf Programme, klicken Sie aufZubehör, und klicken Sie dann auf WindowsExplorer.
  2. Erweitern Sie Arbeitsplatz.
  3. Maustaste auf systemroot%, und klicken Sie dann aufEigenschaften.
  4. Klicken Sie auf die Registerkarte Sicherheit , und klicken Sie dann aufErweitert.
  5. Doppelklicken Sie auf Berechtigung, und klicken Sie dann Siedie entsprechende Einstellung in der Liste Übernehmen .
HinweisSpalten in der "zuweisen" und der Begriff, den bezieht sich standardmäßig auf"diesen Ordner, Unterordner, Dateien."
Tabelle minimierenTabelle vergrößern
VerzeichnisUsers\GroupsBerechtigungenZuweisen
%systemroot%\ (c:\winnt)AdministratorVollzugriffStandard
SystemVollzugriff Standard
BenutzerLesen, ausführenStandard
%SystemRoot%\System32AdministratorenVollzugriff Standard
SystemVollzugriffStandard
BenutzerLesen, ausführenStandard
%systemroot%\system32\inetsrvAdministratorenVollzugriffStandard
SystemVollzugriff Standard
BenutzerLesen, ausführenStandard
"Inetpub\Adminscripts" AdministratorenVollzugriffStandard
Inetpub\urlscan (falls vorhanden) AdministratorenVollzugriffStandard
SystemVollzugriffStandard
%systemroot%\System32\inetsrv\MetaBackAdministratorenVollzugriffStandard
SystemVollzugriffStandard
%systemroot%\Help\IisHelp\CommonAdministratorenVollzugriff Dieser Ordner und Dateien
SystemVollzugriffDieser Ordner und Dateien
IWAM_<Machinename></Machinename>Lesen, ausführenDieser Ordner und Dateien
NetzwerkVollzugriffDieser Ordner und Dateien
ServiceDieser Ordner und Dateien
BenutzerLesen, ausführenDieser Ordner und Dateien
"Inetpub\Wwwroot" (oder Verzeichnisse mit Inhalten)AdministratorenVollzugriffDieser Ordner und Dateien
SystemVollzugriffDieser Ordner und Dateien
IWAM_<MachineName></MachineName>Lesen, ausführenDieser Ordner und Dateien
ServiceLesen, ausführenDieser Ordner und Dateien
NetzwerkLesen, ausführenDieser Ordner und Dateien
Optional **:BenutzerLesen, ausführenDieser Ordner und Dateien

Hinweis Bei Verwendung von FrontPage-Servererweiterungen muss die authentifizierte Benutzer oder der Benutzergruppe die Berechtigung ändern NTFS erstellen, umbenennen, schreiben oder die Funktionen bereitstellen, die ein Entwickler von einem FrontPage-Client wie Visual InterDev 6.0 oder FrontPage 2002 haben möglicherweise.

Gewähren von Berechtigungen in der Registrierung

  1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Regedt32, und klicken Sie dann auf OK. Abdeckungen Registrierungs-Editor verwenden, da es keine Berechtigungen InWindows 2000 ändern kann.
  2. Im Registrierungs-Editor zu suchen Sie, und wählen SieHKEY_LOCAL_MACHINE.
  3. Erweitern Sie System, erweitern SieCurrentControlSet, und erweitern Sie dann dieDienste.
  4. Wählen Sie den IISADMIN -Schlüssel, klicken Sie aufSicherheit (oder drücken Sie ALT + S), und dann wählen SieBerechtigungen aus (oder drücken Sie P).
  5. Klicken Sie auf Deaktivieren Sie das Kontrollkästchen Zulassen Permissionsfrom Vererbbare übergeordnete an dieses Objekt weitergegeben werden , klicken Sie aufKopieren, und entfernen Sie alle Benutzer mit Ausnahme von:
    • Administratoren (Lesen und Vollzugriff zulassen)
    • System (Lesen und Vollzugriff zulassen)
  6. Klicken Sie auf OK.
  7. Wiederholen Sie die Schritte des MSFTPSVC-Schlüssels.
  8. Wählen Sie den W3SVC -Schlüssel, klicken Sie aufSicherheit, und klicken Sie dann auf Berechtigungen.
  9. Deaktivieren Sie das Kontrollkästchen Zulassen Permissionsfrom Vererbbare übergeordnete an dieses Objekt weitergegeben werden , und entfernen Sie Allentries, es sei denn:
    • Administratoren (Lesen und Vollzugriff zulassen)
    • System (Lesen und Vollzugriff zulassen)
    • Netzwerk (Lesen)
    • Dienst (Lesen)
    • "IWAM_"<MachineName> (Lesen)</MachineName>
  10. Klicken Sie auf OK.

Registrierung

Die folgende Tabelle listet die Berechtigungen, die angewendet werden, wenn Sie die Schritte im Abschnitt "Erteilen von Berechtigungen in der Registrierung". Diese Tabelle dient nur zur Referenz.

Hinweis Die Abkürzung HKLM steht für HKEY_LOCAL_MACHINE.
Tabelle minimierenTabelle vergrößern
SpeicherortUsers\GroupsBerechtigungen
HKLM\System\CurrentControlSet\Services\IISAdminAdministratorenVollzugriff
SystemVollzugriff
HKLM\System\CurrentControlSet\Services\MsFtpSvcAdministratorenVollzugriff
SystemVollzugriff
HKLM\System\CurrentControlSet\Services\w3svcAdministratorenVollzugriff
SystemVollzugriff
IWAM_<MachineName></MachineName>Lesen

Erteilen von rechten in der lokalen Sicherheitsrichtlinie

  1. Klicken Sie auf Start, klicken Sie aufEinstellungen, und klicken Sie dann auf ControlPanel.
  2. Doppelklicken Sie auf Verwaltung, und dann doppelklicken Sie auf Lokale Sicherheitsrichtlinie.
  3. Klicken Sie im Dialogfeld Lokale Sicherheitseinstellungen erweitern Sie Lokale Richtlinien, und klicken Sie dann auf Benutzer-RightsAssignment.
  4. Ändern Sie die entsprechende Richtlinie:
    1. Doppelklicken Sie auf die Richtlinie.
    2. Wählen Sie und klicken Sie auf Entfernen , für die jeder Benutzer, der nicht in der Tabelle aufgeführt.
    3. Fügen Sie jeder Benutzer, der nicht aufgeführt ist. Dazu klicken Sie auf Hinzufügen, und wählen Sie den Benutzer dann im Dialogfeld Benutzer oder Gruppen auswählen .
Beachten Sie, dass da eine Domänencontroller-Richtlinie die lokale Richtlinie überschreibt, Sie sicherstellen müssen, dass die Einstellung der effektivenRichtlinieneinstellung der lokalen Richtlinieentspricht.

Richtlinien

In der folgende Tabelle sind die Berechtigungen, die angewendet werden, wenn Sie die Schritte im Abschnitt "Erteilen von rechten in der lokalen Sicherheitsrichtlinie" aufgeführt.
Tabelle minimierenTabelle vergrößern
RichtlinieBenutzer
Lokal anmeldenAdministratoren
IUSR_<MachineName> (anonym)</MachineName>
Benutzer (Authentifizierung erforderlich)
Auf diesen Computer vom Netzwerk aus zugreifen.Administratoren
ASPNet (.NET Framework)
IUSR_<MachineName> (anonym)</MachineName>
IWAM_<MachineName></MachineName>
Benutzer
Anmelden als StapelverarbeitungsauftragASPNet
Netzwerk
IUSR_<MachineName></MachineName>
IWAM_<MachineName></MachineName>
Service
Anmelden als DienstASPNet
Netzwerk
Auslassen der durchsuchenden ÜberprüfungAdministratoren
IUSR_<MachineName> (anonym)</MachineName>
Benutzer (Basis, integriert, Digest)
IWAM_<MachineName></MachineName>

Informationsquellen

Weitere Informationen zum Wiederherstellen der NTFS-Standardberechtigungen für Windows 2000 klicken Sie auf die folgenden Artikelnummern klicken, um die betreffenden Artikel in der Microsoft Knowledge Base anzuzeigen:
266118 Wiederherstellen die NTFS-Standardberechtigungen für Windows 2000
260985 Minimale NTFS-Berechtigungen erforderlich, um CDONTS verwenden
324068 IIS-Berechtigungen für bestimmte Objekte festlegen
815153 Konfigurieren von NTFS-Dateiberechtigungen für die Sicherheit von ASP.NET-Anwendungen

Weitere Informationen zu den erforderlichen Berechtigungen für IIS 6.0 klicken Sie auf die folgende Artikelnummer, um den Artikel der Microsoft Knowledge Base anzuzeigen:
812614 Standardberechtigungen und Benutzerrechte für IIS 6.0

Weitere Informationen

Serverrollen oder Anwendungen, die nicht behandelt werden

Dieser Artikel befasst sich nicht eines der speziellen Sicherheitsanforderungen für die folgenden Serverrollen oder Anwendungen:
  • Windows 2000-Domänencontroller
  • Microsoft Exchange 5.5 oder Microsoft Exchange 2000-OutlookWeb-Zugriff
  • Microsoft Small Business Server 2000
  • Microsoft SharePoint Portal oder Team Services
  • Microsoft Commerce Server 2000 oder Microsoft Commerce Server 2002
  • Microsoft BizTalk Server 2000 oder Microsoft BizTalk Server 2002
  • Microsoft Content Management Server 2000 oder MicrosoftContent Management Server 2002
  • Microsoft Application Center 2000
  • Die Anwendungen von Drittanbietern, die von zusätzlichen Berechtigungen abhängig sind

Informationen zu diesem Artikel

Artikel-ID: 271071
Letzte Überarbeitung: Freitag, 25. April 2014
Die Informationen in diesem Artikel beziehen sich auf:: Microsoft Internet Information Services 5.0, Microsoft Internet Information Services 5.1, Microsoft Internet Information Services 6.0
Maschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell übersetzt und wird dann möglicherweise mithilfe des Community Translation Framework (CTF) von Mitgliedern unserer Microsoft Community nachbearbeitet. Weitere Informationen zu CTF finden Sie unter http://support.microsoft.com/gp/machine-translation-corrections/de.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 271071
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.
Möchten Sie Feedback zu diesem Artikel geben?
 

Get more support from smallbusiness.support.microsoft.com

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.