Cómo establecer derechos de usuario y permisos NTFS mínimos para IIS 5.x o IIS 6.0

Seleccione idioma Seleccione idioma
En este artículo se describe cómo establecer los permisos mínimos que se requieren para un dedicado Internet Information Services (IIS) 5.0, IIS 5.1 o servidor Web IIS 6.0.
La limitación de este artículo
Advertencia En este artículo sólo es válida para los servidores Web dedicados que utilizan la funcionalidad básica de IIS, como para el contenido HTML estático simple o contenido páginas Active Server (ASP). Los requisitos de permisos que se describen en este artículo son específicos de los permisos básicos para un servidor Web dedicado que está ejecutando IIS 5.x o IIS 6.0. En este artículo no tiene en cuenta otros productos de terceros y de Microsoft que puedan requerir permisos diferentes. Puede revisar la documentación de servidor y la aplicación de requisitos específicos de seguridad. Se recomienda que se Revisar los artículos relacionados que son específicos de las funciones de su servidor Web.
Pasos de prueba antes de las configuraciones de permisos en un entorno de producción
Antes de realizar cambios en los permisos en un servidor Web de producción, se recomienda que siga estos pasos:
  1. Ejecutar la versión más reciente de la herramienta IIS Lockdown. Los siguientes programas y servicios se instalaron como parte de un conjunto de pruebas que se utilizó para probar la seguridad del servidor después de otorgar los permisos descritos en este artículo:
    • Servicios de Index Server
    • Servicios de terminales Server
    • Depurador de secuencias de comandos
    • IIS
      • Archivos comunes
      • Documentación
      • Extensiones de servidor de FrontPage 2000
      • Administrador de servicios Internet (HTML)
      • WWW
      • FTP
  2. Realizar las pruebas funcionales siguientes:
    • Documentos de hipertexto (HTML)
    • Páginas Active Server (ASP)
    • Extensiones de servidor de FrontPage, como conectar, modificar, andsaving, si FPSE está habilitado mientras utiliza la herramienta de bloqueo de seguridad
    • Secure Socket Layers (SSL) de conexiones

En este artículo

Show all imageMostrar todoHide all imageOcultar todo

Otorgar propiedad y permisos al administrador y al sistema

Para ello, siga estos pasos:
  1. Abra el Explorador de Windows. Para ello, haga clic enInicio, haga clic en programasy, a continuación, haga clic enEl Explorador de Windows.
  2. Expanda Mi PC.
  3. Haga clic en la unidad del sistema (suele ser la unidad C) y, a continuación, haga clic en Propiedades.
  4. Haga clic en la ficha seguridad y, a continuación, haga clic enOpciones avanzadas para abrir el cuadro de diálogo Configuración de Control de acceso para LocalDisk .
  5. Haga clic en la ficha propietario , active la casilla de verificaciónReemplazar propietario en subcontenedores y objetos , y luego haga clic en Aplicar.

    Si recibe el siguiente errormessage, haga clic en continuar:
    Un hasoccurred de error aplicar seguridad información to%systemdrive%\Pagefile.sys
  6. Si recibe el siguiente mensaje de error, haga clic en:
    No tiene permiso para leer contenido del directorio %systemdrive%\System Volumen Information - ¿quiere reemplazar los permisos de directorio - todos los permisos serán reemplazado grantingyou Control total
  7. Haga clic en Aceptar para cerrar el cuadro de diálogo.
  8. Haga clic en Agregar.
  9. Agregar los siguientes usuarios y, a continuación, conceda el permiso FullControl NTFS:
    • Administrador
    • Sistema de
    • Creator Owner
  10. Después de haber agregado estos permisos NTFS, haga clic enOpciones avanzadas, haga clic para activar la casilla de verificación Restablecer permisos en los objetos allchild y habilitar la propagación de permisos heredables de un objeto y, a continuación, haga clic en Aplicar.
  11. Si recibe el siguiente mensaje de error, haga clic encontinuar:
    Error al obtener información de applyingsecurity a %systemdrive%\Pagefile.sys
  12. Después de restablecer los permisos NTFS, haga clic enAceptar.
  13. Haga clic en el grupo todos , haga clic enQuitary, a continuación, haga clic en Aceptar.
  14. Abra las propiedades de la carpeta archivos de %systemdrive%\ProgramFiles\Common y, a continuación, haga clic en la ficha seguridad .Agregue la cuenta que se utiliza para el acceso anónimo. De forma predeterminada, es theIUSR_<MachineName> cuenta. A continuación, agregue el grupo usuarios. Asegúrese de que sólola se selecciona lo siguiente:<b00> </b00> </MachineName>
    • Leer & ejecutar
    • Enumerar contenido de carpeta
    • Lectura
  15. Abra las propiedades del directorio raíz que contiene el contenido de yourWeb. De manera predeterminada, se trata de la carpeta %systemdrive%\Inetpub\Wwwroot.Haga clic en la ficha seguridad , agregue la cuenta IUSR_<MachineName>cuenta y los usuarios del grupo y, a continuación, asegúrese de que sólo los areselected siguiente:<b00> </b00> </MachineName>
    • Leer & ejecutar
    • Enumerar contenido de carpeta
    • Lectura
  16. Si desea conceder forInetpub\FTProot de permiso de escritura de NTFS o la ruta del directorio para su sitio o sitios FTP, repita el 15.

    Nota No se recomienda conceder permissionsto NTFS de escritura la cuenta anónima en cualquier directorio, incluidos los directorios utilizados por el servicio FTP usa. Este tiene los datos innecesarios para cargarse en el servidor Web.

Deshabilitar la herencia en los directorios de sistema

Para ello, siga estos pasos:
  1. En la carpeta %systemroot%\System32, seleccione allfolders excepto los siguientes:
    • Inetsrv
    • Certsrv (si existe)
    • COM
  2. Haga clic en las demás carpetas, haga clic enPropiedadesy, a continuación, haga clic en la ficha seguridad.
  3. Haga clic para desactivar la casilla de verificación Permitir inheritablepermissions , haga clic en Copiary, a continuación, haga clic enAceptar.
  4. En la carpeta % systemroot %, seleccione siguiente de todas las carpetas excepto:
    • Assembly (si existe)
    • Archivos de programa descargados
    • Ayuda
    • Microsoft.NET (si existe)
    • Páginas Web sin conexión
    • System32
    • Tareas
    • TEMP
    • Web
  5. Haga clic en las demás carpetas, haga clic enPropiedadesy, a continuación, haga clic en la ficha seguridad.
  6. Haga clic para desactivar la casilla de verificación Permitir inheritablepermissions , haga clic en Copiary, a continuación, haga clic enAceptar.
  7. Aplique los permisos a la siguiente:
    1. Abra las propiedades de la carpeta % systemroot %, haga clic en la ficha seguridad , agregue el IUSR_<MachineName> </MachineName> y IWAM_<MachineName> </MachineName> las cuentas y los usuarios del grupo y a continuación, asegúrese de que se selecciona sólo el siguiente:
      • Leer & ejecutar
      • Enumerar contenido de carpeta
      • Lectura
    2. Abra las propiedades de la carpeta %systemroot%\Temp, seleccione la IUSR_<MachineName> </MachineName> cuenta (esta cuenta ya está presente porque se hereda de la carpeta Winnt) y, a continuación, haga clic para activar la casilla de verificación Modificar . Repita este paso para el IWAM_<MachineName> </MachineName> cuenta y el grupo de usuarios .
    3. Si clientes de extensiones de servidor de FrontPage como FrontPage o Microsoft Visual InterDev están siendo utilizados, abra las propiedades de la carpeta %systemdrive%\Inetpub\Wwwroot, seleccione el grupo Usuarios autenticados , seleccione lo siguiente y, a continuación, haga clic en Aceptar:
      • Modificar
      • Leer & ejecutar
      • Enumerar contenido de carpeta
      • Lectura
      • Escritura

Permisos NTFS

En la tabla siguiente se enumera los permisos que se aplicarán cuando siga los pasos descritos en la sección "Deshabilitar la herencia en los directorios del sistema". Esta tabla es sólo para referencia.

Para aplicar los permisos en la tabla siguiente, siga estos pasos:
  1. Abra el Explorador de Windows. Para ello, haga clic enInicio, seleccione programas,Accesoriosy, a continuación, haga clic en WindowsExplorer.
  2. Expanda Mi PC.
  3. Haga clic en la carpeta % systemroot %y, a continuación, haga clic enPropiedades.
  4. Haga clic en la ficha seguridad y, a continuación, haga clic enOpciones avanzadas.
  5. Haga doble clic en permisosy, a continuación, seleccione apropiado de la lista Aplicar a .
NotaColumna en el "aplicar a", el término que predeterminado se refiere a "Esta carpeta, subcarpetas y archivos."
Contraer esta tablaAmpliar esta tabla
DirectorioUsers\GroupsPermisosAplicar a
%systemroot%\ (c:\winnt)AdministradorControl totalValor predeterminado
Sistema deControl total Valor predeterminado
UsuariosLeer, ejecutarValor predeterminado
%SystemRoot%\System32AdministradoresControl total Valor predeterminado
Sistema deControl totalValor predeterminado
UsuariosLeer, ejecutarValor predeterminado
%systemroot%\system32\inetsrvAdministradoresControl totalValor predeterminado
Sistema deControl total Valor predeterminado
UsuariosLeer, ejecutarValor predeterminado
Inetpub\Adminscripts AdministradoresControl totalValor predeterminado
Inetpub\urlscan (si existe) está AdministradoresControl totalValor predeterminado
Sistema deControl totalValor predeterminado
%systemroot%\System32\inetsrv\MetaBackAdministradoresControl totalValor predeterminado
Sistema deControl totalValor predeterminado
%systemroot%\Help\IisHelp\CommonAdministradoresControl total Esta carpeta y archivos
Sistema deControl totalEsta carpeta y archivos
IWAM_<Machinename></Machinename>Leer, ejecutarEsta carpeta y archivos
RedControl totalEsta carpeta y archivos
ServicioEsta carpeta y archivos
UsuariosLeer, ejecutarEsta carpeta y archivos
Inetpub\wwwroot (o directorios de contenido)AdministradoresControl totalEsta carpeta y archivos
Sistema deControl totalEsta carpeta y archivos
IWAM_<MachineName></MachineName>Leer, ejecutarEsta carpeta y archivos
ServicioLeer, ejecutarEsta carpeta y archivos
RedLeer, ejecutarEsta carpeta y archivos
Opcional **:UsuariosLeer, ejecutarEsta carpeta y archivos

Nota Si está utilizando las extensiones de servidor de FrontPage, los usuarios autenticados o el grupo de usuarios debe tener el permiso NTFS de cambio para crear, cambiar el nombre, escribir o para proporcionar la funcionalidad que un programador puede tener de un tipo FrontPage de cliente, tales como Visual InterDev 6.0 o FrontPage 2002.

Conceder permisos en el registro

  1. Haga clic en Inicio, haga clic en Ejecutar, tipo Regedt32y, a continuación, haga clic en Aceptar. Utilice el Editor del registro porque no le permite cambiar permisos inWindows 2000.
  2. En el Editor del registro, busque y seleccioneHKEY_LOCAL_MACHINE.
  3. Expanda sistema, expandaCurrentControlSety, a continuación, expandaServicios.
  4. Seleccione la clave IISADMIN , haga clic enseguridad (o presione ALT+S) y, a continuación, seleccionepermisos (o presione P).
  5. Haga clic para desactivar la casilla de verificación Permitir permissionsfrom heredables de un objeto primario se propaguen a este objeto , haga clic enCopiary, a continuación, quite todos los usuarios excepto:
    • Administradores (Permitir lectura y Control total)
    • Sistema (Permitir lectura y Control total)
  6. Haga clic en Aceptar.
  7. Repita los pasos para la clave MSFTPSVC.
  8. Seleccione la clave W3SVC , haga clic enseguridady, a continuación, haga clic en permisos.
  9. Haga clic para desactivar la casilla de verificación Permitir permissionsfrom heredables de un objeto primario se propaguen a este objeto y, a continuación, quitar allentries excepto:
    • Administradores (Permitir lectura y Control total)
    • Sistema (Permitir lectura y Control total)
    • Red (lectura)
    • Servicio (lectura)
    • IWAM_<MachineName> (lectura)</MachineName>
  10. Haga clic en Aceptar.

Registro

En la tabla siguiente se enumera los permisos que se aplicarán cuando siga los pasos descritos en la sección "Otorgar permisos en el registro". Esta tabla es sólo para referencia.

Nota El acrónimo que significa HKLM para HKEY_LOCAL_MACHINE.
Contraer esta tablaAmpliar esta tabla
UbicaciónUsers\GroupsPermisos
HKLM\System\CurrentControlSet\Services\IISAdminAdministradoresControl total
Sistema deControl total
HKLM\System\CurrentControlSet\Services\MsFtpSvcAdministradoresControl total
Sistema deControl total
HKLM\System\CurrentControlSet\Services\w3svcAdministradoresControl total
Sistema deControl total
IWAM_<MachineName></MachineName>Lectura

Otorgar derechos en la directiva de seguridad Local

  1. Haga clic en Inicio, haga clic enconfiguracióny, a continuación, haga clic en panel de control.
  2. Haga doble clic en Herramientas administrativas, y luego haga doble clic en Directiva de seguridad Local.
  3. En el cuadro de diálogo Configuración de seguridad Local , expanda Directivas localesy, a continuación, haga clic en RightsAssignment de usuario.
  4. Modifique la directiva apropiada:
    1. Haga doble clic en la directiva.
    2. Seleccione y, a continuación, haga clic en Quitar para cualquier usuario que no se muestran en la tabla.
    3. Agregue cualquier usuario que no aparece. Para ello, haga clic en Agregary, a continuación, seleccione el usuario en el cuadro de diálogo Seleccionar usuarios o grupos .
Tenga en cuenta que debido a una directiva de controlador de dominio anula la directiva local, debe asegurarse de que La configuración de directiva efectiva coincide con la Configuración de directiva Local.

Directivas de

En la tabla siguiente se enumera los permisos que se aplicarán cuando siga los pasos descritos en la sección "Otorgar derechos en la directiva de seguridad Local".
Contraer esta tablaAmpliar esta tabla
DirectivaUsuarios
Iniciar sesión localmenteAdministradores
IUSR_<MachineName> (anónimo)</MachineName>
Usuarios (autenticación requerida)
Tener acceso a este equipo desde la redAdministradores
ASPNet (.NET Framework)
IUSR_<MachineName> (anónimo)</MachineName>
IWAM_<MachineName></MachineName>
Usuarios
Inicie sesión como un trabajo por lotesASPNet
Red
IUSR_<MachineName></MachineName>
IWAM_<MachineName></MachineName>
Servicio
Iniciar sesión como un servicioASPNet
Red
Omitir comprobación de recorridoAdministradores
IUSR_<MachineName> (anónimo)</MachineName>
Usuarios (básico, integrado, Digest)
IWAM_<MachineName></MachineName>

Referencias

Para obtener más información acerca de cómo restaurar los permisos NTFS predeterminados para Windows 2000, haga clic en los números de artículo siguientes para verlos en Microsoft Knowledge Base:
266118 Cómo restaurar los permisos predeterminados NTFS para Windows 2000
260985 Permisos NTFS mínimos requeridos para usar CDONTS
324068 Cómo configurar en IIS permisos para objetos específicos
815153 Cómo configurar los permisos de archivos NTFS para la seguridad de las aplicaciones de ASP.NET

Para obtener más información acerca de los permisos requeridos para IIS 6.0, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
812614 Los permisos predeterminados y los derechos de usuario para IIS 6.0

Para obtener más información

Roles de servidor o aplicaciones que no estén dirigidas

En este artículo no trata de uno de los requisitos de seguridad específicos de las siguientes funciones de servidor o aplicaciones:
  • Controlador de dominio de Windows 2000
  • Microsoft Exchange 5.5 o Microsoft Exchange 2000 Outlook Web Access
  • Microsoft Small Business Server 2000
  • Microsoft SharePoint Portal o Team Services
  • Microsoft Commerce Server 2000 o Microsoft Commerce Server2002
  • Microsoft BizTalk Server 2000 o Microsoft BizTalk Server2002
  • Microsoft Content Management Server 2000 o MicrosoftContent Management Server 2002
  • Microsoft Application Center 2000
  • Las aplicaciones de terceros que dependen de permisos adicionales

Acerca de este artículo

Id. de artículo: 271071
Última revisión: viernes, 25 de abril de 2014
La información de este artículo se refiere a:: Servicios de Microsoft Internet Information Server 5.0, Servicios de Microsoft Internet Information Server 5.1, Servicios de Microsoft Internet Information Server 6.0
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 271071
¿Desea realizar algún comentario sobre este artículo?
 

Get more support from smallbusiness.support.microsoft.com

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.