Come impostare le autorizzazioni NTFS minime e i diritti utente per IIS 5. x o IIS 6.0

Traduzione articoli Traduzione articoli
In questo articolo viene descritto come impostare le autorizzazioni minime necessarie per dedicato Internet Information Services (IIS) 5.0, IIS 5.1 o server Web IIS 6.0.
La limitazione di questo articolo
Avviso. In questo articolo Ŕ valido solo per i server Web dedicati che utilizzano le funzionalitÓ di base di IIS, ad esempio il contenuto HTML statico contenuto o semplici pagine ASP (ASP). I requisiti di autorizzazione descritti in questo articolo sono specifici solo di autorizzazioni di base per un server Web dedicato che esegue IIS 5.x o IIS 6.0. In questo articolo non prende in considerazione altri prodotti Microsoft e terze parti che possono richiedere autorizzazioni diverse. ╚ possibile esaminare la documentazione di server e applicazioni per specifiche esigenze di protezione. ╚ consigliabile che si esaminare gli articoli correlati che sono specifici per i ruoli del server Web.
Test passaggi prima che le configurazioni di autorizzazioni in un ambiente di produzione
Prima di apportare modifiche alle autorizzazioni su un server Web di produzione, si consiglia di eseguire le seguenti operazioni:
  1. Eseguire la versione pi¨ recente dello strumento IIS Lockdown. Come parte del gruppo di test Ŕ stato utilizzato per verificare la protezione del server dopo la concessione delle autorizzazioni descritte in questo articolo sono stati installati i seguenti programmi e servizi:
    • Servizi di indicizzazione
    • Servizi terminal
    • Script Debugger
    • IIS
      • File comuni
      • Documentazione
      • Estensioni del Server di FrontPage 2000
      • Gestione di servizi Internet (HTML)
      • WWW
      • FTP
  2. Eseguire i test funzionali seguenti:
    • Documenti ipertestuali (HTML)
    • Pagine ASP (ASP)
    • Estensioni del Server di FrontPage, ad esempio la connessione, la modifica, andsaving, se FPSE Ŕ attivata mentre si utilizza lo strumento di blocco
    • Proteggere le connessioni Socket Layers (SSL)

Contenuto dell'articolo

Show all imageMostra tuttoHide all imageNascondi tutto

Assegnare proprietÓ e l'autorizzazione all'amministratore e al sistema

A tale scopo, attenersi alla seguente procedura:
  1. Aprire Esplora risorse. A tale scopo, fare clic suStart, scegliere programmie quindi fare clic suEsplora.
  2. Espandere risorse del Computer.
  3. Pulsante destro del mouse l'unitÓ di sistema (si tratta in genere l'unitÓ C) e quindi scegliere proprietÓ.
  4. Fare clic sulla scheda protezione e quindi fare clic suAvanzate per aprire la finestra di dialogo Impostazioni controllo di accesso per LocalDisk .
  5. Fare clic sulla scheda proprietario , fare clic per selezionare la casella di controlloSostituisci proprietario in Sub contenitori e oggetti andthen fare clic su Applica.

    Se viene visualizzato il seguente errormessage, fare clic su Continua:
    Un hasoccurred di errore applicazione di protezione informazioni to%systemdrive%\Pagefile.sys
  6. Se viene visualizzato il seguente messaggio di errore, fare clic su:
    Non si Ŕ autorizzati a readthe contenuto della directory %systemdrive%\System informazioni sul Volume - desidera sostituire le autorizzazioni di directory - tutte le autorizzazioni saranno sostituite grantingyou controllo completo
  7. Fare clic su OK per chiudere la finestra di dialogo.
  8. Fare clic su Aggiungi.
  9. Aggiungere i seguenti utenti e quindi concedere le autorizzazioni NTFS FullControl:
    • Amministratore
    • Sistema
    • Creator Owner
  10. Dopo aver aggiunto queste autorizzazioni NTFS, fare clic suAvanzate, fare clic per selezionare la casella di controllo Reimposta le autorizzazioni su oggetti allchild e abilita la propagazione delle autorizzazioni ereditabili e quindi fare clic su Applica.
  11. Se viene visualizzato il seguente messaggio di errore, fare clic suContinua:
    Errore applyingsecurity informazioni per %systemdrive%\Pagefile.sys
  12. Dopo aver reimpostato le autorizzazioni NTFS, fare clic suOK.
  13. Selezionare il gruppo Everyone , fare clic suRimuovie quindi fare clic su OK.
  14. Aprire le proprietÓ della cartella del file %systemdrive%\ProgramFiles\Common e quindi fare clic sulla scheda protezione .Aggiungere l'account utilizzato per l'accesso anonimo. Per impostazione predefinita, si tratta di theIUSR_<MachineName> account. Quindi, aggiungere il gruppo di utenti. Assicurarsi che thatonly vengono selezionati i seguenti:<b00> </b00> </MachineName>
    • Lettura & esecuzione
    • Visualizzazione contenuto cartella
    • Lettura
  15. Aprire le proprietÓ per la directory principale che contiene il contenuto di yourWeb. Per impostazione predefinita, questa Ŕ la cartella di %systemdrive%\Inetpub\Wwwroot.Fare clic sulla scheda protezione , aggiungere l'account IUSR _<MachineName>account e gli utenti di gruppo e quindi assicurarsi che solo i seguenti areselected:<b00> </b00> </MachineName>
    • Lettura & esecuzione
    • Visualizzazione contenuto cartella
    • Lettura
  16. Se si desidera concedere forInetpub\FTProot di autorizzazione di scrittura NTFS o il percorso della directory per il sito FTP o siti, ripetere step15.

    Nota. Non Ŕ consigliabile concedere scrittura NTFS permissionsto l'account anonimo in qualsiasi directory, incluse le directory utilizzate da viene utilizzato il servizio FTP. Questi dati non necessari cancause da caricare sul server Web.

Disattivare l'ereditarietÓ nelle directory di sistema

A tale scopo, attenersi alla seguente procedura:
  1. Nella cartella %systemroot%\System32, selezionare allfolders ad eccezione dei seguenti:
    • Inetsrv
    • Certsrv (se presente)
    • COM
  2. Destro delle restanti cartelle, fare clic suproprietÓe quindi scegliere la scheda protezione.
  3. Fare clic per deselezionare la casella di controllo Consenti inheritablepermissions , fare clic su Copiae quindi fare clic suOK.
  4. Nella cartella % systemroot %, selezionare tutti i seguenti exceptthe di cartelle:
    • Assembly (se presente)
    • File di programma scaricati
    • Guida in linea
    • Microsoft.NET (se presente)
    • Pagine Web non in linea
    • System32
    • AttivitÓ
    • TEMP
    • Web
  5. Destro delle restanti cartelle, fare clic suproprietÓe quindi scegliere la scheda protezione.
  6. Fare clic per deselezionare la casella di controllo Consenti inheritablepermissions , fare clic su Copiae quindi fare clic suOK.
  7. Applicare le autorizzazioni per le seguenti operazioni:
    1. Aprire la finestra delle proprietÓ nella cartella % systemroot %, fare clic sulla scheda protezione , aggiungere il IUSR _<MachineName> </MachineName> e IWAM _<MachineName> </MachineName> account e gli utenti di gruppo e assicurarsi che siano selezionate solo quanto segue:
      • Lettura & esecuzione
      • Visualizzazione contenuto cartella
      • Lettura
    2. Apri le proprietÓ della cartella %systemroot%\Temp, selezionare il IUSR _<MachineName> </MachineName> account (questo account Ŕ giÓ presente poichÚ eredita dalla cartella Winnt), quindi fare clic per selezionare la casella di controllo di Modifica . Ripetere questo passaggio per la IWAM _<MachineName> </MachineName> account e il gruppo di utenti .
    3. Se estensione client di FrontPage Server come FrontPage o Microsoft Visual InterDev vengono utilizzati, aprire le proprietÓ della cartella di %systemdrive%\Inetpub\Wwwroot, selezionare il gruppo Authenticated Users , selezionare i seguenti e fare clic su OK:
      • Modificare
      • Lettura & esecuzione
      • Visualizzazione contenuto cartella
      • Lettura
      • Scrittura

Autorizzazioni NTFS

Nella tabella seguente sono elencate le autorizzazioni che verranno applicate quando si esegue la procedura nella sezione "Disattiva l'ereditarietÓ nelle directory di sistema". Questa tabella Ŕ solo per riferimento.

Per applicare le autorizzazioni nella seguente tabella, attenersi alla seguente procedura:
  1. Aprire Esplora risorse. A tale scopo, fare clic suStart, scegliere programmi,Accessorie quindi fare clic su WindowsExplorer.
  2. Espandere risorse del Computer.
  3. Il pulsante destro % systemroot %e quindi scegliereproprietÓ.
  4. Fare clic sulla scheda protezione e quindi fare clic suAvanzate.
  5. Fare doppio clic su autorizzazionie quindi selezionare appropriata impostazione dall'elenco Applica a .
Nota.Nella "colonna applica a", il termine che predefinita fa riferimento a "Questa cartella, sottocartelle e file."
Riduci questa tabellaEspandi questa tabella
DirectoryUsers\GroupsAutorizzazioniApplica a
%SystemRoot%\ (c:\winnt)AmministratoreControllo completoImpostazione predefinita
SistemaControllo completo Impostazione predefinita
UtentiLettura, esecuzioneImpostazione predefinita
%SystemRoot%\System32.AmministratoriControllo completo Impostazione predefinita
SistemaControllo completoImpostazione predefinita
UtentiLettura, esecuzioneImpostazione predefinita
%systemroot%\system32\inetsrv.AmministratoriControllo completoImpostazione predefinita
SistemaControllo completo Impostazione predefinita
UtentiLettura, esecuzioneImpostazione predefinita
Inetpub\Adminscripts. AmministratoriControllo completoImpostazione predefinita
Inetpub\urlscan (se presente) AmministratoriControllo completoImpostazione predefinita
SistemaControllo completoImpostazione predefinita
%systemroot%\System32\inetsrv\MetaBackAmministratoriControllo completoImpostazione predefinita
SistemaControllo completoImpostazione predefinita
%SystemRoot%\help\iishelp\common.AmministratoriControllo completo Questa cartella e file
SistemaControllo completoQuesta cartella e file
IWAM _<Machinename></Machinename>Lettura, esecuzioneQuesta cartella e file
ReteControllo completoQuesta cartella e file
ServizioQuesta cartella e file
UtentiLettura, esecuzioneQuesta cartella e file
Inetpub\Wwwroot (o directory di contenuto)AmministratoriControllo completoQuesta cartella e file
SistemaControllo completoQuesta cartella e file
IWAM _<MachineName></MachineName>Lettura, esecuzioneQuesta cartella e file
ServizioLettura, esecuzioneQuesta cartella e file
ReteLettura, esecuzioneQuesta cartella e file
Facoltativo * *:UtentiLettura, esecuzioneQuesta cartella e file

Nota. Se si utilizza le estensioni del Server di FrontPage, Authenticated Users o il gruppo utenti disponga dell'autorizzazione NTFS Modifica per creare, rinominare, scrivere o per fornire la funzionalitÓ potrebbe essere uno sviluppatore di disporre di un tipo di FrontPage del client, ad esempio Visual InterDev 6.0 o Microsoft FrontPage 2002.

Concedere le autorizzazioni nel Registro di sistema

  1. Fare clic su Start, scegliere Esegui, tipo Regedt32, quindi scegliere OK. Utilizzare Editor del Registro di sistema perchÚ esso non Ŕ possibile modificare le autorizzazioni inWindows 2000.
  2. Nell'Editor del Registro di sistema individuare e selezionareHKEY_LOCAL_MACHINE.
  3. Espandere System,CurrentControlSetdi espandere e quindiservizi.
  4. Selezionare la chiave IISADMIN , fare clic suprotezione (o premere ALT + S), quindi selezionarele autorizzazioni (o premere MAIUSC + F12).
  5. Fare clic per deselezionare la casella di controllo padre di permissionsfrom ereditabili Consenti di propagare a questo oggetto , fare clic suCopiae quindi rimuovere tutti gli utenti ad eccezione di:
    • Amministratori (Consenti controllo completo e lettura)
    • Sistema (Consenti controllo completo e lettura)
  6. Fare clic su OK.
  7. Ripetere i passaggi per la chiave MSFTPSVC.
  8. Selezionare la chiave W3SVC , fare clic suprotezionee quindi fare clic su autorizzazioni.
  9. Fare clic per deselezionare la casella di controllo padre di permissionsfrom ereditabili Consenti di propagare a questo oggetto e quindi rimuovere allentries ad eccezione di:
    • Amministratori (Consenti controllo completo e lettura)
    • Sistema (Consenti controllo completo e lettura)
    • Rete (lettura)
    • Servizio (lettura)
    • IWAM _<MachineName> (lettura)</MachineName>
  10. Fare clic su OK.

Registro di sistema

Nella tabella seguente sono elencate le autorizzazioni che verranno applicate quando si esegue la procedura nella sezione "Concessione di autorizzazioni nel Registro di sistema". Questa tabella Ŕ solo per riferimento.

Nota. L'acronimo HKLM Ŕ l'acronimo di HKEY_LOCAL_MACHINE.
Riduci questa tabellaEspandi questa tabella
PosizioneUsers\GroupsAutorizzazioni
HKLM\System\CurrentControlSet\Services\IISAdminAmministratoriControllo completo
SistemaControllo completo
HKLM\System\CurrentControlSet\Services\MsFtpSvcAmministratoriControllo completo
SistemaControllo completo
HKLM\System\CurrentControlSet\Services\w3svcAmministratoriControllo completo
SistemaControllo completo
IWAM _<MachineName></MachineName>Lettura

Concedere diritti in Criteri di protezione locali

  1. Fare clic su Start, scegliereImpostazionie quindi fare clic su Pannello di controllo.
  2. Fare doppio clic su Strumenti di amministrazione, andthen fare doppio clic su Criteri di protezione locali.
  3. Nella finestra di dialogo Impostazioni protezione locale espandere Criteri localie quindi fare clic su Utente RightsAssignment.
  4. Modificare il criterio appropriato:
    1. Fare doppio clic sul criterio.
    2. Selezionare e quindi fare clic su Rimuovi per tutti gli utenti non elencati nella tabella.
    3. Aggiungere tutti gli utenti che non sono elencato. A tale scopo, fare clic su Aggiungie quindi selezionare l'utente nella finestra di dialogo Seleziona utenti o gruppi .
Si noti che poichÚ un criterio controller di dominio che esegue l'override del criterio locale, Ŕ necessario assicurarsi che Efficace impostazione corrisponde all'Impostazione di criterio locale.

Criteri

Nella tabella seguente sono elencate le autorizzazioni che verranno applicate quando si esegue la procedura nella sezione "Concessione di diritti nel criterio di protezione locale".
Riduci questa tabellaEspandi questa tabella
CriteriUtenti
Accesso localeAmministratori
IUSR _<MachineName> (anonimo)</MachineName>
Utenti (autenticazione necessaria)
Accesso al computer dalla reteAmministratori
ASPNet (.NET Framework)
IUSR _<MachineName> (anonimo)</MachineName>
IWAM _<MachineName></MachineName>
Utenti
Accesso come processo BatchASPNet
Rete
IUSR _<MachineName></MachineName>
IWAM _<MachineName></MachineName>
Servizio
Accesso come servizioASPNet
Rete
Ignorare controllo incrociatoAmministratori
IUSR _<MachineName> (anonimo)</MachineName>
Utenti (Basic integrato, Digest)
IWAM _<MachineName></MachineName>

Riferimenti

Per ulteriori informazioni su come ripristinare le autorizzazioni NTFS predefinite per Windows 2000, fare clic sui numeri per visualizzare gli articoli della Microsoft Knowledge Base:
266118 Come ripristinare le autorizzazioni NTFS predefinite per Windows 2000
260985 Autorizzazioni NTFS minime richieste per utilizzare CDONTS
324068 Come impostare le autorizzazioni di IIS per oggetti specifici
815153 Come configurare le autorizzazioni per file system NTFS per la protezione delle applicazioni ASP.NET

Per ulteriori informazioni sulle autorizzazioni necessarie per IIS 6.0, fare clic sul seguente numero di articolo per visualizzare l'articolo della Microsoft Knowledge Base:
812614 Le autorizzazioni predefinite e i diritti utente per IIS 6.0

Per ulteriori informazioni

Ruoli del server o applicazioni non risolti

In questo articolo non si riesce a risolvere uno dei requisiti di protezione specifiche seguenti ruoli del server o applicazioni:
  • Controller di dominio di Windows 2000
  • Microsoft Exchange 5.5 o Microsoft Exchange 2000 OutlookWeb Access
  • Microsoft Small Business Server 2000
  • Microsoft SharePoint Portal o Team Services
  • Microsoft Commerce Server 2000 o Microsoft Commerce Server2002
  • Microsoft BizTalk Server 2000 o Microsoft BizTalk Server2002
  • Microsoft Content Management Server 2000 o MicrosoftContent Management Server 2002
  • Microsoft Application Center 2000
  • Le applicazioni di terze parti che dipendono dalle autorizzazioni aggiuntive

Informazioni sull?articolo

Identificativo articolo: 271071
Ultima revisione: venerdý 25 aprile 2014
Le informazioni in questo articolo si applicano a:: Microsoft Internet Information Services 5.0, Microsoft Internet Information Services 5.1, Microsoft Internet Information Services 6.0
Traduzione automatica articoli
IMPORTANTE: il presente articolo Ŕ stato tradotto tramite un software di traduzione automatica di Microsoft ed eventualmente revisionato dalla community Microsoft tramite la tecnologia CTF (Community Translation Framework) o da un traduttore professionista. Microsoft offre articoli tradotti manualmente e altri tradotti automaticamente e rivisti dalla community con l?obiettivo di consentire all'utente di accedere a tutti gli articoli della Knowledge Base nella propria lingua. Tuttavia, un articolo tradotto automaticamente, anche se rivisto dalla community, non sempre Ŕ perfetto. Potrebbe contenere errori di vocabolario, di sintassi o di grammatica. Microsoft declina ogni responsabilitÓ per imprecisioni, errori o danni causati da una traduzione sbagliata o dal relativo utilizzo da parte dei clienti. Microsoft aggiorna frequentemente il software e gli strumenti di traduzione automatica per continuare a migliorare la qualitÓ della traduzione.
Clicca qui per visualizzare la versione originale in inglese dell?articolo: 271071
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.
Si desidera valutare questo articolo?
 

Get more support from smallbusiness.support.microsoft.com

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.