Cara mengatur minimal NTFS izin dan hak pengguna untuk IIS 5.x atau IIS 6.0

Terjemahan Artikel Terjemahan Artikel
Artikel ini menjelaskan cara menetapkan izin minimum yang diperlukan untuk dedicated Internet Information Services (IIS) 5.0, IIS 5.1, atau server IIS 6.0 Web.
Pembatasan untuk artikel ini
Peringatan Artikel ini hanya berlaku untuk server Web khusus yang menggunakan fungsi dasar IIS, seperti melayani konten HTML statis atau konten Active Server Pages (ASP) sederhana. Persyaratan izin yang dijelaskan dalam artikel ini khusus hanya untuk izin dasar untuk dedicated server Web yang menjalankan IIS 5.x atau IIS 6.0. Artikel ini tidak mempertimbangkan Microsoft dan produk pihak ketiga lainnya itu mungkin membutuhkan hak akses yang berbeda. Anda dapat meninjau dokumentasi server dan aplikasi untuk persyaratan keamanan yang spesifik. Kami merekomendasikan bahwa Anda Review artikel terkait spesifik untuk peran server Web Anda.
Langkah-langkah pengujian sebelum konfigurasi izin dalam lingkungan produksi
Sebelum Anda membuat perubahan izin pada produksi server Web, kami merekomendasikan bahwa Anda melakukan langkah-langkah berikut:
  1. Menjalankan versi terbaru dari IIS Lockdown alat. Program dan layanan berikut terinstal sebagai bagian dari test suite yang digunakan untuk menguji keamanan server setelah pemberian izin yang disebutkan dalam artikel ini:
    • Indeks Layanan
    • Layanan Terminal
    • Script Debugger
    • IIS
      • File Umum
      • Dokumentasi
      • Ekstensi FrontPage Server 2000
      • Internet Services Manager (HTML)
      • WWW
      • FTP
  2. Melakukan pengujian fungsional berikut:
    • kumpulan dokumen Hypertext (HTML)
    • Active Server Pages (ASP)
    • FrontPage Server Extension, tautan langsung, mengedit, andsaving, jika FPSE diaktifkan saat Anda menggunakan alat kuncian
    • Koneksi Secure Socket Layers (SSL)

Dalam artikel ini

Show all imageTampilkan semuaHide all imageSembunyikan semua

Memberikan kepemilikan dan izin untuk administrator dan sistem

Untuk melakukannya, ikuti langkah berikut:
  1. Buka Penjelajah Windows. Untuk melakukannya, klikmulai, klik program, dan kemudian klikPenjelajah Windows.
  2. Memperluas Komputer Saya.
  3. Klik kanan-atas sistem drive (ini adalah biasanya drive C), dan kemudian klik properti.
  4. Klik keamanan tab, dan kemudian kliklanjutan untuk membuka kotak dialog Pengaturan kontrol akses untuk LocalDisk .
  5. Klik tab pemilik , klik untuk memilih kotak centangMengganti pemilik pada Sub wadah dan benda-benda , andthen klik Terapkan.

    Jika Anda menerima errormessage berikut, klik lanjut:
    Hasoccurred kesalahan yang menerapkan keamanan informasi to%systemdrive%\Pagefile.sys
  6. Jika Anda menerima pesan galat berikut, klikya:
    Anda tidak memiliki izin untuk baca isi dari direktori %systemdrive%\System Volume informasi - apakah Anda wantto mengganti izin direktori - semua izin akan diganti grantingyou kontrol penuh
  7. Klik OK untuk menutup kotak dialog.
  8. Klik Add.
  9. Menambahkan pengguna berikut, dan kemudian memberi mereka izin FullControl NTFS:
    • Administrator
    • Sistem
    • Pemilik pencipta
  10. Setelah Anda menambahkan izin NTFS, kliklanjutan, klik untuk memilih kotak centang Reset izin pada allchild objek dan mengaktifkan propagasi izin yang diwariskan , dan kemudian klik Terapkan.
  11. Jika Anda menerima pesan galat berikut, kliklanjut:
    Sebuah kesalahan telah terjadi applyingsecurity informasi untuk %systemdrive%\Pagefile.sys
  12. Setelah Anda telah menyetel ulang izin NTFS, klikOK.
  13. Klik kelompok orang , klikHapus, dan kemudian klik OK.
  14. Membuka properti untuk folder file %systemdrive%\ProgramFiles\Common, dan kemudian klik tab keamanan .Menambahkan account yang digunakan untuk akses anonim. secara asali, ini adalah theIUSR_<MachineName> akun. Kemudian, tambahkan kelompok pengguna. Membuat yakin thatonly berikut yang dipilih:<b00> </b00> </MachineName>
    • Membaca & mengeksekusi
    • daftar isi Folder
    • Baca
  15. Membuka properti untuk direktori akar yang memegang yourWeb konten. secara asali, ini adalah folder %systemdrive%\Inetpub\Wwwroot.Klik tab keamanan , tambah IUSR_<MachineName>account dan pengguna kelompok, dan kemudian pastikan bahwa hanya areselected berikut:<b00> </b00> </MachineName>
    • Membaca & mengeksekusi
    • daftar isi Folder
    • Baca
  16. Jika Anda ingin memberikan forInetpub\FTProot izin menulis NTFS atau garis jatuh berseri direktori untuk situs FTP atau situs, ulangi step15.

    Catatan Kami tidak menganjurkan bahwa Anda memberikan NTFS menulis permissionsto account anonim di direktori apapun, termasuk direktori yang digunakan oleh menggunakan layanan FTP. Cancause tidak perlu data ini upload ke server Web Anda.

Menonaktifkan warisan dalam sistem direktori

Untuk melakukannya, ikuti langkah berikut:
  1. Dalam %systemroot%\System32 folder, pilih allfolders kecuali sebagai berikut:
    • Inetsrv
    • Certsrv (jika ada)
    • COM
  2. Klik kanan-atas folder yang tersisa, klikproperti, dan kemudian klik tab keamanan.
  3. Klik untuk menghapus centang Bolehkan inheritablepermissions , klik Salin, dan kemudian klikOK.
  4. Di % systemroot % folder, Pilih Semua folder exceptthe berikut:
    • Assembly (jika ada)
    • Berkas Program yang Diunduh
    • Bantuan
    • Microsoft.NET (jika ada)
    • halaman web offline
    • System32
    • Tugas
    • Temp
    • Web
  5. Klik kanan-atas folder yang tersisa, klikproperti, dan kemudian klik tab keamanan.
  6. Klik untuk menghapus centang Bolehkan inheritablepermissions , klik Salin, dan kemudian klikOK.
  7. Berikan izin ke hal-hal berikut:
    1. Membuka properti untuk % systemroot % folder, klik tab keamanan , tambahkan IUSR_<MachineName> </MachineName> dan IWAM_<MachineName> </MachineName> account dan pengguna kelompok, dan kemudian pastikan bahwa hanya berikut yang dipilih:
      • Membaca & mengeksekusi
      • daftar isi Folder
      • Baca
    2. Buka properti untuk %systemroot%\Temp folder, pilih IUSR_<MachineName> </MachineName> rekening (akun ini sudah hadir karena mewarisi dari Winnt folder), dan kemudian klik untuk memilih kotak centang modifikasi . Ulangi langkah ini untuk IWAM_<MachineName> </MachineName> account dan grup pengguna .
    3. Jika FrontPage Server Extension klien seperti FrontPage atau Microsoft Visual InterDev yang sedang digunakan, membuka properti untuk %systemdrive%\Inetpub\Wwwroot folder, pilih grup Dikonfirmasi pengguna , pilih berikut, dan kemudian klik OK:
      • Memodifikasi
      • Membaca & mengeksekusi
      • daftar isi Folder
      • Baca
      • Tulis

Izin NTFS

Daftar Tabel berikut mencantumkan izin yang akan diterapkan ketika Anda mengikuti langkah-langkah di bagian "Nonaktifkan warisan dalam direktori sistem". Daftar Tabel ini adalah untuk referensi saja.

Untuk mengajukan izin dalam Daftar Tabel berikut, ikuti langkah berikut:
  1. Buka Penjelajah Windows. Untuk melakukannya, klikmulai, klik program, klikaksesori, dan kemudian klik WindowsExplorer.
  2. Memperluas Komputer Saya.
  3. Klik kanan-atas % systemroot %, dan kemudian klikproperti.
  4. Klik keamanan tab, dan kemudian klikAdvanced.
  5. klik ganda izin, dan kemudian selectthe sesuai pengaturan dari Menerapkan ke daftar.
Catatan:Di "berlaku untuk" kolom, istilah Default mengacu pada "ini folder, subfolder, dan file.
Perkecil tabel iniPerbesar tabel ini
DirektoriUsers\GroupsIzinBerlaku untuk
%SystemRoot%\ (c:\winnt)AdministratorKontrol penuhStandar
SistemKontrol penuh Standar
UsersRead, executeStandar
%SystemRoot%\System32AdministratorKontrol penuh Standar
SistemKontrol penuhStandar
UsersRead, executeStandar
%SystemRoot%\system32\inetsrvAdministratorKontrol penuhStandar
SistemKontrol penuh Standar
UsersRead, executeStandar
Inetpub\adminscripts AdministratorKontrol penuhStandar
Inetpub\urlscan (jika ada) AdministratorKontrol penuhStandar
SistemKontrol penuhStandar
%SystemRoot%\system32\inetsrv\metabackAdministratorKontrol penuhStandar
SistemKontrol penuhStandar
%SystemRoot%\help\iishelp\commonAdministratorKontrol penuh File dan folder ini
SistemKontrol penuhFile dan folder ini
IWAM_<Machinename></Machinename>Read, executeFile dan folder ini
NetworkKontrol penuhFile dan folder ini
ServiceFile dan folder ini
UsersRead, executeFile dan folder ini
Inetpub\wwwroot (atau direktori konten)AdministratorKontrol penuhFile dan folder ini
SistemKontrol penuhFile dan folder ini
IWAM_<MachineName></MachineName>Read, executeFile dan folder ini
ServiceRead, executeFile dan folder ini
NetworkRead, executeFile dan folder ini
Opsional **:UsersRead, executeFile dan folder ini

Catatan: Jika Anda menggunakan FrontPage Server Extension, dikonfirmasi pengguna atau Grup pengguna harus memiliki izin NTFS perubahan untuk membuat, mengubah nama, menulis, atau untuk menyediakan fungsionalitas bahwa pengembang mungkin harus memiliki dari FrontPage-jenis klien, seperti Visual InterDev 6.0 atau FrontPage 2002.

Berikan izin dalam registri

  1. Klik mulai, klik menjalankan, jenis Regedt32, lalu klik OK. Donot menggunakan Registry Editor karena ia tidak membiarkan Anda mengubah izin inWindows 2000.
  2. Di Penyunting registri, Cari dan pilihHKEY_LOCAL_MACHINE.
  3. Memperluas sistem, memperluasCurrentControlSet, dan kemudian memperluasLayanan.
  4. Pilih IISADMIN bukti kunci, klikkeamanan (atau tekan ALT + S), dan kemudian pilihizin (atau tekan P).
  5. Klik untuk menghapus centang Bolehkan diwariskan permissionsfrom orangtua untuk menyebarkan ke objek ini , klikSalin, dan kemudian menghapus semua pengguna kecuali:
    • Administrator (memungkinkan membaca dan kontrol penuh)
    • Sistem (memungkinkan membaca dan kontrol penuh)
  6. Klik OK.
  7. Ulangi langkah-langkah untuk tombol tekan MSFTPSVC.
  8. Pilih W3SVC bukti kunci, klikkeamanan, dan kemudian klik izin.
  9. Klik untuk mengosongkan kotak centang Bolehkan diwariskan permissionsfrom orangtua untuk menyebarkan ke objek ini , dan kemudian menghapus allentries kecuali:
    • Administrator (memungkinkan membaca dan kontrol penuh)
    • Sistem (memungkinkan membaca dan kontrol penuh)
    • Network (Read)
    • Service (Read)
    • IWAM_<MachineName> (Baca)</MachineName>
  10. Klik OK.

Registri

Daftar Tabel berikut mencantumkan izin yang akan diterapkan ketika Anda mengikuti langkah-langkah di bagian "Berikan izin dalam registri". Daftar Tabel ini adalah untuk referensi saja.

Catatan: Singkatan HKLM singkatan HKEY_LOCAL_MACHINE.
Perkecil tabel iniPerbesar tabel ini
LokasiUsers\GroupsIzin
HKLM\System\CurrentControlSet\Services\IISAdminAdministratorKontrol penuh
SistemKontrol penuh
HKLM\System\CurrentControlSet\Services\MsFtpSvcAdministratorKontrol penuh
SistemKontrol penuh
HKLM\System\CurrentControlSet\Services\w3svcAdministratorKontrol penuh
SistemKontrol penuh
IWAM_<MachineName></MachineName>Baca

Grant hak dalam kebijakan keamanan lokal

  1. Klik mulai, klikpengaturan, dan kemudian klik ControlPanel.
  2. klik ganda Alat administratif, andthen klik ganda Kebijakan keamanan lokal.
  3. Di kotak dialog Pengaturan keamanan lokal , memperluas Kebijakan lokal, dan kemudian klik Pengguna RightsAssignment.
  4. Memodifikasi Kebijakan:
    1. klik ganda kebijakan.
    2. Pilih dan kemudian klik Hapus untuk setiap pengguna yang tidak tercantum dalam Daftar Tabel.
    3. Tambahkan pengguna yang tidak terdaftar. Untuk melakukan ini, klik Tambah, dan kemudian pilih pengguna di kotak dialog pilih pengguna atau grup .
Perhatikan bahwa karena kebijakan pengendali domain mengabaikan kebijakan lokal, Anda harus memastikan bahwa Efektif pengaturan kebijakan sesuai Setelan kebijakan lokal.

Kebijakan

Daftar Tabel berikut mencantumkan izin yang akan diterapkan ketika Anda mengikuti langkah-langkah di bagian "Memberikan hak dalam Local Security Policy".
Perkecil tabel iniPerbesar tabel ini
KebijakanUsers
log masuk secara lokalAdministrator
IUSR_<MachineName> (Anonymous)</MachineName>
Pengguna (otentikasi diperlukan)
Mengakses komputer ini dari jaringanAdministrator
ASPNet (.NET Framework)
IUSR_<MachineName> (Anonymous)</MachineName>
IWAM_<MachineName></MachineName>
Users
Login sebagai pekerjaan BatchASPNet
Network
IUSR_<MachineName></MachineName>
IWAM_<MachineName></MachineName>
Service
log masuk sebagai layananASPNet
Network
Bypass Traverse memeriksaAdministrator
IUSR_<MachineName> (Anonymous)</MachineName>
Pengguna (Dasar, Terpadu, Ringkasan)
IWAM_<MachineName></MachineName>

Referensi

Untuk selengkapnya tentang cara gulung balik izin NTFS default untuk Windows 2000, klik nomor artikel berikut ini untuk melihat artikel di dalam Pangkalan Pengetahuan Microsoft:
266118 Bagaimana gulung balik izin NTFS default untuk Windows 2000
260985 Izin NTFS minimum yang diperlukan untuk menggunakan CDONTS
324068 Cara menetapkan izin IIS untuk objek tertentu
815153 Cara mengkonfigurasi NTFS file permission untuk keamanan ASP.NET aplikasi

Untuk informasi lebih lanjut tentang izin yang diperlukan untuk IIS 6.0, klik nomor artikel berikut ini untuk melihat artikel di dalam Pangkalan Pengetahuan Microsoft:
812614 Default izin dan hak pengguna untuk IIS 6.0

Untuk informasi selengkapnya

peran server atau aplikasi yang tidak ditangani

Artikel ini tidak membahas salah satu dari persyaratan keamanan yang spesifik peran server berikut atau aplikasi:
  • pengendali domain Windows 2000
  • Microsoft Exchange 5.5 atau Microsoft Exchange 2000 OutlookWeb Access
  • Microsoft Small Business Server 2000
  • Microsoft SharePoint Portal atau Team Services
  • Microsoft Commerce Server 2000 atau Microsoft Commerce Server2002
  • Microsoft BizTalk Server 2000 atau Microsoft BizTalk Server2002
  • Microsoft konten Manajemen Server 2000 atau MicrosoftContent Manajemen Server 2002
  • Microsoft Application Center 2000
  • Aplikasi pihak ketiga yang bergantung pada izin tambahan

Tentang artikel ini

ID Artikel: 271071
Tinjauan terakhir: 25 April 2014
Berlaku bagi:: Microsoft Internet Information Services 5.0, Microsoft Internet Information Services 5.1, Microsoft Internet Information Services 6.0
Penerjemahan Mesin
PENTING: Artikel ini diterjemahkan oleh perangkat lunak penerjemahan mesin Microsoft, dan mungkin telah diedit oleh Masyarakat Microsoft melalui teknologi CTF dan bukan oleh seorang penerjemah profesional. Microsoft menawarkan baik artikel yang diterjemahkan oleh manusia maupun artikel hasil editan terjemahan oleh mesin/komunitas, sehingga Anda dapat mengakses semua artikel di Sentra Pengetahuan yang kami miliki dalam berbagai bahasa. Namun artikel hasil editan mesin atau bahkan komunitas tidak selalu sempurna. Artikel ini dapat mengandung kesalahan dalam hal kosa kata, sintaksis atau tatabahasa, sangat mirip dengan penutur asing yang membuat kekeliruan ketika berbicara dalam bahasa Anda. Microsoft tidak bertanggung jawab atas ketidakakuratan, kesalahan atau kerugian apa pun akibat dari kekeliruan dalam penerjemahan isi atau penggunaannya oleh pelanggan kami. Microsoft juga akan senantiasa memperbarui perangkat lunak penerjemahan mesin dan alat untuk menyempurnakan Editan Hasil Penerjemahan Mesin.
Klik disini untuk melihat versi Inggris dari artikel ini: 271071
Anda ingin memberikan saran pada artikel ini?
 

Get more support from smallbusiness.support.microsoft.com

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.