Cara menetapkan diperlukan NTFS izin dan hak-hak pengguna untuk IIS 5.0, IIS 5.1, IIS 6.0 Web atau server

Artikel ini selangkah demi selangkah menjelaskan minimum izin yang diperlukan untuk dedicated Internet Information Services (IIS) 5.0, IIS 5.1, atau IIS 6.0 Web server.

Warning Artikel ini hanya berlaku untuk dedicated server Web yang menggunakan fungsi IIS dasar, seperti melayani konten HTML statis konten atau sederhana Active Server Pages (ASP). Izin persyaratan yang dijelaskan dalam artikel ini ditujukan khusus hanya untuk izin dasar untuk sebuah server Web yang menjalankan IIS 5.x atau 6.0 artikel ini tidak mempertimbangkan Microsoft lainnya dan produk pihak ketiga yang mungkin membutuhkan hak akses yang berbeda. Kami menyarankan Anda memeriksa artikel yang ditujukan khusus untuk peran server Web Anda dan melakukan tes sebelum Anda membuat perubahan izin pada server Web produksi. Untuk link ke artikel terkait untuk produk Microsoft lainnya, lihat bagian "Referensi".

Jika Anda menerapkan izin ini IIS server yang melayani peran lain, seperti Microsoft Exchange Server 5.5, Microsoft Exchange Server 2000, atau pihak ketiga aplikasi yang bergantung pada izin tambahan, produk tersebut mungkin tidak beroperasi seperti yang diharapkan.

Untuk informasi lebih lanjut tentang izin yang diperlukan untuk IIS 6.0, klik nomor artikel di bawah ini untuk melihat artikel di dalam Basis Pengetahuan Microsoft:Pengujian untuk dokumen ini termasuk berikut fungsional tes:

• Hypertext Dokumen (HTML)
• Active Server Pages (ASP)
• FrontPage Server Extensions, seperti menghubungkan, mengedit, dan menyimpan, jika FPSE diaktifkan saat Anda menggunakan alat Lockdown
• Secure Socket lapisan (SSL) sambungan

Dokumen ini Apakah tidak alamat salah satu persyaratan keamanan khusus berikut peran server atau aplikasi:

• Pengontrol Domain Windows 2000
• Microsoft Exchange 5.5 atau Microsoft Exchange 2000 Outlook Akses web
• Microsoft Small Business Server 2000
• Microsoft SharePoint Portal atau tim layanan
• Microsoft Commerce Server 2000 atau Microsoft Commerce Server 2002
• Microsoft BizTalk Server 2000 atau Microsoft BizTalk Server 2002
• Microsoft konten manajemen Server 2000 atau Microsoft Server manajemen konten 2002
• Microsoft aplikasi pusat 2000

Meninjau dokumentasi server dan aplikasi untuk persyaratan keamanan tertentu. Link ke artikel Basis Pengetahuan terkait disediakan dalam bagian "Referensi".

Sebelum Anda menerapkan izin di artikel ini, kita menganjurkan bahwa Anda menjalankan versi terbaru IIS Lockdown alat. Untuk informasi tambahan tentang alat ini, kunjungi Web site Microsoft berikut: Berikut program dan layanan diinstal sebagai bagian dari test suite yang digunakan untuk menguji Keamanan server setelah pemberian izin yang dijelaskan dalam artikel ini:

• Layanan indeks
• Layanan Terminal
• Script Debugger
• IIS
  • File umum
  • Dokumentasi
  • Ekstensi FrontPage Server 2000
  • Manajer Layanan Internet (HTML)
  • WWW
  • FTP

Grant kepemilikan dan izin administrator dan sistem

Untuk memberikan izin kepada sistem:

1. Buka Windows Explorer. Untuk melakukannya, klikMulai, klik Program, lalu klikWindows Explorer.
2. Memperluas Komputer Saya.
3. Klik kanan pengandar sistem (biasanya ini adalah kandar C), kemudian klik Properti.
4. Klik Keamanan tab, dan kemudian klikLanjutan untuk membuka Pengaturan kontrol akses untuk lokal Disk kotak dialog.
5. Klik Pemilik tab, klik untuk memilihGanti pemilik pada Sub wadah dan objek kotak centang, dan kemudian klik Menerapkan.
   
   Jika Anda menerima galat berikut pesan, klik Lanjutkan:
   Sebuah kesalahan telah terjadi menerapkan informasi keamanan %SystemDrive%\Pagefile.sys
6. Jika Anda menerima pesan galat berikut, klikYa:
   Anda tidak memiliki izin untuk membaca isi direktori %systemdrive%\System Informasi Volume - yang Anda inginkan untuk mengganti izin direktori - semua izin akan diganti pemberian Anda kontrol penuh
7. Klik Oke untuk menutup kotak dialog.
8. Klik Tambahkan.
9. Menambahkan pengguna berikut, dan kemudian memberi mereka penuh Izin kontrol NTFS:
   • Administrator
   • Sistem
   • Pencipta pemilik
10. Setelah Anda menambahkan izin NTFS ini, klikLanjutan, klik untuk memilih Ulang izin pada semua objek anak-anak dan Aktifkan propagasi diwariskan perizinan Periksa kotak, dan kemudian klik Menerapkan.
11. Jika Anda menerima pesan galat berikut, klikLanjutkan:
    Sebuah kesalahan telah terjadi menerapkan keamanan informasi untuk %systemdrive%\Pagefile.sys
12. Setelah Anda telah me-reset perizinan NTFS, klikOke.
13. Klik Semua orang grup, klikHapus, lalu klik Oke.
14. Membuka properti untuk %systemdrive%\Program Program file folder, dan kemudian klik Keamanan tab. Menambahkan account yang digunakan untuk akses anonim. Secara default, ini adalah IUSR_<machinename> rekening. Kemudian, tambahkan grup pengguna. Pastikan bahwa Berikut ini hanya dipilih:</machinename>
    • Membaca & mengeksekusi
    • Buat Daftar Isi Map
    • Baca
15. Membuka properti untuk direktori root yang memegang Anda Konten web. Secara default, ini adalah %systemdrive%\Inetpub\Wwwroot folder. Klik Keamanan tab, menambahkan IUSR_<machinename> account dan pengguna kelompok, dan kemudian memastikan bahwa hanya berikut dipilih:</machinename>
    • Membaca & mengeksekusi
    • Buat Daftar Isi Map
    • Baca
16. Jika Anda ingin memberikan izin menulis NTFS Inetpub\FTProot atau jalur direktori untuk situs FTP atau situs, ulangi langkah 15.
    
    Catatan Kami tidak menganjurkan bahwa Anda memberikan izin NTFS menulis untuk account anonim di direktori apapun, termasuk direktori yang digunakan oleh menggunakan Layanan FTP. Ini dapat menyebabkan data tidak perlu upload ke server Web Anda.

Menonaktifkan warisan dalam sistem direktori

1. Di map % SystemRoot%\System32, pilih semua folder kecuali berikut:
   • Inetsrv
   • Certsrv (jika ada)
   • COM
2. Klik kanan folder yang tersisa, klikProperti, lalu klik Keamanantab.
3. Klik untuk menghapus Memungkinkan diwariskan izin Periksa kotak, klik Salin, lalu klikOke.
4. Di map % systemroot %, pilih semua folder kecuali Berikut ini:
   • Majelis (jika ada)
   • File Program yang didownload
   • Bantuan
   • Microsoft.net (jika ada)
   • Halaman Web offline
   • System32
   • Tugas
   • Temp
   • Web
5. Klik kanan folder yang tersisa, klikProperti, lalu klik Keamanantab.
6. Klik untuk menghapus Memungkinkan diwariskan izin Periksa kotak, klik Salin, lalu klikOke.
7. Menerapkan izin sebagai berikut:
   1. Membuka properti untuk map % systemroot %, Klik Keamanan tab, tambahkan IUSR_<machinename></machinename> dan IWAM_<machinename></machinename> account dan Pengguna kelompok, dan kemudian memastikan bahwa hanya berikut dipilih:
      • Membaca & mengeksekusi
      • Buat Daftar Isi Map
      • Baca
   2. Membuka properti untuk %systemroot%\Temp folder, pilih IUSR_<machinename></machinename> account (ini akun tersebut sudah hadir karena mewarisi dari Winnt folder), dan kemudian Klik untuk memilih Memodifikasi kotak centang. Ulangi langkah ini untuk IWAM_<machinename></machinename> rekening dan Pengguna kelompok.
   3. Jika FrontPage Server Extension klien seperti FrontPage atau Microsoft Visual InterDev sedang digunakan, membuka properti untuk %systemdrive%\Inetpub\Wwwroot folder, pilih Dikonfirmasi Pengguna grup, pilih berikut, dan kemudian klik Oke:
      • Memodifikasi
      • Membaca & mengeksekusi
      • Buat Daftar Isi Map
      • Baca
      • Menulis

NTFS izin

Tabel berikut berisi daftar izin yang akan diterapkan Ketika Anda mengikuti langkah-langkah dalam "Nonaktifkan warisan dalam sistem direktori"bagian. Tabel ini untuk referensi saja.

Untuk menerapkan izin dalam tabel berikut:

1. Buka Windows Explorer. Untuk melakukannya, klikMulai, klik Program, klikAksesoris, lalu klik Windows Explorer.
2. Memperluas Komputer Saya.
3. Klik kanan %systemroot%, lalu klikProperti.
4. Klik Keamanan tab, dan kemudian klikLanjutan.
5. Klik dua kali Izin, kemudian pilih pengaturan yang sesuai dari Menerapkan ke daftar.

Catatan Kolom di "berlaku untuk", istilah Default merujuk kepada "ini folder, subfolder, dan file."
** Jika Anda menggunakan Server FrontPage Extensions, Dikonfirmasi pengguna atau grup pengguna harus memiliki izin perubahan NTFS untuk membuat, mengubah nama, menulis, atau menyediakan fungsionalitas bahwa pengembang mungkin harus memiliki dari FrontPage-jenis klien, seperti Visual InterDev 6.0 atau FrontPage 2002.

Berikan izin pada registri

1. Klik Mulai, klik Menjalankan, jenis Regedt32, lalu klik Oke. Melakukan tidak menggunakan Peninjau Suntingan Registri karena tidak membiarkan Anda mengubah izin di Windows 2000.
2. Pada Peninjau Suntingan Registri, Cari dan pilihHKEY_LOCAL_MACHINE.
3. Memperluas Sistem, memperluasCurrentControlSet, dan kemudian memperluasLayanan.
4. Pilih IISADMIN kunci, klikKeamanan (atau tekan ALT + S), kemudian pilihIzin (atau tekan P).
5. Klik untuk menghapus Memungkinkan diwariskan izin dari orang tua untuk menyebarkan obyek Periksa kotak, klikSalin, dan kemudian menghapus semua pengguna kecuali:
   • Administrator (memungkinkan membaca dan kontrol penuh)
   • Sistem (memungkinkan membaca dan kontrol penuh)
6. Klik Oke.
7. Ulangi langkah-langkah untuk MSFTPSVCkunci.
8. Pilih W3SVC kunci, klikKeamanan, lalu klik Izin.
9. Klik untuk menghapus Memungkinkan diwariskan izin dari orang tua untuk menyebarkan obyek memeriksa kotak, dan kemudian menghapus semua entri kecuali:
   • Administrator (memungkinkan membaca dan kontrol penuh)
   • Sistem (memungkinkan membaca dan kontrol penuh)
   • Jaringan (baca)
   • Layanan (baca)
   • IWAM_<machinename> (baca)</machinename>
10. Klik Oke.

Registri

Tabel berikut berisi daftar izin yang akan diterapkan Ketika Anda mengikuti langkah-langkah dalam "Grant perizinan di registri"bagian. Tabel ini adalah untuk referensi hanya.

Catatan Akronim HKLM singkatan HKEY_LOCAL_MACHINE.

Grant hak dalam kebijakan keamanan lokal

1. Klik Mulai, klikTataan, lalu klik Kontrol Panel.
2. Klik dua kali Alat administratif, dan kemudian klik dua kali Kebijakan keamanan lokal.
3. Dalam Pengaturan keamanan lokal kotak dialog, memperluas Kebijakan lokal, lalu klik Hak-hak pengguna Tugas.
4. Memodifikasi sesuai kebijakan:
   1. Klik dua kali kebijakan.
   2. Lalu klik Hapus untuk setiap pengguna yang tidak tercantum di dalam tabel.
   3. Tambahkan pengguna yang tidak terdaftar. Untuk melakukannya, klik Tambahkan, lalu pilih pengguna di Pilih pengguna atau Kelompok kotak dialog.

Perhatikan bahwa karena kebijakan kontroler domain yang mengabaikan lokal kebijakan, Anda harus memastikan bahwa Pengaturan kebijakan yang efektif pertandingan Pengaturan kebijakan lokal.

Kebijakan

Tabel berikut berisi daftar izin yang akan diterapkan ketika Anda mengikuti langkah-langkah di bagian "Memberikan hak dalam kebijakan keamanan lokal".

Layanan

Untuk informasi lebih lanjut tentang layanan yang harus Anda miliki untuk IIS 4.0, klik nomor artikel di bawah ini untuk melihat artikel di dalam Basis Pengetahuan Microsoft:

Untuk informasi lebih lanjut tentang cara memulihkan default NTFS izin untuk Windows 2000, klik nomor artikel di bawah ini untuk melihat artikel di dalam Basis Pengetahuan Microsoft: