文章編號: 271071 - 上次校閱: 2009年5月19日 - 版次: 16.0

如何設定 IIS 5.0、 IIS 5.1 或 IIS 6.0 Web 伺服器的需要 NTFS 權限,且使用者權限

中英文對照顯示按一下這裡顯示機器翻譯的中英文對照
機器翻譯檢視機器翻譯免責聲明
檢視此文章適用的產品。
系統提示本文適用於您使用的作業系統之外的作業系統。與您不相關的文章內容已停用。

在此頁中

全部展開 | 全部摺疊

結論

本文將逐步告訴您,最小權限專用網際網路資訊服務 (IIS) 5.0、 IIS 5.1 或 IIS 6.0 網頁伺服器需要的。

警告這份文件才適用於使用如伺服 HTML 靜態內容或簡單動態伺服器網頁 (ASP) 內容的基本 IIS 功能的專屬 Web 伺服器。本文中所述之權限需求所特有的專用的 Web 伺服器執行 IIS 5 的基本權限僅 x 或 6.0 版這篇文章不會考慮其他 Microsoft 和協力廠商產品可能需要不同的權限。我們建議您檢閱您的網頁伺服器角色的特定的文章,並在實際執行 Web 伺服器上進行權限變更之前,請先執行測試。如為其他 Microsoft 產品的相關文章通往請參閱 < 參考 > 一節。

如果您將這些權限套用到可做其他角色如 Microsoft Exchange Server 5.5、 Microsoft Exchange Server 2000 或額外的權限而定的協力廠商應用程式的 IIS 伺服器這些產品可能無法如預期般運作。

如更多有關 IIS 6.0 所需的權限,按一下 [下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
812614? (http://support.microsoft.com/kb/812614/ ) 預設權限和 IIS 6.0 的使用者權限
測試這份文件包含下列功能測試:
  • 超文字文件 (HTML)
  • 作用中伺服器網頁 (ASP)
  • 例如連線、 編輯,並儲存如果 FPSE 啟用雖然使用鎖定工具 FrontPage 伺服器延伸
  • 安全通訊端層 (SSL) 連線
這份文件並 下列伺服器角色或應用程式的特定安全性需求的任何一個的位址:
  • Windows 2000 網域控制站
  • Microsoft Exchange 5.5 或 Microsoft Exchange 2000 Outlook Web Access
  • Microsoft 小型商務伺服器 2000
  • Microsoft SharePoint 入口網站 」 或 「 小組服務
  • Microsoft Commerce Server 2000 或 Microsoft Commerce Server 2002
  • Microsoft BizTalk Server 2000 或 Microsoft BizTalk Server 2002
  • Microsoft 內容管理伺服器 2000年或 Microsoft 內容管理 Server 2002
  • Microsoft Application Center 2000
檢閱特定安全性需求的伺服器和應用程式說明文的件。< 參考 > 一節中會提供相關的 「 知識庫 」 文件的連結。

您套用本文中的權限之前我們建議您執行最新版本的 IIS 鎖定工具。如需有關此工具的詳細資訊,請造訪下列 Microsoft 網站:
http://www.microsoft.com/technet/security/tools/locktool.mspx (http://www.microsoft.com/technet/security/tools/locktool.mspx)
下列的程式及服務已安裝做為測試組合,用來測試伺服器安全性之後授與權限本文所述的一部分:
  • 索引服務
  • 終端機服務
  • 指令碼偵錯工具
  • IIS
    • 常見的檔案
    • 文件
    • FrontPage 伺服器擴充程式 2000
    • 網際網路服務管理員 」 (HTML)
    • WWW
    • FTP
回此頁最上方

授與擁有權和權限系統管理員,並在系統

系統指派權限:
  1. 開啟 [Windows 檔案總管]。若要執行此動作按一下 [開始]、 [程式集,然後按一下 [Windows 檔案總管]。
  2. 展開 [我的電腦
  3. 系統磁碟機 (通常是 C 磁碟機) 上, 按一下滑鼠右鍵,然後按一下 [內容]。
  4. 按一下 [安全性] 索引標籤,然後按一下 [進階],以開啟 [本機磁碟的存取控制設定] 對話方塊。
  5. 按一下 [擁有者] 索引標籤,按一下以選取 [取代子容器與物件擁有者] 核取方塊,然後再按一下 [套用]

    如果您收到下列的錯誤訊息,按一下 [繼續]:
    套用安全性資訊到 %systemdrive%\Pagefile.sys 有時發生錯誤
  6. 如果您收到下列錯誤訊息,按一下 [是]
    您沒有讀取目錄 %systemdrive%\System 磁碟區資訊-內容的權限要取代目錄權限-將授與完全控制取代所有使用權限
  7. 按一下 [確定] 關閉對話方塊。
  8. 按一下 [新增]。
  9. 加入下列使用者,然後將 「 完全控制 NTFS 權限授予它們:
    • 系統管理員
    • 系統
    • 建立者擁有者
  10. 中新增這些 NTFS 權限之後按一下 [進階],按一下以選取 [重新設定所有子項物件上的權限,並使傳播可繼承的權限]],然後再按一下 [套用]
  11. 如果您收到下列的錯誤訊息,按一下 [繼續]:
    套用安全性資訊到 %systemdrive%\Pagefile.sys 有時發生錯誤
  12. NTFS 權限重設後按一下 [確定]
  13. 按一下 [所有人] 群組,按一下 [移除,然後再按一下 [確定]
  14. 開啟 %systemdrive%\Program Files\Common 檔案資料夾的內容,然後按一下 [安全性] 索引標籤。 新增用於匿名存取的帳戶。根據預設值,這是 IUSR_ <machinename>帳戶。然後,新增使用者] 群組。請確定已選取 [僅下列:
    • 讀取 &amp; 執行
    • 列出資料夾內容
    • 讀取
  15. 開啟保存您的 Web 內容的根目錄內容。預設情況下,這是 %systemdrive%\Inetpub\Wwwroot 資料夾。 按一下 [安全性] 索引標籤新增 IUSR_ <machinename>帳戶] 和 [使用者群組,並確定已選取 [只有下列:
    • 讀取 &amp; 執行
    • 列出資料夾內容
    • 讀取
  16. 如果要授與對 Inetpub\FTProot 寫入 NTFS 權限或目錄路徑的 FTP 站台或站台重複執行步驟 15。

    附註我們不建議您授與 NTFS 寫入權限] 給任何目錄包括 FTP 服務使用所使用的目錄中的匿名帳戶。這可能會造成不必要的資料上載至您的 Web 伺服器。
回此頁最上方

停用系統目錄中的繼承

  1. 在 [%systemroot%\System32] 資料夾選取 [除了下列之外的所有資料夾]:
    • Inetsrv
    • Certsrv (如果有的話)
    • COM
  2. 剩餘的資料夾上按一下滑鼠右鍵,並按一下 [內容],然後按一下 [安全性] 索引標籤。
  3. 按一下以清除 [允許繼承權限] 核取方塊,按一下 [複製,然後按一下 [確定]
  4. 在 %systemroot%資料夾選取 [除了下列之外的所有資料夾]:
    • 組件 (如果有的話)
    • 已下載的程式檔案
    • 說明
    • Microsoft.NET (如果有的話)
    • 離線網頁
    • System32
    • 工作
    • temp
    • 網頁
  5. 剩餘的資料夾上按一下滑鼠右鍵,並按一下 [內容],然後按一下 [安全性] 索引標籤。
  6. 按一下以清除 [允許繼承權限] 核取方塊,按一下 [複製,然後按一下 [確定]
  7. 將權限套用到下列:
    1. 開啟 %systemroot%資料夾的內容,按一下 [安全性] 索引標籤,新增 IUSR_<machinename>IWAM_<machinename> 帳戶] 和 [Users 群組,並確定已選取 [只有下列:
      • 讀取 &amp; 執行
      • 列出資料夾內容
      • 讀取
    2. 開啟 %systemroot%\Temp 資料夾的內容,請選取 IUSR_<machinename> (此帳戶已經存在因為它會繼承 Winnt 資料夾) 的帳戶然後按一下以選取 [修改] 核取方塊。針對 IWAM_<machinename>重複此步驟 帳戶] 和 [使用者] 群組。
    3. 如果 FrontPage 伺服器擴充功能的用戶端例如正在使用 FrontPage 或 Microsoft Visual InterDev,開啟 %systemdrive%\Inetpub\Wwwroot 資料夾的內容,選取 已驗證的使用者 群組、 選取下列然後再按一下 [確定]
      • 修改
      • 讀取 &amp; 執行
      • 列出資料夾內容
      • 讀取
      • 寫入
回此頁最上方

NTFS 權限

下表列出當您遵循 < 停用系統目錄中的繼承 > 一節中步驟將會套用使用權限。這個資料表是僅供參考。

套用下列表格中的權限:
  1. 開啟 [Windows 檔案總管]。若要執行此動作請按一下 [開始]、 按一下 [程式集]、 按一下 [附屬應用程式,然後按一下 [Windows 檔案總管]。
  2. 展開 [我的電腦
  3. %,] 上按一下滑鼠右鍵,然後按一下 [內容]。
  4. 按一下 [安全性] 索引標籤,然後按一下 [進階]。
  5. 連按兩下 [權限,然後從 套用在] 清單中選取適當的設定。
附註在 「 套用至 」 的資料行、 預設值是指 「 這個資料夾、 子資料夾及檔案 」 一詞。
摺疊此表格展開此表格
目錄Users\Groups權限若要套用
%systemroot%\() c:\winnt系統管理員「 完全控制預設值
系統「 完全控制預設值
使用者讀取、 執行預設值
%systemroot%\system32系統管理員「 完全控制預設值
系統「 完全控制預設值
使用者讀取、 執行預設值
%systemroot%\system32\inetsrv系統管理員「 完全控制預設值
系統「 完全控制預設值
使用者讀取、 執行預設值
Inetpub\adminscripts系統管理員「 完全控制預設值
Inetpub\urlscan (如果有的話) 系統管理員「 完全控制預設值
系統「 完全控制預設值
%systemroot%\system32\inetsrv\metaback系統管理員「 完全控制預設值
系統「 完全控制預設值
%systemroot%\help\iishelp\common系統管理員「 完全控制這個資料夾及檔案
系統「 完全控制這個資料夾及檔案
IWAM_ <machinename>讀取、 執行這個資料夾及檔案
網路「 完全控制這個資料夾及檔案
服務這個資料夾及檔案
使用者讀取、 執行這個資料夾及檔案
Inetpub\wwwroot (或內容目錄)系統管理員「 完全控制這個資料夾及檔案
系統「 完全控制這個資料夾及檔案
IWAM_ <machinename>讀取、 執行這個資料夾及檔案
服務讀取、 執行這個資料夾及檔案
網路讀取、 執行這個資料夾及檔案
選用貴中:使用者讀取、 執行這個資料夾及檔案

貴如果您使用的 FrontPage 伺服器擴充程式,已驗證的使用者] 或 [Users 群組必須要有變更 NTFS 權限來建立、 重新命名、 寫入,或提供開發人員可能要從一個如 Visual InterDev 6.0 或 FrontPage 2002 的戶端 FrontPage 型的功能。
回此頁最上方

授與登錄中的權限

  1. 按一下 [開始],再按一下 [執行]、 輸入 regedt32,然後再按一下 [確定]]。不要使用登錄編輯程式 」,因為它不會讓您變更在 Windows 2000 中的權限。
  2. 在 [登錄編輯程式] 中,找出並選取 方式
  3. 展開 [系統]、 展開 CurrentControlSet,然後再展開 [服務]。
  4. 選取 IISADMIN 機碼]、 按一下 [安全性] (或按下 ALT + S 鍵]),然後選取 [權限] (或按下 p 鍵])。
  5. 按一下以清除 從父系傳播至此物件的允許繼承權限] 核取方塊,按一下 [複製,然後移除所有使用者 除了
    • 系統管理員 (允許讀取] 和 [完全控制)
    • 系統 (允許讀取] 和 [完全控制)
  6. 按一下 [確定]
  7. 重複步驟 MSFTPSVC 的索引鍵。
  8. 選取 W3SVC 索引鍵、 按一下 [安全性,然後按一下 [權限
  9. 按一下以清除 [允許來自傳播到這個物件的父項的可繼承權限] 核取方塊,然後再移除所有項目 除外
    • 系統管理員 (允許讀取] 和 [完全控制)
    • 系統 (允許讀取] 和 [完全控制)
    • 網路 (讀取)
    • 服務 (讀取)
    • IWAM_ <machinename>(讀取)
  10. 按一下 [確定]
回此頁最上方

登錄

下表列出當您遵循 「 將授與登錄中的權限 」 一節中步驟將會套用使用權限。這個資料表是僅供參考。

附註縮略字 HKLM 代表方式。
摺疊此表格展開此表格
位置Users\Groups權限
HKLM\System\CurrentControlSet\Services\IISAdmin系統管理員「 完全控制
系統「 完全控制
HKLM\System\CurrentControlSet\Services\MsFtpSvc系統管理員「 完全控制
系統「 完全控制
HKLM\System\CurrentControlSet\Services\w3svc系統管理員「 完全控制
系統「 完全控制
IWAM_ <machinename>讀取
回此頁最上方

在 [本機安全性原則授與權限

  1. 按一下 [開始],按一下 [設定],然後再按一下 [控制台]
  2. 連按兩下 [系統管理工具],然後再按兩下 [本機安全性原則
  3. 在 [本機安全性設定] 對話方塊展開 [本機原則],] 然後按一下 [使用者權限指派]。
  4. 修改適當的原則:
    1. 連按兩下該原則。
    2. 選取,然後按一下 [移除] 任何使用者是 表格中列出。
    3. 新增未列出任何使用者。若要執行此動作按一下 [新增],然後選取 [選取使用者或群組] 對話方塊中的 [使用者]。
請注意因為網域控制站原則會覆蓋本機原則,您必須確定 有效的原則設定 符合 本機原則設定
回此頁最上方

原則

下表列出當您遵循 [本機安全性原則中的授與權限 」 一節中步驟將會套用使用權限。
摺疊此表格展開此表格
原則使用者
在本機上登入系統管理員
IUSR_ <machinename>(匿名)
使用者 (需要驗證)
從 [網路存取這台電腦系統管理員
ASPNet (.NET Framework)
IUSR_ <machinename>(匿名)
IWAM_ <machinename>
使用者
以批次工作登入ASPNet
網路
IUSR_ <machinename>
IWAM_ <machinename>
服務
登入為服務ASPNet
網路
略過周遊檢查系統管理員
IUSR_ <machinename>(匿名)
使用者 (基本,整合,摘要式)
IWAM_ <machinename>
回此頁最上方

必要的服務

如您必須有 IIS 4.0 的服務的更多有關,按一下 [下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
189271? (http://support.microsoft.com/kb/189271/ ) 需要執行安全性強化的 IIS 電腦的服務清單
回此頁最上方

?考

如更多有關如何將 Windows 2000 的還原預設 NTFS 權限的資訊,按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中 「 文件:
266118? (http://support.microsoft.com/kb/266118/ ) 如何還原 Windows 2000 預設 NTFS 權限
260985? (http://support.microsoft.com/kb/260985/ ) 若要使用 CDONTS 所需的最小 NTFS 使用權限
324068? (http://support.microsoft.com/kb/324068/ ) 如何設定特定物件的 IIS 權限
815153? (http://support.microsoft.com/kb/815153/ ) 如何設定 NTFS 檔案權限的安全性的 ASP.NET 應用程式
回此頁最上方
這篇文章中的資訊適用於:
  • Microsoft Internet Information Services 5.0
  • Microsoft Internet Information Services 5.1
  • Microsoft Internet Information Services 6.0
回此頁最上方
關鍵字:?
kbmt kbhowtomaster kbhowto kbpending kbprb KB271071 KbMtzh
回此頁最上方
機器翻譯機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:271071? (http://support.microsoft.com/kb/271071/en-us/ )
回此頁最上方
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。