Права пользователей и разрешения, устанавливаемые по умолчанию для служб IIS 6.0

Переводы статьи Переводы статьи
Код статьи: 812614 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

ВВЕДЕНИЕ

В статье описываются права пользователей и разрешения, устанавливаемые по умолчанию на сервере приложений, на котором установлены службы IIS 6.0.

Дополнительная информация

В приведенных ниже таблицах перечислены разрешения файловой системы NTFS, разрешения на доступ к разделам реестра и права пользователей Microsoft Windows. Данная информация относится к системам, в составе которых поставляется Microsoft ASP.NET. В этой статье рассматривается только служба веб-публикации. Другие компоненты (такие как службы FTP, SMTP и серверные расширения Microsoft FrontPage) не рассматриваются.

Примечание. В данном документе в качестве учетной записи, используемой для анонимного входа, рассматривается учетная запись IUSR_имя_компьютера.

Разрешения NTFS

Свернуть эту таблицуРазвернуть эту таблицу
КаталогПользователи и группыРазрешения
%windir%\help\iishelp\commonАдминистраторыПолный доступ
%windir%\help\iishelp\commonСистемаПолный доступ
%windir%\help\iishelp\commonIIS_WPGЧтение, выполнение
%windir%\help\iishelp\commonПользователи (см. примечание 1)Чтение, выполнение
%windir%\IIS Temporary Compressed FilesАдминистраторыПолный доступ
%windir%\IIS Temporary Compressed FilesСистемаПолный доступ
%windir%\IIS Temporary Compressed FilesIIS_WPGПолный доступ
%windir%\IIS Temporary Compressed FilesСоздатель-владелецПолный доступ
%windir%\system32\inetsrvАдминистраторыПолный доступ
%windir%\system32\inetsrvСистемаПолный доступ
%windir%\system32\inetsrvПользователиЧтение, выполнение
%windir%\system32\inetsrv\*.vbsАдминистраторыПолный доступ
%windir%\system32\inetsrv\ASP compiled templatesАдминистраторыПолный доступ
%windir%\system32\inetsrv\ASP compiled templatesIIS_WPGПолный доступ
%windir%\system32\inetsrv\HistoryАдминистраторыПолный доступ
%windir%\system32\inetsrv\HistoryСистемаПолный доступ
%windir%\system32\LogfilesАдминистраторыПолный доступ
%windir%\system32\inetsrv\metabackАдминистраторыПолный доступ
%windir%\system32\inetsrv\metabackСистемаПолный доступ
Inetpub\AdminscriptsАдминистраторыПолный доступ
Inetpub\wwwroot (или каталоги с содержимым)АдминистраторыПолный доступ
Inetpub\wwwroot (или каталоги с содержимым)СистемаПолный доступ
Inetpub\wwwroot (или каталоги с содержимым)IIS_WPGЧтение, выполнение
Inetpub\wwwroot (или каталоги с содержимым)IUSR_имя_компьютераЧтение, выполнение
Inetpub\wwwroot (или каталоги с содержимым)ASPNET (см. примечание 2) Чтение, выполнение

Примечание 1. Доступ к данному каталогу необходим при использовании обычной или встроенной проверки подлинности, а также при создании настраиваемых сообщений об ошибках. Например, при возникновении ошибки 401.1 пользователь увидит подробное ее описание только в том случае, если ему предоставлено разрешение на чтение файла 4011.htm.

Примечание 2. По умолчанию в режиме изоляции служб IIS 5.0 в качестве удостоверения процесса ASP.NET используется ASP.NET. Если ASP.NET переключается в режим изоляции служб IIS 5.0, процессу ASP.NET должен быть предоставлен доступ к папкам с содержимым веб-узла. Сведения об изоляции процесса ASP.NET см. в справке служб IIS. Дополнительные сведения см. на следующем веб-узле корпорации Майкрософт:

Изоляция процесса ASP.NET
http://www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/e409289d-2786-4a34-bb7e-9c546602c2c8.mspx

Разрешения на доступ к разделам реестра

Свернуть эту таблицуРазвернуть эту таблицу
РасположениеПользователи и группыРазрешения
HKLM\System\CurrentControlSet\Services\ASPАдминистраторыПолный доступ
HKLM\System\CurrentControlSet\Services\ASPСистемаПолный доступ
HKLM\System\CurrentControlSet\Services\ASPIIS_WPGЧтение
HKLM\System\CurrentControlSet\Services\HTTPАдминистраторыПолный доступ
HKLM\System\CurrentControlSet\Services\HTTPСистемаПолный доступ
HKLM\System\CurrentControlSet\Services\HTTPIIS_WPGЧтение
HKLM\System\CurrentControlSet\Services\IISAdminАдминистраторыПолный доступ
HKLM\System\CurrentControlSet\Services\IISAdminСистемаПолный доступ
HKLM\System\CurrentControlSet\Services\IISAdminIIS_WPGЧтение
HKLM\System\CurrentControlSet\Services\w3svcАдминистраторыПолный доступ
HKLM\System\CurrentControlSet\Services\w3svcСистемаПолный доступ
HKLM\System\CurrentControlSet\Services\w3svcIIS_WPGЧтение

Права пользователей Windows

Свернуть эту таблицуРазвернуть эту таблицу
ПолитикаПользователи
Доступ к компьютеру из сетиАдминистраторы
Доступ к компьютеру из сетиASPNET
Доступ к компьютеру из сетиIUSR_имя_компьютера
Доступ к компьютеру из сетиIWAM_имя_компьютера
Доступ к компьютеру из сетиПользователи
Настройка квот памяти для процессаАдминистраторы
Настройка квот памяти для процессаIWAM_имя_компьютера
Настройка квот памяти для процессаЛокальная служба
Настройка квот памяти для процессаСетевая служба
Обход перекрестной проверкиIIS_WPG
Локальный вход в систему (см. примечание)Администраторы
Локальный вход в систему (см. примечание)IUSR_имя_компьютера
Отклонить локальный входASPNET
Олицетворять клиента после проверки подлинностиАдминистраторы
Олицетворять клиента после проверки подлинностиASPNET
Олицетворять клиента после проверки подлинностиIIS_WPG
Олицетворять клиента после проверки подлинностиСлужба
Вход в качестве пакетного заданияASPNET
Вход в качестве пакетного заданияIIS_WPG
Вход в качестве пакетного заданияIUSR_имя_компьютера
Вход в качестве пакетного заданияIWAM_имя_компьютера
Вход в качестве пакетного заданияЛокальная служба
Вход в качестве службыASPNET
Вход в качестве службыСетевая служба
Замена маркера уровня процессаIWAM_имя_компьютера
Замена маркера уровня процессаЛокальная служба
Замена маркера уровня процессаСетевая служба

Примечание. По умолчанию при установке новой копии Microsoft Windows Server 2003 со службами IIS 6.0 группам «Пользователи» и «Все» предоставляется разрешение «Обход перекрестной проверки». Удостоверение рабочего процесса наследует данное право благодаря принадлежности к одной из этих групп. Если разрешение «Обход перекрестной проверки» не предоставлено ни одной из этих групп и удостоверение рабочего процесса не наследует данное разрешение от других объектов, то рабочий процесс не запустится. Если необходимо лишить группы «Пользователи» и «Все» разрешения «Обход перекрестной проверки», то для обеспечения работоспособности служб IIS предоставьте данное разрешение группе IIS_WPG.

Примечание. Если в параметрах служб IIS 6.0 предусмотрено использование обычной проверки подлинности, то в метабазе свойство LogonMethod принимает значение NETWORK_CLEARTEXT. При использовании метода входа в систему NETWORK_CLEARTEXT право «Локальный вход в систему» не требуется. Кроме того, данное право не требуется при использовании анонимной проверки подлинности. Дополнительные сведения см. в разделе «Вход с обычной проверкой подлинности» справки IIS или на следующем веб-узле корпорации Майкрософт:

Обычная проверка подлинности
http://www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/cf438d2c-f9c7-4351-bf56-d2ab950d7d6e.mspx

Ссылки

Дополнительные сведения о внедрении системы безопасности служб IIS и управлению ею см. на следующем веб-узле корпорации Майкрософт:

Руководство по безопасности Windows Server 2003
http://www.microsoft.com/china/technet/security/guidance/secmod117.mspx
TechNet
http://www.microsoft.com/technet/security/prodtech/iis/default.mspx
Ресурсы по обеспечению безопасности
http://www.microsoft.com/technet/itsolutions/howto/sechow.mspx
Повышение безопасности веб-приложений: угрозы и меры противодействия
http://msdn2.microsoft.com/en-us/library/ms994921.aspx

Свойства

Код статьи: 812614 - Последний отзыв: 20 марта 2007 г. - Revision: 9.0
Информация в данной статье относится к следующим продуктам.
  • Microsoft Internet Information Services 6.0
Ключевые слова: 
kbhowto kbinfo KB812614
Заявление об отказе относительно содержимого статьи о продуктах, поддержка которых прекращена
Эта статья содержит сведения о продуктах, поддержка которых корпорацией Майкрософт прекращена. Поэтому она предлагается как есть и обновляться не будет.

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com