Comment définir des autorisations NTFS minimales et des droits utilisateur pour IIS 5.x ou IIS 6.0

Traductions disponibles Traductions disponibles
Cet article décrit comment définir les autorisations minimales qui sont requises pour un dédiée Internet Information Services (IIS) 5.0, IIS 5.1 ou serveur Web IIS 6.0.
La limitation pour cet article
Avertissement : Cet article est uniquement valide pour les serveurs Web dédiés utilisant les fonctionnalités ISS de base, comme desservant le contenu HTML statique contenu ou simple Active Server Pages (ASP). Les exigences d'autorisation décrits dans cet article concernent uniquement les autorisations de base pour un serveur Web dédié qui exécute IIS 5.x ou IIS 6.0. Cet article ne tient pas compte des autres produits Microsoft et tiers qui peut nécessiter des autorisations différentes. Vous pouvez consulter la documentation du serveur et l'application d'exigences de sécurité spécifiques. Il est recommandé que vous Passez en revue les articles connexes qui sont spécifiques aux rôles de votre serveur Web.
Procédure de test avant la configuration des autorisations dans un environnement de production
Avant de modifier les autorisations sur un serveur Web de production, nous vous recommandons d'effectuer les opérations suivantes :
  1. Exécuter la version la plus récente de l'outil IIS Lockdown. Les services et programmes suivants ont été installés dans le cadre de la suite de tests qui a été utilisée pour tester la sécurité du serveur après l'octroi des autorisations décrites dans cet article :
    • Services d'indexation
    • Services Terminal Server
    • Débogueur de script
    • IIS
      • Fichiers communs
      • Documentation
      • Extensions serveur FrontPage 2000
      • Gestionnaire des Services Internet (HTML)
      • WWW
      • FTP
  2. Effectuer les tests fonctionnels suivants :
    • Documents hypertexte (HTML)
    • Active Server Pages (ASP)
    • Extensions serveur FrontPage, connexion, modification, andsaving, si FPSE est activé alors que vous utilisez l'outil Lockdown
    • Secure Socket Layers connexions (SSL)

Dans cet article

Show all imageAfficher toutHide all imageMasquer tout

Accorder la propriété et les autorisations aux administrateurs et au système

Pour ce faire, procédez comme suit :
  1. Ouvrez l'Explorateur Windows. Pour ce faire, cliquez surDémarrer, pointez sur programmes, puis cliquez surExplorateur Windows.
  2. Développez Poste de travail.
  3. Cliquez droit sur le lecteur système (il s'agit généralement du lecteur C), puis cliquez sur Propriétés.
  4. Cliquez sur l'onglet sécurité , puis cliquez surAvancé pour ouvrir la boîte de dialogue Paramètres de contrôle d'accès pour LocalDisk .
  5. Cliquez sur l'onglet propriétaire , activez la case à cocherRemplacer le propriétaire des sous-conteneurs et des objets , puis cliquez sur Appliquer.

    Si vous recevez la propriété errormessage suivante, cliquez sur Continuer:
    Une constatéedans erreur application de sécurité d'informations to%systemdrive%\Pagefile.sys
  6. Si le message d'erreur suivant s'affiche, cliquez surOui:
    Vous n'êtes pas autorisé pour Veuillez lire le contenu du répertoire %SystemDrive%\System Volume Information - vous ne souhaitez utiliser remplacer les autorisations de répertoire - toutes les autorisations seront remplacée grantingyou contrôle total
  7. Cliquez sur OK pour fermer la boîte de dialogue.
  8. Cliquez sur Ajouter.
  9. Ajouter les utilisateurs suivants, puis accordez-leur l'autorisation NTFS de FullControl :
    • Administrateur
    • Système
    • Créateur propriétaire
  10. Après avoir ajouté des autorisations NTFS, cliquez surAvancé, puis activez la case à cocher Réinitialiser les autorisations sur les objets allchild et permettre la propagation des autorisations pouvant être héritées , puis cliquez sur Appliquer.
  11. Si le message d'erreur suivant s'affiche, cliquez surContinuer:
    Une erreur s'est produite l'informations d'applyingsecurity à %systemdrive%\Pagefile.sys
  12. Une fois que vous avez réinitialisé les autorisations NTFS, cliquez surOK.
  13. Cliquez sur le groupe tout le monde et cliquez surSupprimer, puis cliquez sur OK.
  14. Ouvrez les propriétés pour le dossier %systemdrive%\ProgramFiles\Common, puis cliquez sur l'onglet sécurité .Ajoutez le compte qui est utilisé pour l'accès anonyme. Par défaut, il s'agit de theIUSR_<MachineName> compte. Ensuite, ajoutez le groupe utilisateurs. Assurez-vous que thatonly les éléments suivants sont sélectionnés :<b00> </b00> </MachineName>
    • Lecture & d'exécution
    • Afficher le contenu du dossier
    • En lecture
  15. Ouvrez les propriétés du répertoire racine qui contient le contenu d'yourWeb. Par défaut, il s'agit du dossier %SystemDrive%\Inetpub\Wwwroot.Cliquez sur l'onglet sécurité , ajoutez IUSR_<MachineName>compte et le groupe utilisateurs, puis assurez-vous que seuls l'areselected suivante :<b00> </b00> </MachineName>
    • Lecture & d'exécution
    • Afficher le contenu du dossier
    • En lecture
  16. Si vous souhaitez accorder des forInetpub\FTProot d'autorisation NTFS écriture ou le chemin du répertoire de votre site FTP ou sites, répétez les step15.

    Remarque : Nous vous déconseillons d'accorder des comptes anonymes dans tous les répertoires, y compris les répertoires utilisés par le service FTP utilise NTFS écriture de permissionsto. Ces données inutiles de peutperturber doivent être téléchargées sur votre serveur Web.

Désactiver l'héritage dans les répertoires système

Pour ce faire, procédez comme suit :
  1. Dans le dossier %systemroot%\System32, sélectionnez allfolders à l'exception des suivantes :
    • Inetsrv
    • Certsrv (si présent)
    • COM
  2. Cliquez droit sur les dossiers restants et cliquez surPropriétés, puis cliquez sur l'onglet sécurité.
  3. Cliquez pour désactiver la case à cocher Autoriser inheritablepermissions et cliquez sur Copier, puis cliquez surOK.
  4. Dans le dossier % SystemRoot%, sélectionnez tous les dossiers qui suit exceptthe :
    • Assembly (si présent)
    • Fichiers programmes téléchargés
    • Aide
    • Microsoft.NET (si présent)
    • Pages Web hors connexion
    • System32
    • Tâches
    • TEMP
    • Web
  5. Cliquez droit sur les dossiers restants et cliquez surPropriétés, puis cliquez sur l'onglet sécurité.
  6. Cliquez pour désactiver la case à cocher Autoriser inheritablepermissions et cliquez sur Copier, puis cliquez surOK.
  7. Appliquer des autorisations à ce qui suit :
    1. Ouvrez les propriétés pour le dossier % SystemRoot%, cliquez sur l'onglet sécurité , ajoutez le IUSR_<MachineName> </MachineName> et IWAM_<MachineName> </MachineName> les comptes et les utilisateurs groupe, assurez-vous que seuls les éléments suivants sont sélectionnés :
      • Lecture & d'exécution
      • Afficher le contenu du dossier
      • En lecture
    2. Ouvrez les propriétés pour le dossier %systemroot%\Temp, sélectionnez le IUSR_<MachineName> </MachineName> compte (ce compte est déjà présent car il hérite du dossier Winnt), puis cliquez sur pour sélectionner la case à cocher Modifier . Répétez cette étape pour le IWAM_<MachineName> </MachineName> compte et le groupe d'utilisateurs .
    3. Si FrontPage Server Extension Clients tel que FrontPage ou Microsoft Visual InterDev sont utilisés, ouvrez les propriétés pour le dossier %SystemDrive%\Inetpub\Wwwroot, sélectionnez le groupe Utilisateurs authentifiés , sélectionnez ce qui suit et puis cliquez sur OK:
      • Modifier
      • Lecture & d'exécution
      • Afficher le contenu du dossier
      • En lecture
      • Écriture

Autorisations NTFS

Le tableau suivant répertorie les autorisations qui seront appliquées lorsque vous suivez les étapes décrites dans la section « Désactivation de l'héritage dans des répertoires système ». Cette table est uniquement pour référence.

Pour appliquer les autorisations dans le tableau suivant, procédez comme suit :
  1. Ouvrez l'Explorateur Windows. Pour ce faire, cliquez surDémarrer, pointez sur programmes, surAccessoires, puis cliquez sur WindowsExplorer.
  2. Développez Poste de travail.
  3. Cliquez droit sur le dossier % racine_système %, puis cliquez surPropriétés.
  4. Cliquez sur l'onglet sécurité , puis cliquez surAvancé.
  5. Double-cliquez sur autorisation, puis consignes appropriées à partir de la liste Appliquer à .
Remarque :Colonne en le « appliquer à », le terme par défaut fait référence à « Ce dossier, les sous-dossiers et les fichiers. »
Réduire ce tableauAgrandir ce tableau
RépertoireUsers\GroupsAutorisationsS'applique à
%SystemRoot%\ (c:\winnt)AdministrateurContrôle totalDefault
SystèmeContrôle total Default
UtilisateursLecture, exécutionDefault
%SystemRoot%\System32AdministrateursContrôle total Default
SystèmeContrôle totalDefault
UtilisateursLecture, exécutionDefault
%SystemRoot%\System32\InetsrvAdministrateursContrôle totalDefault
SystèmeContrôle total Default
UtilisateursLecture, exécutionDefault
Inetpub\adminscripts AdministrateursContrôle totalDefault
Inetpub\urlscan (si présent) AdministrateursContrôle totalDefault
SystèmeContrôle totalDefault
%SystemRoot%\system32\inetsrv\MetaBackAdministrateursContrôle totalDefault
SystèmeContrôle totalDefault
%SystemRoot%\Help\IisHelp\CommonAdministrateursContrôle total Ce dossier et les fichiers
SystèmeContrôle totalCe dossier et les fichiers
IWAM_<Machinename></Machinename>Lecture, exécutionCe dossier et les fichiers
RéseauContrôle totalCe dossier et les fichiers
ServiceCe dossier et les fichiers
UtilisateursLecture, exécutionCe dossier et les fichiers
Inetpub\wwwroot (ou répertoires de contenu)AdministrateursContrôle totalCe dossier et les fichiers
SystèmeContrôle totalCe dossier et les fichiers
IWAM_<MachineName></MachineName>Lecture, exécutionCe dossier et les fichiers
ServiceLecture, exécutionCe dossier et les fichiers
RéseauLecture, exécutionCe dossier et les fichiers
En option ** :UtilisateursLecture, exécutionCe dossier et les fichiers

Remarque : Si vous utilisez les Extensions serveur FrontPage, les utilisateurs authentifiés ou le groupe utilisateurs doit avoir l'autorisation NTFS modification pour créer, renommer, écrire ou pour fournir la fonctionnalité dont un développeur pourrait avoir besoin à partir d'un client, comme Visual InterDev 6.0 ou FrontPage 2002 de type FrontPage.

Accorder des autorisations dans le Registre

  1. Cliquez sur Démarrer, sur exécuter, type Regedt32, puis cliquez sur OK. Ne pas utiliser l'Éditeur du Registre, car elle ne vous permet pas de modifier les autorisations inWindows 2000.
  2. Dans l'Éditeur du Registre, recherchez et sélectionnezHKEY_LOCAL_MACHINE.
  3. Développez système, développezCurrentControlSetet puis cliquez surServices.
  4. Sélectionnez la clé IISADMIN , cliquez sursécurité (ou appuyez sur ALT + S), puis sélectionnezautorisations (ou appuyez sur P).
  5. Cliquez sur Effacer la case à cocher Autoriser héritables permissionsfrom parent d'être propagées à cet objet et cliquez surCopier, puis supprimez tous les utilisateurs , à l'exception:
    • Administrateurs (lecture et contrôle total autorisés)
    • Système (lecture et contrôle total autorisés)
  6. Cliquez sur OK.
  7. Répétez les étapes pour la clé MSFTPSVC.
  8. Sélectionnez la clé W3SVC et cliquez sursécurité, puis cliquez sur autorisations.
  9. Désactivez la case à cocher Autoriser héritables permissionsfrom parent d'être propagées à cet objet et puis supprimez allentries , à l'exception:
    • Administrateurs (lecture et contrôle total autorisés)
    • Système (lecture et contrôle total autorisés)
    • Réseau (lecture)
    • Service (lecture)
    • IWAM_<MachineName> (lecture)</MachineName>
  10. Cliquez sur OK.

Registre

Le tableau suivant répertorie les autorisations qui seront appliquées lorsque vous suivez les étapes décrites dans la section « Octroi d'autorisations dans le Registre ». Cette table est uniquement pour référence.

Remarque : L'acronyme HKLM signifie HKEY_LOCAL_MACHINE.
Réduire ce tableauAgrandir ce tableau
EmplacementUsers\GroupsAutorisations
HKLM\System\CurrentControlSet\Services\IISAdminAdministrateursContrôle total
SystèmeContrôle total
HKLM\System\CurrentControlSet\Services\MsFtpSvcAdministrateursContrôle total
SystèmeContrôle total
HKLM\System\CurrentControlSet\Services\w3svcAdministrateursContrôle total
SystèmeContrôle total
IWAM_<MachineName></MachineName>En lecture

Octroi de droits dans la stratégie de sécurité locale

  1. Cliquez sur Démarrer, cliquez surparamètres, puis cliquez sur Panneau de configuration.
  2. Double-cliquez sur Outils d'administration, puis double-cliquez sur Stratégie de sécurité locale.
  3. Dans la boîte de dialogue Paramètres de sécurité locaux , développez Stratégies locales, puis cliquez sur Utilisateur RightsAssignment.
  4. Modifiez la stratégie appropriée :
    1. Double-cliquez sur la stratégie.
    2. Sélectionnez, puis cliquez sur Supprimer pour tout utilisateur qui est non répertoriés dans le tableau.
    3. Ajoutez tout utilisateur qui n'est pas répertorié. Pour ce faire, cliquez sur Ajouteret sélectionnez ensuite l'utilisateur dans la boîte de dialogue Sélectionnez utilisateurs ou groupes .
Notez que dans la mesure où une stratégie de contrôleur de domaine remplace la stratégie locale, vous devez vous assurer que les Paramètres de stratégie effectif correspond à Paramètre de stratégie locale.

Stratégies de

Le tableau suivant répertorie les autorisations qui seront appliquées lorsque vous suivez les étapes décrites dans la section « Octroi de droits dans la stratégie de sécurité locale ».
Réduire ce tableauAgrandir ce tableau
Stratégie deUtilisateurs
Ouvrir une session localementAdministrateurs
IUSR_<MachineName> (anonyme)</MachineName>
Utilisateurs (authentification requise)
Accéder à cet ordinateur à partir du réseauAdministrateurs
ASPNet (.NET Framework)
IUSR_<MachineName> (anonyme)</MachineName>
IWAM_<MachineName></MachineName>
Utilisateurs
Ouvrez une session en tant que traitement par lotsASPNet
Réseau
IUSR_<MachineName></MachineName>
IWAM_<MachineName></MachineName>
Service
Ouverture de session en tant que ServiceASPNet
Réseau
Outrepasser le contrôle deAdministrateurs
IUSR_<MachineName> (anonyme)</MachineName>
Utilisateurs (Basic, intégré, Digest)
IWAM_<MachineName></MachineName>

Références

Pour plus d'informations sur comment restaurer des autorisations NTFS par défaut pour Windows 2000, cliquez sur les numéros ci-dessous pour afficher les articles correspondants dans la Base de connaissances Microsoft :
266118 Comment faire pour restaurer les autorisations NTFS par défaut pour Windows 2000
260985 Autorisations NTFS minimales requises pour utiliser CDONTS
324068 Comment faire pour définir des autorisations pour des objets spécifiques
815153 Comment faire pour configurer les autorisations de fichiers NTFS pour la sécurité des applications ASP.NET

Pour plus d'informations sur les autorisations requises pour IIS 6.0, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
812614 Autorisations par défaut et droits utilisateur pour IIS 6.0

Pour plus d'informations

Rôles de serveur ou des applications qui ne sont pas traitées

Cet article ne traite pas de l'une des exigences de sécurité spécifiques des applications ou les rôles de serveur suivants :
  • Contrôleur de domaine Windows 2000
  • Microsoft Exchange 5.5 ou Microsoft Exchange 2000 OutlookWeb Access
  • Microsoft Small Business Server 2000
  • Microsoft SharePoint Portal ou Team Services
  • Microsoft Commerce Server 2000 ou Server de Microsoft Commerce 2002
  • Microsoft BizTalk Server 2000 ou Microsoft BizTalk Server 2002
  • Microsoft Content Management Server 2000 ou MicrosoftContent Management Server 2002
  • Microsoft Application Center 2000
  • Les applications tierces qui dépendent d'autorisations supplémentaires

À propos de cet article

Numéro d'article: 271071
Dernière mise à jour: vendredi 25 avril 2014
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):: Microsoft Internet Information Services 5.0, Microsoft Internet Information Services 5.1, Microsoft Internet Information Services 6.0
Traduction automatique
IMPORTANT : Cet article est issu d'une traduction automatique réalisée par un logiciel Microsoft et non par un traducteur professionnel. Cette traduction automatique a pu aussi être révisée par la communauté Microsoft grâce à la technologie Community Translation Framework (CTF). Pour en savoir plus sur cette technologie, veuillez consulter la page http://support.microsoft.com/gp/machine-translation-corrections/fr. Microsoft vous propose en effet des articles traduits par des professionnels, des articles issus de traductions automatiques et des articles issus de traductions automatiques révisées par la communauté Microsoft, de manière à ce que vous ayez accès à tous les articles de notre Base de connaissances dans votre langue. Il est important de noter que les articles issus de la traduction automatique, y compris ceux révisés par la communauté Microsoft, peuvent contenir des erreurs de vocabulaire, de syntaxe ou de grammaire. Microsoft ne pourra être tenu responsable des imprécisions, erreurs, ainsi que de tout dommage résultant d?une traduction incorrecte du contenu ou de son utilisation par les clients.
La version anglaise de cet article est la suivante: 271071
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.
Vous souhaitez formuler des commentaires sur cet article ?
 

Get more support from smallbusiness.support.microsoft.com

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.