IIS の最小限の NTFS アクセス許可とユーザー権利を設定する方法 5.x または IIS 6.0

文書翻訳 文書翻訳
この資料では、専用インターネット インフォメーション サービス (IIS) 5.0、IIS 5.1、または IIS 6.0 Web サーバーに必要な最小限のアクセス許可を設定する方法について説明します。
この資料の制限
警告この資料では、HTML 静的コンテンツまたは単純な Active Server Pages (ASP) コンテンツの提供など、基本的な IIS 機能を使用する専用の Web サーバーの有効なのみです。この資料に記載されているアクセス許可の要件は、IIS 5 を実行している専用の Web サーバーの基本的なアクセス許可のみに固有です。x または IIS 6.0.この記事は考慮されていません その他のマイクロソフトとサード パーティ製の製品 別のアクセス許可を必要とする可能性があります。特定のセキュリティ要件を満たすサーバーおよびアプリケーションのマニュアルを確認できます。お勧めします。 関連の記事を確認します。 Web サーバーの役割に固有のであります。
運用環境では、アクセス許可の構成をする前に、テストの手順
運用 Web サーバーでアクセス許可の変更を行う前に、次の手順を実行することをお勧めします。
  1. Exchange Server 2010 SP1 をインストールした後 Outlook クライアント アプリケーションがパブリック フォルダーに接続できない IIS Lockdown ツールの最新バージョン.次のプログラムとサービスには、この資料に記載されているアクセス許可を付与した後にサーバーのセキュリティをテストするのに使用されたテスト スイートの一部としてインストールされました。
    • インデックス サービス
    • ターミナル サービス
    • スクリプト デバッガー
    • IIS
      • 共通ファイル
      • マニュアル
      • 2000 の FrontPage のサーバー拡張機能
      • インターネット サービス マネージャー (HTML)
      • WWW
      • FTP
  2. 次の機能のテストを実行します。
    • ハイパー テキスト ドキュメント (HTML)
    • Active Server Pages (ASP)
    • FrontPage Server Extensions、接続、編集、ロックダウン ツールを使用するときに、FPSE が有効な場合は、購入
    • セキュリティで保護されたソケット レイヤー (SSL) 接続

この資料の内容

Show all imageすべて表示Hide all imageすべて非表示

管理者とシステムに所有権とアクセス権を与える

これを行うには、次の手順を実行します。
  1. Windows エクスプ ローラーを開きます。これを行うに、[スタート] ボタン、[プログラム]、をクリックし、Windows エクスプ ローラーをクリックします。
  2. マイ コンピューターを展開します。
  3. (この通常はドライブ C)、システム ドライブを右クリックし、[プロパティ] をクリックします。
  4. [セキュリティ] タブをクリックし、 LocalDisk のアクセス制御の設定] ダイアログ ボックスを開くには、[詳細設定] をクリックします。、
  5. [所有者] タブをクリックして、 [適用] をクリックし、サブコンテナーとオブジェクトの所有者を置き換えるチェック ボックスをオンにします。

    場合は、次のエラー メッセージが表示されたら、[続行を] をクリックします。
    セキュリティ情報の to%systemdrive%\Pagefile.sys を適用するエラーが発生しました。
  6. 次のエラー メッセージが表示されたら、[はい] をクリックします。
    ないディレクトリ %systemdrive%\System ボリューム情報の内容を読めるようにアクセスを許可するには、ディレクトリのアクセス許可を置換したい - すべてのアクセス許可になります置き換えられる grantingyou フル コントロール
  7. ダイアログ ボックスを閉じます[ok]をクリックします。
  8. [追加] をクリックします。
  9. 次のユーザーを追加し、フルの NTFS のアクセス許可を付与します。
    • 管理者
    • システム
    • Creator Owner
  10. これらの NTFS アクセス許可を追加した後に [詳細設定] をクリックし、 allchild オブジェクトにアクセス許可をリセットしアクセス許可の継承を有効にする] チェック ボックスをオンに [適用] をクリックします。
  11. 場合は、次のエラー メッセージが表示されたら、[続行を] をクリックします。
    %Systemdrive%\Pagefile.sys に applyingsecurity の情報をエラーが発生します。
  12. NTFS のアクセス許可をリセットすると、[OKを] をクリックします。
  13. Everyoneグループ、削除を、] をクリックを [ OK] をクリックします。
  14. %Systemdrive%\ProgramFiles\Common ファイルのフォルダーのプロパティを開き、[セキュリティ] タブをクリックし。匿名アクセスに使用されるアカウントを追加します。既定では、これは theIUSR_<MachineName>アカウント。ユーザー グループを追加します。以下が選択されていることを確認の thatonly を作成する:<b00> </b00> </MachineName>
    • 読み取り & 実行
    • フォルダー内容の一覧表示
    • 読み取り
  15. YourWeb のコンテンツを保持するルート ディレクトリのプロパティを開きます。既定では、これは、%systemdrive%\Inetpub\Wwwroot フォルダーです。Iusr _ を追加して、[セキュリティ] タブをクリックして<MachineName>アカウントとグループ、し、確認の次が選択されるだけで、ユーザー:<b00> </b00> </MachineName>
    • 読み取り & 実行
    • フォルダー内容の一覧表示
    • 読み取り
  16. 書き込みの NTFS アクセス許可の forInetpub\FTProot または、FTP サイト、またはサイトのディレクトリ パスを許可する場合は、step15 を繰り返します。

    注: 匿名アカウントの FTP サービスの使用によって使用されるディレクトリを含む、すべてのディレクトリに NTFS の書き込みを行う権限を付与することはお勧めしません。このすると不要なデータを Web サーバーにアップロードします。

システム ディレクトリでの継承を無効にします。

これを行うには、次の手順を実行します。
  1. %Systemroot%\System32 フォルダーに、以下を除く allfolders を選択します。
    • Inetsrv
    • Certsrv (存在する場合)
    • COM
  2. 残りのフォルダーを右クリックし、プロパティ] をクリックし、[セキュリティ] タブをクリックします。
  3. Inheritablepermissions を許可する] チェック ボックスをオフにして、[コピー] をクリックし、[OK] をクリックするをクリックします。
  4. %Systemroot% フォルダー exceptthe 次のすべてのフォルダーを選択します。
    • アセンブリを (存在する場合)
    • ダウンロードされたプログラム ファイル
    • ヘルプ
    • 着眼点 (存在する場合)
    • オフラインの Web ページ
    • System32
    • タスク
    • Temp
    • Web
  5. 残りのフォルダーを右クリックし、プロパティ] をクリックし、[セキュリティ] タブをクリックします。
  6. Inheritablepermissions を許可する] チェック ボックスをオフにして、[コピー] をクリックし、[OK] をクリックするをクリックします。
  7. 次のアクセス許可が適用されます。
    1. %Systemroot% フォルダーのプロパティを開き、[セキュリティ] タブをクリックして、追加、 iusr _<MachineName></MachineName>iwam _<MachineName></MachineName>アカウントと、ユーザーをグループ化し、次のものが選択されていることを確認してください。
      • 読み取り & 実行
      • フォルダー内容の一覧表示
      • 読み取り
    2. 開く %systemroot%\Temp フォルダーにあるのプロパティを選択、 iusr _<MachineName></MachineName>アカウント (このアカウントは既に存在、Winnt フォルダーから継承しているため) を変更] チェック ボックスをオンにしをクリックします。この手順を繰り返します、 iwam _<MachineName></MachineName>アカウントとユーザーグループ。
    3. かどうか FrontPage サーバー拡張クライアント FrontPage または Microsoft Visual InterDev が使用されているなど、%systemdrive%\Inetpub\Wwwroot フォルダーのプロパティを開きます、 Authenticated Usersグループを選択、次を選択および [ OK] をクリックします。
      • 変更
      • 読み取り & 実行
      • フォルダー内容の一覧表示
      • 読み取り
      • 書き込み

NTFS のアクセス許可

「システム ディレクトリで無効する継承」セクションで手順を実行するときに適用されるアクセス許可を次の表に示します。この表では、参照専用です。

次の表のアクセス許可を適用するには、これらの手順に従います。
  1. Windows エクスプ ローラーを開きます。[スタート] ボタン、プログラム、[アクセサリ] をクリックを [エクスプ ローラー] をクリックします。
  2. マイ コンピューターを展開します。
  3. %Systemroot%を右クリックし、[プロパティ] をクリックします。
  4. [セキュリティ] タブをクリックし、[詳細設定] をクリックします。
  5. アクセス許可、し設定、[適用先] ボックスの一覧から適切な選択をダブルクリックします。
メモ 列の中の適用」に、「このフォルダー サブフォルダー、およびファイルです"既定値とは
元に戻す全体を表示する
ディレクトリUsers\Groupsアクセス許可適用します。
%systemroot%\(c:\winnt)管理者フル コントロール既定
システムフル コントロール 既定
ユーザー読み取り、実行既定
%systemroot%\system32管理者フル コントロール 既定
システムフル コントロール既定
ユーザー読み取り、実行既定
%systemroot%\system32\inetsrv管理者フル コントロール既定
システムフル コントロール 既定
ユーザー読み取り、実行既定
Inetpub\adminscripts 管理者フル コントロール既定
Inetpub\urlscan (存在する場合) 管理者フル コントロール既定
システムフル コントロール既定
%systemroot%\system32\inetsrv\metaback管理者フル コントロール既定
システムフル コントロール既定
%systemroot%\help\iishelp\common管理者フル コントロール このフォルダーとファイル
システムフル コントロールこのフォルダーとファイル
IWAM _<Machinename></Machinename>読み取り、実行このフォルダーとファイル
ネットワークフル コントロールこのフォルダーとファイル
サービスこのフォルダーとファイル
ユーザー読み取り、実行このフォルダーとファイル
見つける (ディレクトリ)管理者フル コントロールこのフォルダーとファイル
システムフル コントロールこのフォルダーとファイル
IWAM _<MachineName></MachineName>読み取り、実行このフォルダーとファイル
サービス読み取り、実行このフォルダーとファイル
ネットワーク読み取り、実行このフォルダーとファイル
* *: オプションユーザー読み取り、実行このフォルダーとファイル

メモ FrontPage サーバー拡張機能を使用している場合は、Authenticated Users または Users グループを作成するには、名前を変更する、書き込み、またはを開発者が FrontPage の一種の Visual InterDev 6.0 または FrontPage 2002 などのクライアントから必要な機能を提供する変更の NTFS アクセス許可が必要です。

レジストリのアクセス許可を付与

  1. [スタート] ボタン、実行をクリックして型 regedt32、し [ OK] をクリックします。は、inWindows 2000 のアクセス許可を変更することはできませんので、レジストリ エディターを使用します。
  2. レジストリ エディターで、見つけてHKEY_LOCAL_MACHINEを選択します。
  3. システムの展開をこのサービス展開します。
  4. IISADMINキー選択、セキュリティ] をクリックします (または alt キーを押しながら S キーを押します)、し選択のアクセス許可(または P キーを押します)。
  5. このオブジェクトに伝達する継承可能な permissionsfrom 親を許可する] チェック ボックスをオンをオフにして、[コピー] をクリックし、すべてのユーザーを除くを削除をクリックします。
    • 管理者が (読み取りおよびフル コントロールを許可する)
    • システム (読み取りおよびフル コントロールを許可する)
  6. [Ok]をクリックします。
  7. MSFTPSVCキーについて、手順を繰り返します。
  8. W3SVCキー、セキュリティ] をクリックを [アクセス許可] をクリックします。
  9. このオブジェクトに継承 permissionsfrom の継承可能な親を許可する] チェック ボックスをオフにするにはクリックして allentriesを除く
    • 管理者が (読み取りおよびフル コントロールを許可する)
    • システム (読み取りおよびフル コントロールを許可する)
    • ネットワーク (読み取り)
    • サービス (読み取り)
    • Iwam _<MachineName> (読み取り)</MachineName>
  10. [Ok]をクリックします。

レジストリ

「許可アクセス許可、レジストリのセクションの手順を実行するときに適用されるアクセス許可次表に示します。この表では、参照専用です。

メモ 頭字語 HKLM は HKEY_LOCAL_MACHINE を意味します。
元に戻す全体を表示する
場所Users\Groupsアクセス許可
HKLM\System\CurrentControlSet\Services\IISAdmin管理者フル コントロール
システムフル コントロール
HKLM\System\CurrentControlSet\Services\MsFtpSvc管理者フル コントロール
システムフル コントロール
HKLM\System\CurrentControlSet\Services\w3svc管理者フル コントロール
システムフル コントロール
IWAM _<MachineName></MachineName>読み取り

ローカル セキュリティ ポリシーで権利を付与

  1. [スタート] ボタンを設定、[コントロール パネル] をクリックします。
  2. [管理ツール]、 [ローカル セキュリティ ポリシー] をダブルクリックします。
  3. [ローカル セキュリティ設定] ダイアログ ボックスで、[ローカル ポリシー] を展開し、ユーザーの RightsAssignment
  4. 適切なポリシーを変更します。
    1. ポリシーをダブルクリックします。
    2. すべてのユーザーの [削除] をクリックし、表に記載されていません
    3. 表示されていないすべてのユーザーを追加します。これを行うに、追加] をクリックし、 [ユーザーまたはグループ] ダイアログ ボックスで、ユーザーを選択します。
ドメイン コント ローラー ポリシーはローカル ポリシーよりも優先されます、ためにする必要がありますを確認する有効なポリシー設定ローカル ポリシーの設定と一致することに注意してください。

ポリシー

「ローカル セキュリティ ポリシーで権利を付与する」セクション手順を実行するときに適用されるアクセス許可を次の表に示します。
元に戻す全体を表示する
ポリシーユーザー
ローカル ログオンします。管理者
Iusr _<MachineName> (匿名)</MachineName>
ユーザー (認証は不要)
ネットワーク経由でコンピューターへアクセスします。管理者
ASPNet (.NET Framework)
Iusr _<MachineName> (匿名)</MachineName>
IWAM _<MachineName></MachineName>
ユーザー
バッチ ジョブとしてログオンASPNet
ネットワーク
IUSR _<MachineName></MachineName>
IWAM _<MachineName></MachineName>
サービス
サービスとしてログオンASPNet
ネットワーク
走査チェックをバイパスします。管理者
Iusr _<MachineName> (匿名)</MachineName>
ユーザー (基本、統合ダイジェスト)
IWAM _<MachineName></MachineName>

関連情報

Windows 2000 のデフォルトの NTFS アクセス許可を復元する方法の詳細については、次のマイクロソフト サポート技術記事を表示するには、次の資料番号をクリックしてください。
266118 Windows 2000 のデフォルトの NTFS アクセス許可を復元する方法
260985 CDONTS を使用するために必要最小限の NTFS アクセス許可
324068 特定のオブジェクトに IIS のアクセス許可を設定する方法
815153 NTFS ファイル アクセス許可セキュリティのための ASP.NET アプリケーションを構成する方法

IIS 6.0 では、必要なアクセス許可の詳細については、次のマイクロソフト サポート技術資料を参照する次の文書番号をクリックしてください。
812614 既定のアクセス許可と iis のユーザー権利

詳細

サーバーの役割またはアプリケーションには対応していません

この資料の次のサーバーの役割またはアプリケーション固有のセキュリティ要件の 1 つは解決していません。
  • Windows 2000 のドメイン コント ローラー
  • Microsoft Exchange 5.5 または Microsoft Exchange 2000 の OutlookWeb アクセス
  • Microsoft 小規模ビジネス Server 2000
  • Microsoft SharePoint ポータルまたはチーム サービス
  • Microsoft Commerce Server 2000 または Microsoft Commerce Server2002
  • Microsoft BizTalk Server 2000年または Microsoft BizTalk Server2002
  • Microsoft コンテンツ管理 Server 2000 または MicrosoftContent の管理サーバー 2002
  • Microsoft Application Center 2000
  • 追加のアクセス許可に依存しているサードパーティ製のアプリケーション

この資料について

文書番号: 271071
最終更新日: 2014年4月25日
この資料は以下の製品について記述したものです。: Microsoft Internet Information Services 5.0, Microsoft Internet Information Services 5.1, Microsoft Internet Information Services 6.0
機械翻訳の免責
重要: このサポート技術情報 (以下「KB」) は、翻訳者による翻訳の代わりに、マイクロソフト機械翻訳システムによって翻訳されたものです。マイクロソフトは、お客様に、マイクロソフトが提供している全ての KB を日本語でご利用いただけるように、翻訳者による翻訳 KB に加え機械翻訳 KB も提供しています。しかしながら、機械翻訳の品質は翻訳者による翻訳ほど十分ではありません。誤訳や、文法、言葉使い、その他、たとえば日本語を母国語としない方が日本語を話すときに間違えるようなミスを含んでいる可能性があります。マイクロソフトは、機械翻訳の品質、及び KB の内容の誤訳やお客様が KB を利用されたことによって生じた直接または間接的な問題や損害については、いかなる責任も負わないものとします。マイクロソフトは、機械翻訳システムの改善を継続的に行っています。
英語版 KB:271071
Microsoft Knowledge Base の免責: Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。
この資料に関するフィードバックを提供しますか?
 

Get more support from smallbusiness.support.microsoft.com

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.