如何最小的 NTFS 權限和使用者權限設定 iis 5.x 或 IIS 6.0

文章翻譯 文章翻譯
本文說明如何設定所需的專用網際網路資訊服務 (IIS) 5.0、 IIS 5.1 或 IIS 6.0 Web 伺服器的最小權限。
此發行項的限制
警告本文僅會出現在專屬的 Web 伺服器使用基本的 IIS 功能,例如伺服 HTML 靜態內容] 或 [簡單動態伺服器網頁 (ASP) 的內容。本文中所描述的權限需求是只針對專屬的 Web 伺服器執行 IIS 5 的基本權限。x -或者- IIS 6.0.這份文件不會考慮 其他 Microsoft 和協力廠商的產品 可能需要不同的權限。您可以檢閱特定安全性需求的伺服器和應用程式文件。我們建議您 檢閱相關的文件 都有專用的 Web 伺服器的角色。
在實際執行環境中測試之前的權限設定的步驟
在實際執行 Web 伺服器上進行的權限變更之前,我們建議您下列步驟:
  1. 執行 最新版的 IIS 鎖定工具.下列的程式和服務已安裝做為用來測試伺服器安全性之後授與本文所描述的權限的測試套件的一部分:
    • 索引服務
    • 終端機服務
    • 指令碼偵錯工具
    • IIS
      • 一般檔案
      • 文件
      • FrontPage 伺服器擴充程式 2000
      • 網際網路服務管理員 」 (HTML)
      • WWW
      • FTP
  2. 執行下列功能測試:
    • 超文字文件 (HTML)
    • 動態伺服器網頁 (ASP)
    • FrontPage 伺服器擴充程式,如連接、 編輯、 andsaving,如果已啟用 FPSE,雖然使用鎖定工具
    • 安全通訊端層 (SSL) 連線使用。

本文內容

Show all image全部顯示Hide all image全部隱藏

授與擁有權和權限給系統管理員和系統

若要這樣做,請依照下列步驟執行:
  1. 開啟 [Windows 檔案總管]。若要這樣做,請按一下 [開始],按一下 [程式集],然後按一下Windows 檔案總管]
  2. 展開 [我的電腦]。
  3. 系統磁碟機 (通常是 C 磁碟機),以滑鼠右鍵按一下,然後按一下 [屬性
  4. 按一下 [安全性] 索引標籤,然後按一下 [進階],以開啟LocalDisk 的存取控制設定] 對話方塊。
  5. 按一下 [擁有者] 索引標籤,按一下以選取 [取代子容器及物件的擁有者] 核取方塊,然後按一下 [套用]。

    如果您收到下列的 errormessage,請按一下 [繼續]:
    套用安全性資訊 to%systemdrive%\Pagefile.sys 錯誤 hasoccurred
  6. 如果您收到下列錯誤訊息,請按一下 []:
    您沒有權限 readthe 內容的目錄 %systemdrive%\System 磁碟區資訊-您 wantto 取代目錄的使用權限-所有的權限將會被取代的 grantingyou 完全控制
  7. 按一下[確定]以關閉對話方塊。
  8. 按一下 [新增]。
  9. 加入下列的使用者,並接著授與 FullControl NTFS 權限:
    • 系統管理員
    • 系統
    • 建立者擁有者
  10. 加入這些 NTFS 權限之後,請按一下 [進階],按一下以選取重設 allchild 物件的權限,並使傳播可繼承的權限的核取方塊,然後按一下 [套用
  11. 如果您收到下列錯誤訊息,請按一下 [繼續]:
    發生 %systemdrive%\Pagefile.sys 的 applyingsecurity 資訊錯誤。
  12. 您已重設 NTFS 權限後,按一下[確定]
  13. 按一下 [所有人] 群組,按一下 [移除],然後按一下[確定]
  14. 開啟 %systemdrive%\ProgramFiles\Common 檔案資料夾的內容,然後按一下 [安全性] 索引標籤。新增用於匿名存取的帳戶。根據預設,這是 theIUSR_<MachineName>帳戶。然後,新增使用者] 群組。請確定已選取下列的 thatonly:<b00> </b00> </MachineName>
    • 讀取 & 執行
    • 列出資料夾內容
    • 讀取
  15. 開啟存放 yourWeb 的內容根目錄的內容。根據預設,這是 [%systemdrive%\Inetpub\Wwwroot] 資料夾。按一下 [安全性] 索引標籤中,新增 IUSR_<MachineName>帳戶和使用者群組,並確定只有下列 areselected:<b00> </b00> </MachineName>
    • 讀取 & 執行
    • 列出資料夾內容
    • 讀取
  16. 如果您要授與寫入的 NTFS 權限 forInetpub\FTProot 或您的 FTP 站台或網站的目錄路徑,請重複執行 step15。

    附註 我們不建議您授與 NTFS 寫入 permissionsto 包括目錄使用 FTP 服務使用的任何目錄中的匿名帳戶。要上載至您的 Web 伺服器這個 cancause 不必要的資料。

停用系統目錄中的繼承

若要這樣做,請依照下列步驟執行:
  1. 在 [%systemroot%\System32] 資料夾中,選取下列之外的 allfolders:
    • Inetsrv
    • (如果有的話) 的緣故
    • COM
  2. 剩餘的資料夾上按一下滑鼠右鍵,按一下 [內容],然後按一下 [安全性] 索引標籤。
  3. 按一下以清除 [允許 inheritablepermissions ] 核取方塊,按一下 [複製],然後按一下[確定]
  4. 在 %systemroot%資料夾中,選取 [所有資料夾 exceptthe 下列:
    • 組件 (如果有的話)
    • 下載的程式檔
    • 說明
    • Microsoft.NET (如果有的話)
    • 離線網頁
    • System32
    • 工作
    • Temp
    • 網頁
  5. 剩餘的資料夾上按一下滑鼠右鍵,按一下 [內容],然後按一下 [安全性] 索引標籤。
  6. 按一下以清除 [允許 inheritablepermissions ] 核取方塊,按一下 [複製],然後按一下[確定]
  7. 套用權限如下:
    1. 開啟 %systemroot%資料夾的內容,請按一下 [安全性] 索引標籤,加入IUSR_<MachineName></MachineName>IWAM_<MachineName></MachineName>帳戶及使用者群組,並請確定已選取 [只有下列:
      • 讀取 & 執行
      • 列出資料夾內容
      • 讀取
    2. 開啟 [%systemroot%\Temp] 資料夾的內容選取IUSR_<MachineName> </MachineName> (這個帳戶已經存在因為它繼承從 Winnt 資料夾) 的帳戶,然後按一下 [修改] 核取方塊。重複此步驟的IWAM_<MachineName></MachineName>帳戶和使用者群組。
    3. 如果 FrontPage 伺服器擴充功能的用戶端如 FrontPage 或 Microsoft Visual asp 網頁正在使用中,開啟 [%systemdrive%\Inetpub\Wwwroot] 資料夾的內容、 選取已驗證的使用者群組,選取下列,然後按一下[確定]
      • 修改
      • 讀取 & 執行
      • 列出資料夾內容
      • 讀取
      • 寫入

NTFS 權限

下表列出當您依照 「 在系統目錄中的停用繼承 」 一節的步驟將會套用的權限。此資料表是僅供參照。

若要套用下列表格中的權限,請依照下列步驟執行:
  1. 開啟 [Windows 檔案總管]。若要執行這項操作,按一下 [開始]、 按一下程式,按一下[附屬應用程式,,然後按一下 [ windows 檔案總管
  2. 展開 [我的電腦]。
  3. %,以滑鼠右鍵按一下,然後按一下 [屬性
  4. 按一下 [安全性] 索引標籤,然後按一下 [進階]
  5. 連按兩下權限,然後適當設定從 [套用在] 清單中的 selectthe。
附註在 [套用至] 資料行、 一詞預設參照到這個資料夾、 子資料夾,而且檔案。
摺疊此表格展開此表格
目錄使用者或群組權限套用至
%systemroot%\() c:\winnt系統管理員完全控制預設值
系統完全控制 預設值
使用者讀取、 執行預設值
%systemroot%\system32系統管理員完全控制 預設值
系統完全控制預設值
使用者讀取、 執行預設值
%systemroot%\system32\inetsrv系統管理員完全控制預設值
系統完全控制 預設值
使用者讀取、 執行預設值
Inetpub\adminscripts 系統管理員完全控制預設值
Inetpub\urlscan (如果有的話) 系統管理員完全控制預設值
系統完全控制預設值
%systemroot%\system32\inetsrv\metaback系統管理員完全控制預設值
系統完全控制預設值
%systemroot%\help\iishelp\common系統管理員完全控制 這個資料夾及檔案
系統完全控制這個資料夾及檔案
IWAM_<Machinename></Machinename>讀取、 執行這個資料夾及檔案
網路完全控制這個資料夾及檔案
服務這個資料夾及檔案
使用者讀取、 執行這個資料夾及檔案
Inetpub\wwwroot (或內容目錄)系統管理員完全控制這個資料夾及檔案
系統完全控制這個資料夾及檔案
IWAM_<MachineName></MachineName>讀取、 執行這個資料夾及檔案
服務讀取、 執行這個資料夾及檔案
網路讀取、 執行這個資料夾及檔案
列席者 * *:使用者讀取、 執行這個資料夾及檔案

附註如果您使用 FrontPage 伺服器擴充功能,已驗證的使用者或使用者群組必須變更 NTFS 權限來建立、 重新命名、 寫入,或以提供開發人員可能要從用戶端,例如 Visual asp 網頁 6.0 或 FrontPage 2002 FrontPage 型別有的功能。

在登錄中授與使用權限

  1. 按一下 [開始],按一下 [執行] 型別 regedt32然後按一下[確定]。請勿使用登錄編輯程式,因為它不會讓您變更權限 inWindows 2000。
  2. 在 「 登錄編輯器 」 中,找出並選取作用中計
  3. 展開 [系統、 展開CurrentControlSet,然後再展開服務
  4. 選取IISADMIN索引鍵、 按一下 [安全性] (或按下 ALT + S 鍵),然後選取 [權限(或按下 P 鍵)。
  5. 按一下以清除 [允許可繼承的 permissionsfrom 父系傳播到這個物件] 核取方塊,按一下 [複製],然後移除所有使用者除了
    • 系統管理員 (允許讀取] 和 [完全控制)
    • 系統 (允許讀取] 和 [完全控制)
  6. 按一下[確定]
  7. MSFTPSVC機碼重複步驟。
  8. 選取 [ W3SVC索引鍵,按一下 [安全性],然後按一下權限
  9. 按一下以清除 [允許可繼承的 permissionsfrom 父系傳播到這個物件] 核取方塊,並移除 allentries除外
    • 系統管理員 (允許讀取] 和 [完全控制)
    • 系統 (允許讀取] 和 [完全控制)
    • 網路 (讀取)
    • 服務 (讀取)
    • IWAM_<MachineName> (讀取)</MachineName>
  10. 按一下[確定]

登錄

下表列出當您依照 「 在登錄中的授與權限 」 一節的步驟將會套用的權限。此資料表是僅供參照。

附註這個縮寫字 HKLM 代表作用中計。
摺疊此表格展開此表格
位置使用者或群組權限
HKLM\System\CurrentControlSet\Services\IISAdmin系統管理員完全控制
系統完全控制
HKLM\System\CurrentControlSet\Services\MsFtpSvc系統管理員完全控制
系統完全控制
HKLM\System\CurrentControlSet\Services\w3svc系統管理員完全控制
系統完全控制
IWAM_<MachineName></MachineName>讀取

在 [本機安全性原則授與權限

  1. 按一下 [開始],按一下 [設定],然後按一下[控制台]
  2. 連按兩下 [系統管理工具],然後按兩下 [本機安全性原則
  3. 在 [本機安全性設定] 對話方塊中,展開 [本機原則],然後按一下使用者 RightsAssignment
  4. 修改適當的原則:
    1. 連按兩下該原則。
    2. 選取,然後按一下 [是任何使用者的 [移除列在表格中。
    3. 新增未列出任何使用者。若要這樣做,請按一下 [新增],然後在 [選取使用者或群組] 對話方塊中選取的使用者。
請注意因為網域控制站原則會覆寫本機原則,您必須確定有效的原則設定符合本機原則設定

原則

下表列出當您依照 「 本機安全性原則中的授與權限 」 一節的步驟將會套用的權限。
摺疊此表格展開此表格
原則使用者
本機登入系統管理員
IUSR_<MachineName> (匿名)</MachineName>
使用者 (需要驗證)
從網路存取這台電腦系統管理員
ASPNet (.NET Framework)
IUSR_<MachineName> (匿名)</MachineName>
IWAM_<MachineName></MachineName>
使用者
以批次工作登入ASPNet
網路
IUSR_<MachineName></MachineName>
IWAM_<MachineName></MachineName>
服務
以服務方式登入ASPNet
網路
略過周遊檢查系統管理員
IUSR_<MachineName> (匿名)</MachineName>
使用者 (基本,整合,摘要)
IWAM_<MachineName></MachineName>

?考

如需有關如何還原 Windows 2000 的預設 NTFS 權限的詳細資訊,請按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的文件:
266118 如何還原 Windows 2000 的預設 NTFS 權限
260985 若要使用 CDONTS 所需的最小 NTFS 權限
324068 如何設定特定物件的 IIS 權限
815153 如何設定 NTFS 檔案權限的安全性的 ASP.NET 應用程式

如需有關 IIS 6.0 的必要權限的詳細資訊,請按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的文件:
812614 預設權限及 IIS 6.0 的使用者權限

其他相關資訊

伺服器角色或未提及的應用程式

這份文件不能解決任何一種下列伺服器角色或應用程式的特定安全性需求:
  • Windows 2000 網域控制站
  • Microsoft Exchange 5.5 或存取 Microsoft Exchange 2000 OutlookWeb
  • Microsoft 小型商務伺服器 2000
  • Microsoft SharePoint 入口網站或小組服務
  • Microsoft Commerce Server 2000 或 Microsoft 商務 Server2002
  • Microsoft BizTalk Server 2000年或 Microsoft BizTalk Server2002
  • Microsoft 內容管理伺服器 2000年或 2002年的 MicrosoftContent 管理伺服器
  • Microsoft Application Center 2000
  • 額外的權限而定的協力廠商應用程式

關於本文

文章編號: 271071
最後一次檢閱: 2014年4月25日
這篇文章中的資訊適用於:: Microsoft Internet Information Services 5.0, Microsoft Internet Information Services 5.1, Microsoft Internet Information Services 6.0
機器翻譯
請注意--重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,且可能由 Microsoft Community 利用 Community Translation Framework技術或人工進行事後編修。翻譯過程並無專業譯者參與。Microsoft 同時提供使用者人為翻譯、機器翻譯及社群編修後的機器翻譯三種版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,所有翻譯文章都可能不盡完美,內容都可能出現詞彙、語意或文法上的錯誤。就翻譯內容之不正確或錯誤,或客戶因使用翻譯內容所產生的任何損害,微軟不負擔任何責任。Microsoft將依合理的商業努力不斷地更新機器翻譯軟體和工具,以期能為使用者提供更好的服務。
按一下這裡查看此文章的英文版本:271071
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。
您想要針對本文提供意見反應嗎?
 

Get more support from smallbusiness.support.microsoft.com

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.