文章編號: 308160 - 上次校閱: 2008年7月3日 - 版次: 4.2

如何在 Windows 2000 中設定網際網路資訊服務網頁驗證

中英文對照顯示按一下這裡顯示機器翻譯的中英文對照
機器翻譯檢視機器翻譯免責聲明
檢視此文章適用的產品。
系統提示本文適用於您使用的作業系統之外的作業系統。與您不相關的文章內容已停用。
我們強烈建議所有使用者都升級到 Microsoft 網際網路資訊服務 (IIS) 7.0 版 Microsoft Windows Server 2008 上執行。 IIS 7.0 大幅提升網頁基礎結構的安全性。如需有關 IIS 與安全性相關的主題請造訪下列的 Microsoft Web 網站:
http://www.microsoft.com/technet/security/prodtech/IIS.mspx (http://www.microsoft.com/technet/security/prodtech/IIS.mspx)
如需有關 IIS 7.0 的詳細資訊,請造訪下列 Microsoft 網站]:
http://www.iis.net/default.aspx?tabid=1 (http://www.iis.net/default.aspx?tabid=1)
注意事項
這份文件適用於 Windows 2000。Windows 2000 支援的結束 2010 7 月 13,Windows 2000 End-of-Support Solution Center (http://support.microsoft.com/?scid=http%3a%2f%2fsupport.microsoft.com%2fwin2000) 是規劃您的遷移策略,從 Windows 2000 的起點。如需詳細資訊請參閱 Microsoft Support Lifecycle Policy (http://support.microsoft.com/lifecycle/) ]。

在此頁中

全部展開 | 全部摺疊

結論

本文將逐步告訴您,如何設定 Web 要求的驗證在 Microsoft 網際網路資訊服務 (IIS) 5.0。
回此頁最上方

Web 驗證的運作方式

Web 驗證是網頁瀏覽器和牽涉到少數的超文字傳輸通訊協定 (HTTP) 的標頭和錯誤訊息的網頁伺服器之間的通訊。

通訊流程是:
  1. 網頁瀏覽器可如 HTTP GET 要求。
  2. Web 伺服器執行驗證檢查。若這是不成功,因為驗證是必要,則伺服器會傳送回類似下列的錯誤訊息:
    未授權您檢視此頁面

    您無權檢視這個目錄或網頁使用您提供的認證。
    資訊包含在網頁瀏覽器可以用來重新提交要求視為已驗證的要求此訊息。
  3. 網頁瀏覽器會使用伺服器的回應,來建構新的要求包含驗證資訊。
  4. Web 伺服器執行驗證檢查。如果檢查成功,Web 伺服器會傳送回到網頁瀏覽器一開始所要求的資料。
回此頁最上方

驗證方法

注意: 使用下列的驗證方法的某些,您必須使用以 NTFS 檔案系統因為 NTFS 格式化的磁碟機維護高等級的安全性已格式化的磁碟機。

IIS 支援五個下列 Web 驗證方法:

匿名驗證

IIS 建立 IUSR_ computername 帳戶 (其中 computername 是電腦名稱) 來驗證匿名使用者,當它們要求的網頁內容。這個帳戶授與使用者權限,才能進行本機登入。您可以重設使用任何有效的 Windows 帳戶的匿名使用者存取。

注意: 您可以設定不同的匿名帳戶的不同網站、 虛擬目錄或實體目錄和檔案。

如果 Windows 2000 架構的電腦是獨立的伺服器,IUSR_ computername 帳戶就會位於本機伺服器。如果伺服器是網域控制站網域定義 IUSR_ computername 的帳戶。

基本驗證

使用基本驗證,以限制 NTFS 格式化的 Web 伺服器上檔案的存取。與基本驗證,使用者必須輸入認證且存取根據使用者識別碼。

若要將基本驗證授與每個使用者在本機上登入和讓管理更容易,將它們新增至群組對必要的檔案具有存取權]。

注意: 因為使用者認證編碼以 Base64 編碼方式,但它們未加密透過網路傳輸時,基本驗證會被視為不安全的形式的驗證。

整合式的 Windows 驗證

整合式的 Windows 驗證是比基本驗證更安全,而且它在其中的使用者具有 Windows 網域帳戶的內部網路環境中的函式。在整合式的 Windows 驗證瀏覽器嘗試使用目前的使用者認證,從網域登入,然後這失敗時提示使用者輸入使用者名稱和密碼。如果您使用整合式的 Windows 驗證時,使用者的密碼則不會傳輸至伺服器。如果使用者已登入本機電腦以網域使用者,使用者不必重新驗證使用者時存取該網域中的網路電腦。

注意: 您無法使用整合式的 Windows 驗證透過 Proxy 伺服器。

摘要式驗證

許多基本驗證弱點摘要式驗證地址。當您使用摘要式驗證,密碼不會傳送以純文字。在另外您可以使用摘要式驗證透過 Proxy 伺服器。摘要式驗證使用挑戰/回應機制 (整合式 Windows 驗證用途) 密碼以加密格式的傳送位置。若要使用摘要式驗證:
  • Windows 2000 基礎伺服器必須在網域中。
  • 您必須安裝在網域控制站上的 IISSuba.dll 檔案。這個檔案是在 Windows 2000 伺服器安裝期間自動複製。
  • 您必須設定所有的使用者帳戶啟用 [使用可還原的加密來存放密碼] 帳戶選項。啟用這個帳戶] 選項需要重設或重新輸入密碼。
注意: 您必須為您的網頁瀏覽器使用 Microsoft Internet Explorer 5.0 (含) 以後,如果您使用的摘要式驗證。

用戶端憑證對應

用戶端憑證對應是一種方法對應 < 建立憑證和使用者帳戶之間的位置。這個模型中使用者提供憑證,而系統會查看對應,以判斷哪個使用者帳戶應該登入。您可以將憑證對應到 Windows 使用者帳戶,兩種方式之一:
  • 藉由使用 Active Directory。

    -或者-
  • 藉由使用在 IIS 中定義的規則。
如需有關如何將用戶端憑證對應到使用者帳戶的詳細資訊,用戶端憑證對應,請在 [搜尋 IIS 說明文件。如果您安裝 IIS 您可以在網頁瀏覽器 localhost 其中是本機主機名稱] 的 [網址] 列中輸入下列 URL 來檢視 IIS 文件:
http:// localhost /iisHelp/iis/misc/default.asp
如需有關如何使用憑證的詳細資訊,按一下 [下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
290625? (http://support.microsoft.com/kb/290625/ ) 如何使用憑證伺服器 2.0 的 Windows 2000 IIS 5 測試環境中設定 SSL
您可以設定每個驗證方法來控制存取下列 IIS 伺服器上的項目:
  • 所有的 Web 內容,裝載在 IIS 伺服器上。
  • 個別網站裝載在 IIS 伺服器上。
  • 個別的虛擬目錄或在 Web 站台的實體目錄。
  • 個別頁面或在網站上的檔案。
回此頁最上方

如何設定 IIS Web 網站驗證

  1. 使用系統管理帳戶登入到 Web 伺服器電腦。
  2. 按一下 [開始],指向 [程式集]、 指向 [系統管理工具,然後再按一下 [Internet 服務管理員]。

    [網際網路資訊服務] 嵌入式管理單元會啟動。
  3. 在主控台] 樹狀目錄中按一下 [* computer name 其中 computer name 」 是電腦的名稱。
  4. 其中一個下列項目上按一下滑鼠右鍵,然後按一下 [內容]
    • 若要設定 IIS 伺服器上的驗證裝載的所有 Web 內容,請以滑鼠右鍵按一下 * computer name
    • 若要進行驗證的個別網站以滑鼠右鍵按一下您想要的網站。
    • 若要設定虛擬目錄或實體目錄的驗證網站中,按一下您想要的網站,然後以滑鼠右鍵按一下 [您想例如 _vti_pvt 的目錄。
    • 若要設定個別的網頁或檔案的驗證網站中,按一下您想),按一下包含檔案或您想要的頁面,該資料夾的網站,然後以滑鼠右鍵按一下檔案或您想要的頁面,[]。
  5. Item Name 屬性] 對話方塊上其中 Item Name 是您所選取項目的名稱,按一下 [目錄安全 設定] 索引標籤。

    注意: 如果選取的項目個別的檔案按一下 [檔案安全性] 索引標籤。
  6. 在 [匿名存取及驗證控制,按一下 [編輯]。
  7. 按一下以選取 [匿名存取] 核取方塊,開啟 [匿名存取。若要關閉 [匿名存取],按一下以清除此核取方塊。

    注意: 如果您關閉匿名存取時,您必須設定某種形式的驗證存取。
    1. 若要變更用於此資源的匿名存取帳戶,按一下 [帳戶用於匿名存取] 旁邊的 [編輯]。
    2. 在 [匿名使用者帳號] 對話方塊按一下 [使用者帳戶,您想要使用匿名存取]。
    3. 按一下以清除 [允許 IIS 控制密碼] 核取方塊,如果您想要使用 Windows LogonUser() API 來進行使用者驗證。

      注意: 依關閉此密碼控制選項,這會強制 IIS 使用一般驗證和本機登入的帳戶。如果使用者遭遇困難存取資源,例如檔案或網路電腦上的 Microsoft Access 資料庫,您應該將此選項關閉。
    4. 按一下 [確定]
  8. 在 [驗證的存取,] 底下按一下以選取 基本驗證 (密碼以純文字傳送)] 核取方塊以啟用基本驗證。當您收到下列訊息時,按一下 [是]
    您所選取的結果不進行資料加密網路上傳輸密碼中驗證選項。如有人嘗試危害您系統的安全性可以使用通訊協定分析器來檢查使用者密碼驗證程序期間。詳細使用者驗證請參閱線上說明。這項警告並不會套用到 HTTPS (或 SSL) 連線。

    確定您要繼續嗎?
    1. 若要選取用來驗證使用基本驗證的使用者網域,按一下 [選取預設網域] 旁邊的 [編輯]。
    2. 輸入 網域名稱] 方塊中您想要的網域,然後按一下 [確定]

      附註如果您是擔心您的近端內部網路的安全性,因為基本驗證傳輸使用者名稱和密碼資訊,以純文字,您可以使用基本驗證搭配安全通訊端層 (SSL)。
  9. 按一下以選取 [摘要式驗證的 Windows 網域伺服器] 核取方塊,以使用摘要式驗證。當您收到下列訊息時,按一下 [是]
    摘要式驗證會作用在只有 Windows 2000 網域帳戶,需要帳戶以加密的純文字形式儲存密碼。

    確定您想要繼續嗎?
    注意: 您必須設定使用者帳戶 使用可還原的加密來存放密碼 的帳戶選項處於開啟狀態。
  10. 按一下以選取 [整合式 Windows 驗證] 核取方塊,以使用整合式的 Windows 驗證。

    注意: 此驗證方法已之前稱為 Microsoft Windows NT 挑戰/回應或 NT LAN 管理員 」 (NTLM)。
  11. 按一下 [確定],然後再按一下 [在 Item Name 屬性] 對話方塊的 [[確定]。如果開啟 [繼承覆寫] 對話方塊:
    1. 按一下 [全選] 以將新的驗證設定套用到所有的檔案或在您變更的項目內的資料夾。
    2. 按一下 [確定]
  12. 結束網際網路資訊服務。
回此頁最上方

?考

如需詳細資訊按一下 [下面的文件編號,檢視 「 Microsoft 知識庫 」 中 「 文件]:
297954? (http://support.microsoft.com/kb/297954/ ) 如何疑難排解 Windows 2000 中 「 Web 伺服器
299970? (http://support.microsoft.com/kb/299970/ ) 如何使用 NTFS 權限來保護在 IIS 4.0 或 5 上執行的網頁
216705? (http://support.microsoft.com/kb/216705/ ) 如何在 IIS 上的 FrontPage 網站上設定權限
222028? (http://support.microsoft.com/kb/222028/EN-US/ ) 設定網際網路資訊服務 5.0 搭配使用的摘要式驗證
回此頁最上方
這篇文章中的資訊適用於:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Small Business Server 2000 Standard Edition
回此頁最上方
關鍵字:?
kbmt kbhowtomaster KB308160 KbMtzh
回此頁最上方
機器翻譯機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:308160? (http://support.microsoft.com/kb/308160/en-us/ )
回此頁最上方
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。