Permissões e direitos de utilizador predefinidos para o IIS 6.0

Artigo: 812614 - Ver produtos para os quais este artigo se aplica.
Expandir tudo | Reduzir tudo

Nesta página

INTRODUÇÃO

Este artigo descreve as permissões e os direitos de utilizador predefinidos num servidor de aplicações recentemente instalado com o ISS (Serviços de informação Internet - Internet Information Services) 6.0 instalado.
Voltar ao topo | Submeter comentários

Mais Informação

As seguintes tabelas documentam as permissões do sistema de ficheiros NTFS, as permissões de registo e os direitos de utilizador do Microsoft Windows. Estas informações aplicam-se se o Microsoft ASP.NET for incluído como parte do pacote de instalação. Este artigo destaca o Serviço de publicação na World Wide Web e não considera outros componentes, como o serviço do protocolo de transferência de ficheiros (FTP, File Transfer Protocol), o serviço do protocolo de transferência de correio simples (SMTP, Simple Mail Transfer Protocol) e as extensões de servidor do Microsoft FrontPage (FPSE).

Nota: no que diz respeito ao assunto deste documento, a conta IUSR_NomeComputador é utilizada alternadamente com uma conta anónima configurada.

Permissões de NTFS

Reduzir esta tabelaExpandir esta tabela
DirectórioUtilizadores\GruposPermissões
%windir%\help\iishelp\commonAdministradoresControlo total
%windir%\help\iishelp\commonSistemaControlo total
%windir%\help\iishelp\commonIIS_WPGLer, executar
%windir%\help\iishelp\commonUtilizadores (Consulte a Nota 1.)Ler, executar
%windir%\IIS Temporary Compressed FilesAdministradoresControlo total
%windir%\IIS Temporary Compressed FilesSistemaControlo total
%windir%\IIS Temporary Compressed FilesIIS_WPGControlo total
%windir%\IIS Temporary Compressed FilesProprietário criadorControlo total
%windir%\system32\inetsrvAdministradoresControlo total
%windir%\system32\inetsrvSistemaControlo total
%windir%\system32\inetsrvUtilizadoresLer, executar
%windir%\system32\inetsrv\*.vbsAdministradoresControlo total
%windir%\system32\inetsrv\ASP compiled templatesAdministradoresControlo total
%windir%\system32\inetsrv\ASP compiled templatesIIS_WPGControlo total
%windir%\system32\inetsrv\HistoryAdministradoresControlo total
%windir%\system32\inetsrv\HistorySistemaControlo total
%windir%\system32\LogfilesAdministradoresControlo total
%windir%\system32\inetsrv\metabackAdministradoresControlo total
%windir%\system32\inetsrv\metabackSistemaControlo total
Inetpub\AdminscriptsAdministradoresControlo total
Inetpub\wwwroot (ou directórios de conteúdo)AdministradoresControlo total
Inetpub\wwwroot (ou directórios de conteúdo)SistemaControlo total
Inetpub\wwwroot (ou directórios de conteúdo)IIS_WPGLer, executar
Inetpub\wwwroot (ou directórios de conteúdo)IUSR_NomeComputadorLer, executar
Inetpub\wwwroot (ou directórios de conteúdo)ASPNET (Consulte a Nota 2.) Ler, executar

Nota 1: tem de ter permissões para este directório quando utilizar a autenticação base ou a autenticação integrada e quando forem configurados erros personalizados. Por exemplo, quando o erro 401.1 ocorrer, o utilizador com sessão iniciada só vê o erro personalizado detalhado que é esperado se as permissões para ler o ficheiro 4011.htm tiverem sido concedidas a esse utilizador.

Nota 2: por predefinição, o ASP.NET é utilizado como a identidade do processo do ASP.NET no modo de isolamento do IIS 5.0. Se o ASP.NET for mudado para o modo de isolamento do IIS 5.0, o ASP.NET tem de ter acesso às áreas de conteúdo. O isolamento do processo do ASP.NET está descrito detalhadamente na ajuda do IIS. Para obter informações adicionais, visite o seguinte Web site da Microsoft:

ASP.NET process isolation
http://www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/e409289d-2786-4a34-bb7e-9c546602c2c8.mspx
(http://www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/e409289d-2786-4a34-bb7e-9c546602c2c8.mspx)

Permissões do registo

Reduzir esta tabelaExpandir esta tabela
LocalizaçãoUtilizadores\GruposPermissões
HKLM\System\CurrentControlSet\Services\ASPAdministradoresControlo total
HKLM\System\CurrentControlSet\Services\ASPSistemaControlo total
HKLM\System\CurrentControlSet\Services\ASPIIS_WPGLer
HKLM\System\CurrentControlSet\Services\HTTPAdministradoresControlo total
HKLM\System\CurrentControlSet\Services\HTTPSistemaControlo total
HKLM\System\CurrentControlSet\Services\HTTPIIS_WPGLer
HKLM\System\CurrentControlSet\Services\IISAdminAdministradoresControlo total
HKLM\System\CurrentControlSet\Services\IISAdminSistemaControlo total
HKLM\System\CurrentControlSet\Services\IISAdminIIS_WPGLer
HKLM\System\CurrentControlSet\Services\w3svcAdministradoresControlo total
HKLM\System\CurrentControlSet\Services\w3svcSistemaControlo total
HKLM\System\CurrentControlSet\Services\w3svcIIS_WPGLer

Direitos de utilizador do Windows

Reduzir esta tabelaExpandir esta tabela
PolíticaUtilizadores
Aceder a este computador a partir da redeAdministradores
Aceder a este computador a partir da redeASPNET
Aceder a este computador a partir da redeIUSR_NomeComputador
Aceder a este computador a partir da redeIWAM_NomeComputador
Aceder a este computador a partir da redeUtilizadores
Ajustar quotas de memória para um processoAdministradores
Ajustar quotas de memória para um processoIWAM_NomeComputador
Ajustar quotas de memória para um processoServiço local
Ajustar quotas de memória para um processoServiço de rede
Ignorar verificação transversalIIS_WPG
Permitir iniciar sessão localmente (consulte a Nota)Administradores
Permitir iniciar sessão localmente (consulte a Nota)IUSR_NomeComputador
Recusar início de sessão localASPNET
Personificar um cliente após autenticaçãoAdministradores
Personificar um cliente após autenticaçãoASPNET
Personificar um cliente após autenticaçãoIIS_WPG
Personificar um cliente após autenticaçãoServiço
Iniciar sessão como uma tarefa batchASPNET
Iniciar sessão como uma tarefa batchIIS_WPG
Iniciar sessão como uma tarefa batchIUSR_NomeComputador
Iniciar sessão como uma tarefa batchIWAM_NomeComputador
Iniciar sessão como uma tarefa batchServiço local
Iniciar sessão como um serviçoASPNET
Iniciar sessão como um serviçoServiço de rede
Substituir um token de nível de processoIWAM_NomeComputador
Substituir um token de nível de processoServiço local
Substituir um token de nível de processoServiço de rede

Nota: numa nova instalação predefinida do Microsoft Windows Server 2003 com o IIS 6.0, o grupo Utilizadores e o grupo Todos têm permissões Ignorar verificação transversal. A identidade de processo de trabalho herda as permissões Ignorar verificação transversal através de um destes grupos. Se ambos os grupos forem removidos das permissões Ignorar verificação transversal e a identidade de processo de trabalho não herdar estas permissões através de outra atribuição, o processo de trabalho não será iniciado. Se o grupo Utilizadores e o grupo Todos tiverem de ser removidos das permissões Ignorar verificação transversal, adicione o grupo IIS_WPG para permitir que o IIS funcione como esperado.

Nota: no IIS 6.0, quando a autenticação base é configurada como uma das opções de autenticação, a propriedade de metabase LogonMethod da autenticação base é NETWORK_CLEARTEXT. O tipo de início de sessão NETWORK_CLEARTEXT não requer o direito de utilizador Permitir iniciar sessão localmente. Isto também se aplica à autenticação anónima. Para obter informações adicionais, consulte o tópico sobre o tipo de início de sessão predefinido da autenticação base na ajuda do IIS. Também pode visitar o seguinte Web site da Microsoft:

Basic authentication
http://www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/cf438d2c-f9c7-4351-bf56-d2ab950d7d6e.mspx
(http://www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/cf438d2c-f9c7-4351-bf56-d2ab950d7d6e.mspx)
Voltar ao topo | Submeter comentários

Referências

Para obter mais informações sobre como implementar e gerir a segurança do IIS, visite os seguintes Web sites da Microsoft:

Windows Server 2003 Security Guide
http://www.microsoft.com/china/technet/security/guidance/secmod117.mspx
(http://www.microsoft.com/china/technet/security/guidance/secmod117.mspx)
Internet Information Services (IIS)
http://www.microsoft.com/technet/security/prodtech/IIs.mspx
(http://www.microsoft.com/technet/security/prodtech/IIs.mspx)
Security how-to resources
http://www.microsoft.com/technet/solutionaccelerators/howto/sechow.mspx
(http://www.microsoft.com/technet/solutionaccelerators/howto/sechow.mspx)
Improving Web application security: threats and countermeasures
http://msdn.microsoft.com/library/en-us/dnnetsec/html/ThreatCounter.asp
(http://msdn.microsoft.com/library/en-us/dnnetsec/html/ThreatCounter.asp)
Voltar ao topo | Submeter comentários

Propriedades

Artigo: 812614 - Última revisão: terça-feira, 4 de Dezembro de 2007 - Revisão: 8.3
A informação contida neste artigo aplica-se a:
  • Microsoft Internet Information Services 6.0
Palavras-chave: 
kbhowto kbinfo KB812614
Voltar ao topo | Submeter comentários

Submeter comentários

 
Voltar ao topoVoltar ao topo