IIS 5.0, IIS 5.1 veya IIS 6.0 Web sunucusu için NTFS izinlerini ve kullanýcý haklarý nasýl gerekli

Bu adým adým makalede, ayrýlmýþ ýnternet ýnformation Services (IIS) 5.0, IIS 5.1 veya IIS 6.0 Web sunucusuna için gerekli en düþük izinler açýklanýr.

Uyarý Bu makalede, yalnýzca HTML statik içerik veya basit Active Server Pages (ASP), içerik hizmet görme gibi temel IIS iþlevini kullanan ayrýlmýþ Web sunucularý için geçerlidir. Bu makalede açýklanan izin gereksinimleri olan IIS 5 çalýþtýran adanmýþ bir Web sunucusu temel izinlerine YALNýZCA. x veya 6. 0'ýn diðer Microsoft ve farklý izinlere gerektirebilecek üçüncü taraf ürünlerin Bu makale dikkate almaz. Web sunucunuz için rolleri özgü makaleleri gözden geçirin ve üretim Web sunucusunda izin deðiþiklikleri yapmadan önce sýnamalarý gerçekleþtir öneririz. Diðer Microsoft ürünleriyle ilgili makalelere baðlantýlar için "Baþvurular" bölümüne bakýn.

Bu izinler, Microsoft Exchange Server 5.5, Microsoft Exchange Server 2000 veya üçüncü taraf uygulamalarýnýn, ek, izinleri baðýmlý diðer roller sunan bir IIS sunucusuna uygularsanýz, bu ürünlerin beklendiði gibi çalýþmayabilir.

IIS 6.0 için gerekli izinler hakkýnda daha fazla bilgi için Microsoft Knowledge Base'deki makaleyi görüntülemek üzere aþaðýdaki makale numarasýný týklatýn: Bu belge için sýnama aþaðýdaki iþlev sýnamalarý yer:

• Baðlantýlý metin belgeleri (HTML)
• Active Server Pages (ASP)
• Baðlanma, düzenleme ve kaydetme kilitleme aracýný kullanýrken FPSE etkin olduðunda, FrontPage Sunucu Uzantýlarý
• Yuva katmanlarý (SSL) baðlantýlarýnýn güvenliðini saðlayýn

Bu belgeyi, adresini deðil aþaðýdaki sunucu rolleri veya uygulama özel güvenlik gereksinimleri birini yapar:

• Windows 2000 Etki Alaný Denetleyicisi
• Microsoft Exchange 5.5 veya Exchange 2000 Outlook Web Access'i
• Microsoft Small Business Server 2000
• Microsoft SharePoint Portal veya Team Services
• Microsoft Commerce Server 2000 veya Microsoft Commerce Server 2002
• Microsoft BizTalk Server 2000 veya Microsoft BizTalk Server 2002
• Microsoft Content Management Server 2000 veya Microsoft Content Management Server 2002
• Microsoft Application Center 2000

Özel güvenlik gereksinimleri için sunucu ve uygulamanýn belgelerine bakýn. Ilgili Knowledge Base makalelerine baðlantýlar "Baþvurular" bölümünde saðlanmýþtýr.

Bu makaledeki izinler'i uygulamadan önce IIS Lockdown aracý en yeni sürümünü çalýþtýrmanýzý öneririz. Bu aracý hakkýnda ek bilgi için aþaðýdaki Microsoft Web sitesini ziyaret edin: Aþaðýdaki program ve hizmetlerin, bu makalede özetlenen izinleri verme sonra sunucu güvenliði sýnamak için kullanýlan sýnama paketinin bir parçasý olarak yüklendi:

• Dizin Hizmetleri
• Terminal Hizmetleri
• Komut dosyasý hata ayýklayýcýsý
• IIS
  • Ortak dosyalar
  • Belgeleri
  • FrontPage Sunucu Uzantýlarý 2000
  • Internet Services Manager (HTML)
  • www
  • FTP

Yönetici ve sistem, sahipliði ve izin verin

Sistem için izin atamak için <a0></a0>:

1. Windows Gezgini'ni açýn. Bunu yapmak için <a0></a0>, Baþlat ' ý týklatýn, Programlar ' ý týklatýn ve sonra Windows Gezgini ' ni týklatýn.
2. Bilgisayarým ' ý geniþletin.
3. (Bu genellikle C sürücüsüdür) sistem sürücüsünü sað týklatýn ve sonra da Properties ' i týklatýn.
4. Güvenlik sekmesini týklatýn ve sonra da <a0>Yerel Disk için eriþim denetim ayarlarý</a0> iletiþim kutusunu açmak için Geliþmiþ ' i týklatýn.
5. Sahibi sekmesini Deðiþtir sahip alt kapsayýcýlarý ve nesneleri</a1> onay kutusunu týklatýp seçin ve sonra Uygula ' yý týklatýn.
   
   Aþaðýdaki hata iletisini alýrsanýz, devam ' ý týklatýn:
   Hata %systemdrive%\Pagefile.sys uygulanan güvenlik bilgilerini oluþtu
6. Aþaðýdaki hata iletisini alýrsanýz, Evet ' i týklatýn:
   Dizin %systemdrive%\System Volume ýnformation - içeriðini okuma izniniz dizin izinleri deðiþtirmek istiyor musunuz - tüm izinleri tam denetim izni verme deðiþtirilir.
7. Iletiþim kutusunu kapatmak için Tamam ' ý týklatýn.
8. Ekle ' yi týklatýn.
9. Aþaðýdaki kullanýcýlar ekleme ve daha sonra bunlarý tam denetim NTFS izni verin:
   • Yönetici
   • SYSTEM (Sistem)
   • CREATOR OWNER (OLUÞTURAN SAHÝBÝ)
10. Bu NTFS izinleri ekledikten sonra Geliþmiþ ' i týklatýn, tüm alt nesnelerin izinlerini sýfýrla ve devralýnabilen izinlerin daðýtýlmasýný etkinleþtir onay kutusunu týklatýp seçin ve sonra Uygula ' yý týklatýn.
11. Aþaðýdaki hata iletisini alýrsanýz, devam ' ý týklatýn:
    Hata %systemdrive%\Pagefile.sys uygulanan güvenlik bilgilerini oluþtu
12. NTFS izinlerini sýfýrlamanýz, sonra Tamam ' ý týklatýn.
13. Everyone grubu týklatýn, Kaldýr ' ý týklatýn ve sonra Tamam ' ý týklatýn.
14. %Systemdrive%\Program Files\Common dosyalarý klasörün özelliklerini açýn ve sonra da Güvenlik sekmesini týklatýn. Anonim eriþim için kullanýlan hesabý ekleyin. Varsayýlan olarak, bu <machinename>ýusr_, hesap. Sonra kullanýcýlar grubuna ekleyin. Yalnýzca aþaðýda seçili olduðundan emin olun:
    • Okuma ve yürütme
    • Klasör içeriðini Listele
    • Okuma
15. Web içerik taþýyan bir kök dizinin özelliklerini açýn. Varsayýlan olarak, bu %systemdrive%\Inetpub\Wwwroot klasördür. Güvenlik sekmesini týklatýn, ýusr_ <machinename>Ekle hesap ve kullanýcýlarý Grup ve yalnýzca aþaðýda seçili olduðundan emin olun:
    • Okuma ve yürütme
    • Klasör içeriðini Listele
    • Okuma
16. Ya da FTP site veya siteleri için dizin yolunu Inetpub\FTProot NTFS yazma izni vermek istiyorsanýz, yineleme 15 adým.
    
    Not FTP hizmetini kullanan'tarafýndan kullanýlan dizinlerinin dahil olmak üzere, tüm dizinlerdeki anonim hesabýn NTFS yazma izinleri vermeniz önerilmez. Bu, Web sunucunuz karþýya yüklenecek, gereksiz veri neden olabilir.

Devralma sistem dizinleri içinde devre dýþý býrakma

1. %SystemRoot%\System32 klasöründe, aþaðýdakiler dýþýnda tüm klasörleri seçin:
   • Inetsrv
   • CertSrv (varsa)
   • COM
2. Kalan klasörleri sað týklatýn, Özellikler ' i týklatýn ve sonra Güvenlik ' i týklatýn sekmesi.
3. <a0>Üst öðeden devralýnabilen izinlerin bu nesneye izin ver</a0> onay kutusunu temizleyin, Kopyala ' yý týklatýn ve sonra Tamam ' ý týklatýn, bu seçeneði týklatýn.
4. % Systemroot % klasöründe aþaðýdaki dýþýndaki tüm klasörler seçin:
   • Derleme (varsa)
   • Karþýdan yüklenen program dosyalarý
   • HELP
   • Microsoft.NET (varsa)
   • Çevrimdýþý Web sayfalarý
   • System32
   • Görevler
   • Geçici
   • Web
5. Kalan klasörleri sað týklatýn, Özellikler ' i týklatýn ve sonra Güvenlik ' i týklatýn sekmesi.
6. <a0>Üst öðeden devralýnabilen izinlerin bu nesneye izin ver</a0> onay kutusunu temizleyin, Kopyala ' yý týklatýn ve sonra Tamam ' ý týklatýn, bu seçeneði týklatýn.
7. Izinleri Aþaðýdakilere Uygula:
   1. % Systemroot % klasörü özelliklerini açýn, Güvenlik sekmesini týklatýn, IUSR_<machinename>ekleme ve IWAM_<machinename> hesaplarý ve Grup sonra yalnýzca aþaðýda seçili olduðundan emin olun ve kullanýcýlar:
      • Okuma ve yürütme
      • Klasör içeriðini Listele
      • Okuma
   2. %Systemroot%\Temp klasörün özelliklerini açýn, IUSR_<machinename>seçin. hesabýnýn, (Bu Winnt klasöründen devralýr, çünkü bu hesabý zaten var) týklatýp <a0>Deðiþtir</a0> onay kutusunu seçin. Bu adýmý için IWAM_<machinename>yineleyin... hesabý ve kullanýcý grubu.
   3. FrontPage Sunucu Uzantýlarý istemcilerini FrontPage veya Microsoft Visual ýnterdev kullanýldýðý gibi %systemdrive%\Inetpub\Wwwroot klasörün özelliklerini açýn, Authenticated Users grubu seçin, aþaðýdakileri seçin ve Tamam ' ý týklatýn:
      • Deðiþtirme
      • Okuma ve yürütme
      • Klasör içeriðini Listele
      • Okuma
      • Yazma

NTFS izinleri

Aþaðýdaki tabloda, "sistem dizinleri içinde devralma devre dýþý býrak" bölümündeki adýmlarý izlediðinizde, uygulanacak izinleri listeler. Bu tablo için yalnýzca baþvurudur.

Aþaðýdaki tabloda izinler uygulamak için <a0></a0>:

1. Windows Gezgini'ni açýn. Bunu yapmak için <a0></a0>, Baþlat ' ý týklatýn, Programlar ' ý týklatýn, Donatýlar ' ý týklatýn ve sonra Windows Gezgini ' ni týklatýn.
2. Bilgisayarým ' ý geniþletin.
3. % Systemroot % ' i sað týklatýn ve sonra da Properties ' i týklatýn.
4. Güvenlik sekmesini týklatýn ve sonra da Geliþmiþ ' i týklatýn.
5. Izin ' ý çift týklatýn ve sonra da Uygula listeden uygun ayarý seçin.

Not Sütun “ uygulamak için ”, terimi varsayýlan “ bu klasör, alt klasörlerin ve dosyalarýn. ” baþvuruyor.
** FrontPage Server Extensions'ý kullanýyorsanýz, Authenticated Users veya Users grubu oluþturmak için yeniden adlandýrmak için yazmaya veya geliþtirici istemcisinin, Visual ýnterdev 6.0 veya FrontPage 2002 gibi bir FrontPage türden olmasý gerekebilir iþlevsellik saà Deðiþtir NTFS iznine sahip olmalýdýr.

Kayýt defteri izinleri

1. Baþlat ' ý týklatýn, Çalýþtýr ' ý týklatýn, regedt32 yazýn ve Tamam ' ý týklatýn. Bu, Windows 2000'de izinleri deðiþtirmenize izin vermez, çünkü Kayýt Defteri Düzenleyicisi'ni kullanýn.
2. Kayýt Defteri Düzenleyicisi'nde bulup HKEY_LOCAL_MACHINE seçin.
3. Sistem ' i geniþletin, CurrentControlSet geniþletin ve sonra Services ' ý geniþletin.
4. IISADMIN anahtarý'ný seçin, Güvenlik ' i týklatýn (veya ALT + S tuþlarýna basýn) ve izinler ' i seçin (veya P tuþuna basýn).
5. <a0>Üst öðeden devralýnabilen izinlerin bu nesneye geçirilmesine izin ver</a0> onay kutusunu temizleyin, Kopyala ' yý týklatýn ve sonra da tüm kullanýcýlar dýþýndaki kaldýrmak için týklatýn:
   • Yöneticiler (okuma ve tam denetim izin ver)
   • Sistem (okuma ve tam denetim izin ver)
6. Tamam ' ý týklatýn.
7. Yineleyin için MSFTPSVC anahtarýnýn.
8. W3SVC anahtarýnýn seçin, Güvenlik ' i týklatýn ve izinler ' i týklatýn.
9. ' ý týklatýn <a0>Üst öðeden devralýnabilen izinlerin bu nesneye geçirilmesine izin ver</a0> onay kutusunu temizleyin ve sonra da tüm girdileri dýþýndaki kaldýrýn:
   • Yöneticiler (okuma ve tam denetim izin ver)
   • Sistem (okuma ve tam denetim izin ver)
   • <a1>Að</a1> (okuma)
   • <a1>Hizmet</a1> (okuma)
   • Iwam_ <machinename>(okuma)
10. Tamam ' ý týklatýn.

Kayýt defteri

Aþaðýdaki tabloda, "kayýt defterindeki izin ver" bölümündeki adýmlarý izlediðinizde, uygulanacak izinleri listeler. Bu tablo için yalnýzca baþvurudur.

Not Kýsaltmasý için HKEY_LOCAL_MACHINE HKLM "anlamýna gelir.

Yerel güvenlik ilkesi haklarý ver

1. Baþlat ' ý týklatýn, Ayarlar ' ý týklatýn ve sonra Denetim Masasý ' ný týklatýn.
2. Yönetimsel Araçlar ' ý çift týklatýn ve sonra Yerel güvenlik ilkesi ' ni çift týklatýn.
3. Yerel güvenlik ayarlarý iletiþim kutusunda, Yerel ilkeleri ' ni geniþletin ve Kullanýcý haklarý atamasý</a1>'ý týklatýn.
4. Uygun ilke deðiþtirin:
   1. Ilkeyi çift týklatýn.
   2. Seçin ve sonra da olan herhangi bir kullanýcý için Kaldýr ' ý týklatýn listede yok.
   3. Listede herhangi bir kullanýcý ekleyin. Bunu yapmak için <a0></a0>, Ekle ' yi týklatýn ve sonra da kullanýcýyý kullanýcý veya Grup Seç iletiþim kutusunda seçin.

Bir etki alaný denetleyicisi ilkesi yerel ilke kýldýðýndan, Etkin ilke ayarý, Yerel ilke ayarý eþleþtiðinden emin olmalýsýnýz olduðunu unutmayýn.

Ilkeleri

Aþaðýdaki tabloda, "Yerel güvenlik ilkesinde haklarý ver" bölümündeki adýmlarý izlediðinizde, uygulanacak izinleri listeler.

Gerekli hizmetler

IIS 4.0 için gereken hizmetler hakkýnda daha fazla bilgi için Microsoft Knowledge Base'deki makaleyi görüntülemek üzere aþaðýdaki makale numarasýný týklatýn:

Windows 2000 geri yükleme varsayýlan NTFS izinleri hakkýnda daha fazla bilgi için Microsoft Knowledge Base'deki makaleleri görüntülemek üzere aþaðýdaki makale numaralarýný týklatýn: