Cara menetapkan diperlukan NTFS izin dan hak-hak pengguna untuk IIS 5.0, IIS 5.1, IIS 6.0 Web atau server

Terjemahan Artikel Terjemahan Artikel
ID Artikel: 271071 - Melihat produk di mana artikel ini berlaku.
Perbesar semua | Perkecil semua

Pada Halaman ini

RINGKASAN

Artikel ini selangkah demi selangkah menjelaskan minimum izin yang diperlukan untuk dedicated Internet Information Services (IIS) 5.0, IIS 5.1, atau IIS 6.0 Web server.

Warning Artikel ini hanya berlaku untuk dedicated server Web yang menggunakan fungsi IIS dasar, seperti melayani konten HTML statis konten atau sederhana Active Server Pages (ASP). Izin persyaratan yang dijelaskan dalam artikel ini ditujukan khusus hanya untuk izin dasar untuk sebuah server Web yang menjalankan IIS 5.x atau 6.0 artikel ini tidak mempertimbangkan Microsoft lainnya dan produk pihak ketiga yang mungkin membutuhkan hak akses yang berbeda. Kami menyarankan Anda memeriksa artikel yang ditujukan khusus untuk peran server Web Anda dan melakukan tes sebelum Anda membuat perubahan izin pada server Web produksi. Untuk link ke artikel terkait untuk produk Microsoft lainnya, lihat bagian "Referensi".

Jika Anda menerapkan izin ini IIS server yang melayani peran lain, seperti Microsoft Exchange Server 5.5, Microsoft Exchange Server 2000, atau pihak ketiga aplikasi yang bergantung pada izin tambahan, produk tersebut mungkin tidak beroperasi seperti yang diharapkan.

Untuk informasi lebih lanjut tentang izin yang diperlukan untuk IIS 6.0, klik nomor artikel di bawah ini untuk melihat artikel di dalam Basis Pengetahuan Microsoft:
812614Standar izin dan hak-hak pengguna untuk IIS 6.0
Pengujian untuk dokumen ini termasuk berikut fungsional tes:
  • Hypertext Dokumen (HTML)
  • Active Server Pages (ASP)
  • FrontPage Server Extensions, seperti menghubungkan, mengedit, dan menyimpan, jika FPSE diaktifkan saat Anda menggunakan alat Lockdown
  • Secure Socket lapisan (SSL) sambungan
Dokumen ini Apakah tidak alamat salah satu persyaratan keamanan khusus berikut peran server atau aplikasi:
  • Pengontrol Domain Windows 2000
  • Microsoft Exchange 5.5 atau Microsoft Exchange 2000 Outlook Akses web
  • Microsoft Small Business Server 2000
  • Microsoft SharePoint Portal atau tim layanan
  • Microsoft Commerce Server 2000 atau Microsoft Commerce Server 2002
  • Microsoft BizTalk Server 2000 atau Microsoft BizTalk Server 2002
  • Microsoft konten manajemen Server 2000 atau Microsoft Server manajemen konten 2002
  • Microsoft aplikasi pusat 2000
Meninjau dokumentasi server dan aplikasi untuk persyaratan keamanan tertentu. Link ke artikel Basis Pengetahuan terkait disediakan dalam bagian "Referensi".

Sebelum Anda menerapkan izin di artikel ini, kita menganjurkan bahwa Anda menjalankan versi terbaru IIS Lockdown alat. Untuk informasi tambahan tentang alat ini, kunjungi Web site Microsoft berikut:
.aspx http://technet.Microsoft.com/en-us/library/dd450372 (WS.10)
Berikut program dan layanan diinstal sebagai bagian dari test suite yang digunakan untuk menguji Keamanan server setelah pemberian izin yang dijelaskan dalam artikel ini:
  • Layanan indeks
  • Layanan Terminal
  • Script Debugger
  • IIS
    • File umum
    • Dokumentasi
    • Ekstensi FrontPage Server 2000
    • Manajer Layanan Internet (HTML)
    • WWW
    • FTP

Grant kepemilikan dan izin administrator dan sistem

Untuk memberikan izin kepada sistem:
  1. Buka Windows Explorer. Untuk melakukannya, klikMulai, klik Program, lalu klikWindows Explorer.
  2. Memperluas Komputer Saya.
  3. Klik kanan pengandar sistem (biasanya ini adalah kandar C), kemudian klik Properti.
  4. Klik Keamanan tab, dan kemudian klikLanjutan untuk membuka Pengaturan kontrol akses untuk lokal Disk kotak dialog.
  5. Klik Pemilik tab, klik untuk memilihGanti pemilik pada Sub wadah dan objek kotak centang, dan kemudian klik Menerapkan.

    Jika Anda menerima galat berikut pesan, klik Lanjutkan:
    Sebuah kesalahan telah terjadi menerapkan informasi keamanan %SystemDrive%\Pagefile.sys
  6. Jika Anda menerima pesan galat berikut, klikYa:
    Anda tidak memiliki izin untuk membaca isi direktori %systemdrive%\System Informasi Volume - yang Anda inginkan untuk mengganti izin direktori - semua izin akan diganti pemberian Anda kontrol penuh
  7. Klik Oke untuk menutup kotak dialog.
  8. Klik Tambahkan.
  9. Menambahkan pengguna berikut, dan kemudian memberi mereka penuh Izin kontrol NTFS:
    • Administrator
    • Sistem
    • Pencipta pemilik
  10. Setelah Anda menambahkan izin NTFS ini, klikLanjutan, klik untuk memilih Ulang izin pada semua objek anak-anak dan Aktifkan propagasi diwariskan perizinan Periksa kotak, dan kemudian klik Menerapkan.
  11. Jika Anda menerima pesan galat berikut, klikLanjutkan:
    Sebuah kesalahan telah terjadi menerapkan keamanan informasi untuk %systemdrive%\Pagefile.sys
  12. Setelah Anda telah me-reset perizinan NTFS, klikOke.
  13. Klik Semua orang grup, klikHapus, lalu klik Oke.
  14. Membuka properti untuk %systemdrive%\Program Program file folder, dan kemudian klik Keamanan tab. Menambahkan account yang digunakan untuk akses anonim. Secara default, ini adalah IUSR_<machinename> rekening. Kemudian, tambahkan grup pengguna. Pastikan bahwa Berikut ini hanya dipilih:</machinename>
    • Membaca & mengeksekusi
    • Buat Daftar Isi Map
    • Baca
  15. Membuka properti untuk direktori root yang memegang Anda Konten web. Secara default, ini adalah %systemdrive%\Inetpub\Wwwroot folder. Klik Keamanan tab, menambahkan IUSR_<machinename> account dan pengguna kelompok, dan kemudian memastikan bahwa hanya berikut dipilih:</machinename>
    • Membaca & mengeksekusi
    • Buat Daftar Isi Map
    • Baca
  16. Jika Anda ingin memberikan izin menulis NTFS Inetpub\FTProot atau jalur direktori untuk situs FTP atau situs, ulangi langkah 15.

    Catatan Kami tidak menganjurkan bahwa Anda memberikan izin NTFS menulis untuk account anonim di direktori apapun, termasuk direktori yang digunakan oleh menggunakan Layanan FTP. Ini dapat menyebabkan data tidak perlu upload ke server Web Anda.

Menonaktifkan warisan dalam sistem direktori

  1. Di map % SystemRoot%\System32, pilih semua folder kecuali berikut:
    • Inetsrv
    • Certsrv (jika ada)
    • COM
  2. Klik kanan folder yang tersisa, klikProperti, lalu klik Keamanantab.
  3. Klik untuk menghapus Memungkinkan diwariskan izin Periksa kotak, klik Salin, lalu klikOke.
  4. Di map % systemroot %, pilih semua folder kecuali Berikut ini:
    • Majelis (jika ada)
    • File Program yang didownload
    • Bantuan
    • Microsoft.net (jika ada)
    • Halaman Web offline
    • System32
    • Tugas
    • Temp
    • Web
  5. Klik kanan folder yang tersisa, klikProperti, lalu klik Keamanantab.
  6. Klik untuk menghapus Memungkinkan diwariskan izin Periksa kotak, klik Salin, lalu klikOke.
  7. Menerapkan izin sebagai berikut:
    1. Membuka properti untuk map % systemroot %, Klik Keamanan tab, tambahkan IUSR_<machinename></machinename> dan IWAM_<machinename></machinename> account dan Pengguna kelompok, dan kemudian memastikan bahwa hanya berikut dipilih:
      • Membaca & mengeksekusi
      • Buat Daftar Isi Map
      • Baca
    2. Membuka properti untuk %systemroot%\Temp folder, pilih IUSR_<machinename></machinename> account (ini akun tersebut sudah hadir karena mewarisi dari Winnt folder), dan kemudian Klik untuk memilih Memodifikasi kotak centang. Ulangi langkah ini untuk IWAM_<machinename></machinename> rekening dan Pengguna kelompok.
    3. Jika FrontPage Server Extension klien seperti FrontPage atau Microsoft Visual InterDev sedang digunakan, membuka properti untuk %systemdrive%\Inetpub\Wwwroot folder, pilih Dikonfirmasi Pengguna grup, pilih berikut, dan kemudian klik Oke:
      • Memodifikasi
      • Membaca & mengeksekusi
      • Buat Daftar Isi Map
      • Baca
      • Menulis

NTFS izin

Tabel berikut berisi daftar izin yang akan diterapkan Ketika Anda mengikuti langkah-langkah dalam "Nonaktifkan warisan dalam sistem direktori"bagian. Tabel ini untuk referensi saja.

Untuk menerapkan izin dalam tabel berikut:
  1. Buka Windows Explorer. Untuk melakukannya, klikMulai, klik Program, klikAksesoris, lalu klik Windows Explorer.
  2. Memperluas Komputer Saya.
  3. Klik kanan %systemroot%, lalu klikProperti.
  4. Klik Keamanan tab, dan kemudian klikLanjutan.
  5. Klik dua kali Izin, kemudian pilih pengaturan yang sesuai dari Menerapkan ke daftar.
Catatan Kolom di "berlaku untuk", istilah Default merujuk kepada "ini folder, subfolder, dan file."
Perkecil tabel iniPerbesar tabel ini
Direktori Users\Groups IzinBerlaku untuk
%SystemRoot%\ (c:\winnt)AdministratorPenuh KontrolDefault
SistemKontrol penuh Default
PenggunaMembaca, melaksanakanDefault
% SystemRoot%\System32AdministratorPenuh Kontrol Default
SistemKontrol penuhDefault
PenggunaMembaca, melaksanakanDefault
%systemroot%\system32\inetsrvAdministratorPenuh KontrolDefault
SistemKontrol penuh Default
PenggunaMembaca, melaksanakanDefault
Inetpub\adminscripts AdministratorPenuh KontrolDefault
Inetpub\urlscan (jika ada) AdministratorKontrol penuhDefault
SistemKontrol penuhDefault
%SystemRoot%\system32\inetsrv\metabackAdministratorPenuh KontrolDefault
SistemKontrol penuhDefault
%SystemRoot%\help\iishelp\commonAdministratorPenuh Kontrol Ini folder dan file
SistemKontrol penuhFolder ini dan file
IWAM_<machinename></machinename>Membaca, melaksanakanIni folder dan file
JaringanKontrol penuhFolder ini dan file
LayananIni folder dan file
PenggunaMembaca, melaksanakanFolder ini dan file
Inetpub\wwwroot (atau konten direktori)AdministratorKontrol penuhFolder ini dan file
SistemKontrol penuhFolder ini dan file
IWAM_<machinename></machinename>Membaca, melaksanakanIni folder dan file
LayananMembaca, melaksanakanFolder ini dan file
JaringanMembaca, melaksanakanFolder ini dan file
Opsional **:PenggunaMembaca, melaksanakanIni folder dan file

** Jika Anda menggunakan Server FrontPage Extensions, Dikonfirmasi pengguna atau grup pengguna harus memiliki izin perubahan NTFS untuk membuat, mengubah nama, menulis, atau menyediakan fungsionalitas bahwa pengembang mungkin harus memiliki dari FrontPage-jenis klien, seperti Visual InterDev 6.0 atau FrontPage 2002.

Berikan izin pada registri

  1. Klik Mulai, klik Menjalankan, jenis Regedt32, lalu klik Oke. Melakukan tidak menggunakan Peninjau Suntingan Registri karena tidak membiarkan Anda mengubah izin di Windows 2000.
  2. Pada Peninjau Suntingan Registri, Cari dan pilihHKEY_LOCAL_MACHINE.
  3. Memperluas Sistem, memperluasCurrentControlSet, dan kemudian memperluasLayanan.
  4. Pilih IISADMIN kunci, klikKeamanan (atau tekan ALT + S), kemudian pilihIzin (atau tekan P).
  5. Klik untuk menghapus Memungkinkan diwariskan izin dari orang tua untuk menyebarkan obyek Periksa kotak, klikSalin, dan kemudian menghapus semua pengguna kecuali:
    • Administrator (memungkinkan membaca dan kontrol penuh)
    • Sistem (memungkinkan membaca dan kontrol penuh)
  6. Klik Oke.
  7. Ulangi langkah-langkah untuk MSFTPSVCkunci.
  8. Pilih W3SVC kunci, klikKeamanan, lalu klik Izin.
  9. Klik untuk menghapus Memungkinkan diwariskan izin dari orang tua untuk menyebarkan obyek memeriksa kotak, dan kemudian menghapus semua entri kecuali:
    • Administrator (memungkinkan membaca dan kontrol penuh)
    • Sistem (memungkinkan membaca dan kontrol penuh)
    • Jaringan (baca)
    • Layanan (baca)
    • IWAM_<machinename> (baca)</machinename>
  10. Klik Oke.

Registri

Tabel berikut berisi daftar izin yang akan diterapkan Ketika Anda mengikuti langkah-langkah dalam "Grant perizinan di registri"bagian. Tabel ini adalah untuk referensi hanya.

Catatan Akronim HKLM singkatan HKEY_LOCAL_MACHINE.
Perkecil tabel iniPerbesar tabel ini
LokasiUsers\GroupsIzin
HKLM\System\CurrentControlSet\Services\IISAdminAdministratorPenuh Kontrol
SistemKontrol penuh
HKLM\System\CurrentControlSet\Services\MsFtpSvcAdministratorPenuh Kontrol
SistemKontrol penuh
HKLM\System\CurrentControlSet\Services\w3svcAdministratorPenuh Kontrol
SistemKontrol penuh
IWAM_<machinename></machinename>Baca

Grant hak dalam kebijakan keamanan lokal

  1. Klik Mulai, klikTataan, lalu klik Kontrol Panel.
  2. Klik dua kali Alat administratif, dan kemudian klik dua kali Kebijakan keamanan lokal.
  3. Dalam Pengaturan keamanan lokal kotak dialog, memperluas Kebijakan lokal, lalu klik Hak-hak pengguna Tugas.
  4. Memodifikasi sesuai kebijakan:
    1. Klik dua kali kebijakan.
    2. Lalu klik Hapus untuk setiap pengguna yang tidak tercantum di dalam tabel.
    3. Tambahkan pengguna yang tidak terdaftar. Untuk melakukannya, klik Tambahkan, lalu pilih pengguna di Pilih pengguna atau Kelompok kotak dialog.
Perhatikan bahwa karena kebijakan kontroler domain yang mengabaikan lokal kebijakan, Anda harus memastikan bahwa Pengaturan kebijakan yang efektif pertandingan Pengaturan kebijakan lokal.

Kebijakan

Tabel berikut berisi daftar izin yang akan diterapkan ketika Anda mengikuti langkah-langkah di bagian "Memberikan hak dalam kebijakan keamanan lokal".
Perkecil tabel iniPerbesar tabel ini
KebijakanPengguna
Logon secara lokalAdministrator
IUSR_<machinename> (anonim)</machinename>
Pengguna (otentikasi yang diperlukan)
Mengakses komputer ini dari JaringanAdministrator
ASPNet (.NET Framework)
IUSR_<machinename> (anonim)</machinename>
IWAM_<machinename></machinename>
Pengguna
Logon sebagai pekerjaan BatchASPNet
Jaringan
IUSR_<machinename></machinename>
IWAM_<machinename></machinename>
Layanan
Logon sebagai layananASPNet
Jaringan
Bypass melintasi memeriksaAdministrator
IUSR_<machinename> (anonim)</machinename>
Pengguna (Basic, terintegrasi, Digest)
IWAM_<machinename></machinename>

Layanan

Untuk informasi lebih lanjut tentang layanan yang harus Anda miliki untuk IIS 4.0, klik nomor artikel di bawah ini untuk melihat artikel di dalam Basis Pengetahuan Microsoft:
189271Daftar layanan yang diperlukan untuk menjalankan komputer IIS aman

REFERENSI

Untuk informasi lebih lanjut tentang cara memulihkan default NTFS izin untuk Windows 2000, klik nomor artikel di bawah ini untuk melihat artikel di dalam Basis Pengetahuan Microsoft:
266118Cara memulihkan default NTFS izin untuk Windows 2000
260985 Izin NTFS minimum yang diperlukan untuk menggunakan CDONTS
324068 Cara menetapkan izin IIS untuk objek tertentu
815153 Cara mengkonfigurasi NTFS file permission untuk keamanan dari ASP.NET aplikasi

Properti

ID Artikel: 271071 - Kajian Terakhir: 22 September 2011 - Revisi: 2.0
Berlaku bagi:
  • Microsoft Internet Information Services 5.1
  • Microsoft Internet Information Services 6.0
Kata kunci: 
kbhowtomaster kbhowto kbpending kbprb kbmt KB271071 KbMtid
Penerjemahan Mesin
PENTING: Artikel ini diterjemahkan menggunakan perangkat lunak mesin penerjemah Microsoft dan bukan oleh seorang penerjemah. Microsoft menawarkan artikel yang diterjemahkan oleh seorang penerjemah maupun artikel yang diterjemahkan menggunakan mesin sehingga Anda akan memiliki akses ke seluruh artikel baru yang diterbitkan di Pangkalan Pengetahuan (Knowledge Base) dalam bahasa yang Anda gunakan. Namun, artikel yang diterjemahkan menggunakan mesin tidak selalu sempurna. Artikel tersebut mungkin memiliki kesalahan kosa kata, sintaksis, atau tata bahasa, hampir sama seperti orang asing yang berbicara dalam bahasa Anda. Microsoft tidak bertanggung jawab terhadap akurasi, kesalahan atau kerusakan yang disebabkan karena kesalahan penerjemahan konten atau penggunaannya oleh para pelanggan. Microsoft juga sering memperbarui perangkat lunak mesin penerjemah.
Klik disini untuk melihat versi Inggris dari artikel ini:271071

Berikan Masukan

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com