Select the product you need help with

IIS 6.0 的默认权限和用户权限

简介

本文介绍了在全新安装的带有 Internet Information Services (IIS) 6.0 的应用程序服务器上的默认权限和用户权限。

下表记录了 NTFS 文件系统权限、注册表权限和 Microsoft Windows 用户权限。此信息在安装套件中包含 Microsoft ASP.NET 时适用。本文重点关注 World Wide Web 发布服务，并不考虑文件传输协议 (FTP) 服务、简单邮件传输协议 (SMTP) 服务和 Microsoft FrontPage Server Extensions (FPSE) 等其他组件。

注意：为便于说明，本文档中的 IUSR_MachineName 帐户和配置的匿名帐户在使用时可以互换。

NTFS 权限

收起该表格展开该表格

目录	用户\组	权限
%windir%\help\iishelp\common	Administrators	完全控制
%windir%\help\iishelp\common	System	完全控制
%windir%\help\iishelp\common	IIS_WPG	读取、执行
%windir%\help\iishelp\common	Users（请参见“注意 1”。）	读取、执行
%windir%\IIS Temporary Compressed Files	Administrators	完全控制
%windir%\IIS Temporary Compressed Files	System	完全控制
%windir%\IIS Temporary Compressed Files	IIS_WPG	完全控制
%windir%\IIS Temporary Compressed Files	Creator owner	完全控制
%windir%\system32\inetsrv	Administrators	完全控制
%windir%\system32\inetsrv	System	完全控制
%windir%\system32\inetsrv	Users	读取、执行
%windir%\system32\inetsrv\*.vbs	Administrators	完全控制
%windir%\system32\inetsrv\ASP compiled templates	Administrators	完全控制
%windir%\system32\inetsrv\ASP compiled templates	IIS_WPG	完全控制
%windir%\system32\inetsrv\History	Administrators	完全控制
%windir%\system32\inetsrv\History	System	完全控制
%windir%\system32\Logfiles	Administrators	完全控制
%windir%\system32\inetsrv\metaback	Administrators	完全控制
%windir%\system32\inetsrv\metaback	System	完全控制
Inetpub\Adminscripts	Administrators	完全控制
Inetpub\wwwroot（或内容目录）	Administrators	完全控制
Inetpub\wwwroot（或内容目录）	System	完全控制
Inetpub\wwwroot（或内容目录）	IIS_WPG	读取、执行
Inetpub\wwwroot（或内容目录）	IUSR_MachineName	读取、执行
Inetpub\wwwroot（或内容目录）	ASPNET（请参见“注意 2”。）	读取、执行

注意 1：在使用基本身份验证或集成身份验证时以及在配置自定义错误时，都必须对此目录拥有相应的权限。例如，在出现错误 401.1 时，只有向已登录用户授予了读取 4011.htm 文件的权限，该用户才会看到预期的自定义错误详细信息。

注意 2：默认情况下，IIS 5.0 隔离模式中使用 ASP.NET 作为 ASP.NET 进程标识。如果将 ASP.NET 切换到 IIS 5.0 隔离模式，则 ASP.NET 必须对内容区域具有访问权限。IIS 帮助中对 ASP.NET 进程隔离进行了详细说明。有关其他信息，请访问下面的 Microsoft 网站：

ASP.NET 进程隔离

http://www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/e409289d-2786-4a34-bb7e-9c546602c2c8.mspx

(http://www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/e409289d-2786-4a34-bb7e-9c546602c2c8.mspx)

（可能为英文网页）

注册表权限

收起该表格展开该表格

位置	用户\组	权限
HKLM\System\CurrentControlSet\Services\ASP	Administrators	完全控制
HKLM\System\CurrentControlSet\Services\ASP	System	完全控制
HKLM\System\CurrentControlSet\Services\ASP	IIS_WPG	读取
HKLM\System\CurrentControlSet\Services\HTTP	Administrators	完全控制
HKLM\System\CurrentControlSet\Services\HTTP	System	完全控制
HKLM\System\CurrentControlSet\Services\HTTP	IIS_WPG	读取
HKLM\System\CurrentControlSet\Services\IISAdmin	Administrators	完全控制
HKLM\System\CurrentControlSet\Services\IISAdmin	System	完全控制
HKLM\System\CurrentControlSet\Services\IISAdmin	IIS_WPG	读取
HKLM\System\CurrentControlSet\Services\w3svc	Administrators	完全控制
HKLM\System\CurrentControlSet\Services\w3svc	System	完全控制
HKLM\System\CurrentControlSet\Services\w3svc	IIS_WPG	读取

Windows 用户权限

收起该表格展开该表格

策略	Users
从网络访问此计算机	Administrators
从网络访问此计算机	ASPNET
从网络访问此计算机	IUSR_MachineName
从网络访问此计算机	IWAM_MachineName
从网络访问此计算机	Users
调整进程内存配额	Administrators
调整进程内存配额	IWAM_MachineName
调整进程内存配额	Local service
调整进程内存配额	Network service
跳过遍历检查	IIS_WPG
允许本地登录（请参见“注意”）	Administrators
允许本地登录（请参见“注意”）	IUSR_MachineName
拒绝本地登录	ASPNET
在身份验证之后模拟客户端	Administrators
在身份验证之后模拟客户端	ASPNET
在身份验证之后模拟客户端	IIS_WPG
在身份验证之后模拟客户端	Service
作为批处理作业登录	ASPNET
作为批处理作业登录	IIS_WPG
作为批处理作业登录	IUSR_MachineName
作为批处理作业登录	IWAM_MachineName
作为批处理作业登录	Local service
作为服务登录	ASPNET
作为服务登录	Network service
替换进程级别令牌	IWAM_MachineName
替换进程级别令牌	Local service
替换进程级别令牌	Network service

注意：在以默认设置全新安装的带有 IIS 6.0 的 Microsoft Windows Server 2003 中，Users 组和 Everyone 组都拥有“跳过遍历检查”权限。工作进程标识通过这两个组当中的一个继承“跳过遍历检查”权限。如果从“跳过遍历检查”权限中删除这两个组，工作进程标识将不会通过任何其他分配继承“跳过遍历检查”权限，因此工作进程将无法启动。如果必须从“跳过遍历检查”权限中删除 Users 组和 Everyone 组，请添加 IIS_WPG 组以允许 IIS 按预期方式运行。

注意：在 IIS 6.0 中，如果将基本身份验证配置为身份验证选项之一，则基本身份验证的 LogonMethod 元数据库属性将为 NETWORK_CLEARTEXT。NETWORK_CLEARTEXT 登录类型不需要“允许本地登录”用户权限。这同样适用于匿名身份验证。有关其他信息，请参见 IIS 帮助中的“基本身份验证默认登录类型”主题。您也可以访问下面的 Microsoft 网站：

基本身份验证

http://www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/cf438d2c-f9c7-4351-bf56-d2ab950d7d6e.mspx

(http://www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/cf438d2c-f9c7-4351-bf56-d2ab950d7d6e.mspx)

（可能为英文网页）

回到顶端 | 提供反馈

参考

有关如何实现和管理 IIS 安全性的详细信息，请访问下面的 Microsoft 网站：

Windows Server 2003 安全指南

http://technet.microsoft.com/zh-cn/library/cc163140.aspx

(http://technet.microsoft.com/zh-cn/library/cc163140.aspx)

TechNet

http://technet.microsoft.com/zh-cn/library/dd450371.aspx

(http://technet.microsoft.com/zh-cn/library/dd450371.aspx)

提高 Web 应用程序安全性：威胁和防御措施

http://msdn.microsoft.com/zh-cn/library/ms994921.aspx

(http://msdn.microsoft.com/zh-cn/library/ms994921.aspx)

回到顶端 | 提供反馈

属性

文章编号: 812614 - 最后修改: 2010年1月4日 - 修订: 11.0

这篇文章中的信息适用于:

Microsoft Internet Information Services 6.0

kbhowto kbinfo KB812614

Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性，不作任何声明。所有该等文件及有关图形均"依样"提供，而不带任何性质的保证。Microsoft和/或其各供应商特此声明，对所有与该等信息有关的保证和条件不负任何责任，该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下，在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中，Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

回到顶端 | 提供反馈