如何在 Windows Server 2003 中設定 IIS 網站驗證

文章翻譯 文章翻譯
文章編號: 324274 - 檢視此文章適用的產品。
全部展開 | 全部摺疊

在此頁中

結論

本文將告訴您,如何在 Windows Server 2003 中設定 Microsoft Internet Information Services (IIS) 網站驗證。您可以對 IIS 進行設定,以便在允許使用者存取網站、網站中的資料夾或甚至網站中資料夾中的特定文件之前,對該使用者進行驗證。IIS 中的驗證可用於加強一般公用使用者不能檢視的網站、資料夾和文件的安全性等級。

如果不打算供匿名使用者或公用使用者存取資源,而已核准的使用者必須能夠透過網際網路存取 Web 伺服器,則 IIS 中的驗證便十分重要。需要驗證存取控制的網站應用程式範例包括 Microsoft Outlook Web Access (OWA) 和 Microsoft 終端機服務進階用戶端。


如何在 IIS 中設定驗證

  1. 啟動 [IIS 管理員] 或開啟 IIS 嵌入式管理單元。
  2. 展開 Server_name,其中 Server_name 是伺服器的名稱,然後展開 [網站]
  3. 在主控台樹狀目錄中,用滑鼠右鍵按一下要設定驗證的網站、虛擬目錄或檔案,然後按一下 [內容]
  4. 按一下 [目錄安全設定][檔案安全設定] 索引標籤 (選擇適當的),然後在 [驗證及存取控制] 下,按一下 [編輯]
  5. 按一下以選取要使用的驗證方法旁邊的核取方塊,然後按一下 [確定]

    根據預設所設定的驗證方法為 [?用匿名存取][整合式 Windows 驗證]
    • ?用匿名存取:?用匿名存取時,不需要已驗證的使用者憑證即可存取網站。當您想要授予不需要安全性的資訊的公開存取權時,這個選項最適用。當使用者嘗試連線至您的網站時,IIS 會將連線指派給 IUSER_ComputerName 帳戶,其中 ComputerName 是正在執行 IIS 的伺服器的名稱。根據預設,IUSER_ComputerName 帳戶是 Guests 群組的成員。這個群組具有由 NTFS 檔案系統權限所設定的安全性限制,這些限制指定存取權層級以及可提供給公用使用者的內容的類型。如果要編輯用於匿名存取的 Windows 帳戶,請按一下 [?用匿名存取] 方塊中的 [瀏覽]

      重要:如果您?用匿名存取,即使您?用其他的驗證方法,IIS 還是一定會先嘗試使用匿名驗證來驗證使用者。
    • 整合式 Windows 驗證:之前名為 NTLMWindows NT 挑戰/回應驗證,這個方法會透過網路傳送使用者驗證資訊做為 Kerberos 票證,並提供高安全性等級。Windows 整合式驗證是使用 Kerberos 版本 5 和 NTLM 驗證。如果要使用這種方法,用戶端必須使用 Microsoft Internet Explorer 2.0 或更新版本。此外,不支援透過 HTTP Proxy 連線進行 Windows 整合式驗證。如果內部網路中的使用者和 Web 伺服器電腦都位在相同的網域中,且系統管理員可以確定所有使用者都是使用 Internet Explorer 2.0 或更新版本,使用這個選項是最適合的。

      注意:如果選取多個驗證選項,IIS 會嘗試交涉最安全的方法,然後它依照可用的驗證通訊協定清單的向下逐個試用其他協定,直到找到用戶端和伺服器都支援的共同驗證通訊協定。
    • 摘要式 Windows 網域伺服器驗證:摘要式驗證需要使用者 ID 和密碼,可提供中級的安全性等級,如果您想要授予從公用網路的安全性資訊存取權,則可以使用這種方法。這種方法提供了和基本驗證相同的功能。然而,這種方法會將使用者憑證做為 MD5 雜湊資料或訊息摘要在網路中進行傳輸,這樣就無法從雜湊資料對原始的使用者名稱和密碼進行解碼。如果要使用這種方法,用戶端必須使用 Microsoft Internet Explorer 5.0 或更新版本,且 Web 用戶端和 Web 伺服器必須是相同網域的成員或是受相同網域的信任。

      如果您啟用摘要式驗證,請在 [範圍] 方塊中輸入領域名稱。
    • 基本驗證 (使用純文字方式傳送密碼):基本驗證需要使用者 ID 和密碼,並提供低等級的安全性等級。使用者憑證會以純文字方式在網路上傳送。這種格式提供的安全性等級較低,因為幾乎所有的通訊協定解析程式都可以讀取密碼。然而,它與大多數的 Web 用戶端相容。當您想要授予幾乎沒有或不需要隱私的資訊的存取權時,使用這個選項最合適。

      如果您啟用基本驗證,請在 [預設網域] 方塊中輸入要使用的網域名稱。您也可以選擇在 [範圍] 方塊中輸入值。
    • .NET Passport 驗證:.NET Passport 驗證提供單一登入安全性,為使用者提供對網際網路上不同服務的存取權。當您選取這個選項時,對 IIS 的要求必須在查詢字串上或 Cookie 中包含有效的 .NET Passport 憑證。如果 IIS 沒有偵測到 .NET Passport 憑證,便會將要求重新導向至 .NET Passport 登入頁面。

      注意:當您選取這個選項時,所有其他的驗證方法都會無法使用 (顯示為暗灰色)。
  6. 另一種類型的驗證是以要求主機而不是使用者憑證為基礎。您可以根據來源 IP 位址、來源網路 ID 或來源網路識別碼來限制存取權。如果要設定這種類型的驗證,請依照下列步驟執行:
    1. [IP 位址及網域名稱限制] 下,按一下 [編輯]
    2. 請執行下列其中一項操作:
      • 如果要拒絕存取,按一下 [授予存取權],然後按一下 [新增]。在出現的 [拒絕存取] 對話方塊中,指定您要的選項,然後按一下 [確定]

        您指定的電腦、電腦群組或網域會新增到清單中。

        - 或 -
      • 如果要授予存取權,按一下 [拒絕存取],然後按一下 [新增]。在出現的 [授予存取] 對話方塊中,選取您要的選項,然後按一下 [確定]

        您選取的電腦、電腦群組或網域會新增到清單中。
    3. 按一下 [確定]
  7. 按一下 [確定],然後結束 IIS 管理員或關閉 IIS 嵌入式管理單元。

疑難排解

  • 您可能會看到提示,要求您套用您對現有網站所做的變更。如果您希望驗證變更套用到其他內容上,請按一下子節點清單中的內容,然後按一下 [確定]。如果您不希望將變更套用至任何子節點上,請不要選取清單上任何項目,然後按一下 [確定]
  • 在 IIS 中,您可以在網站、目錄或檔案層級設定驗證選項。本文中所介紹的原則亦適用於每種情況。

屬性

文章編號: 324274 - 上次校閱: 2006年9月6日 - 版次: 6.4
這篇文章中的資訊適用於:
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Internet Information Services 6.0
關鍵字:?
kbwebservices kbappservices kbhowto kbhowtomaster KB324274
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com