Permissões padrão e direitos de usuário para o IIS 7.0 e posterior

  • Artigo

Este artigo descreve as permissões padrão e os direitos de usuário definidos em determinados arquivos e pastas. Esses arquivos e pastas são instalados com o ISS (serviços de informações da internet) da Microsoft 7.0 e posterior.

Versão original do produto: Serviços de informações da internet 8.0
Número original do KB: 981949

Alterações de permissão no IIS 6.0, IIS 7.0 e versões posteriores

No IIS 6.0, uma conta local (IUSR_MachineName) é criada quando o IIS é instalado. A conta IUSR_MachineName é a identidade padrão usada pelo IIS quando a autenticação anônima está habilitada. A autenticação anônima é usada pelo serviço FTP (Protocolo de Transferência de Arquivos) e pelo serviço HTTP (Protocolo de Transferência de Hipertexto). O IIS 6.0 também contém um grupo chamado IIS_WPG. O grupo IIS_WPG é usado como um contêiner para todas as Identidades do Pool de Aplicativos.

No IIS 7.0 e posterior, uma conta interna (IUSR) substitui a conta IUSR_MachineName. Além disso, um grupo chamado IIS_IUSRS substitui o grupo IIS_WPG. Como a conta IUSR é uma conta interna, a conta IUSR não requer mais uma senha. A conta IUSR é semelhante a uma conta de serviço local ou de rede. A conta IUSR_MachineName é criada e usada somente quando o servidor FTP 6 incluído no DVD do Windows Server 2008 está instalado. Se o servidor FTP 6 não estiver instalado, a conta não será criada.

A partir do IIS 7.5, um novo recurso de segurança chamado de Identidades do Pool de Aplicativos é instalado. Esse recurso permite que executar Pools de Aplicativos em uma conta exclusiva sem precisar criar e gerenciar contas locais ou de domínio. O nome da conta do Pool de Aplicativos corresponde ao nome do Pool de Aplicativos.

Para obter mais informações sobre contas e grupos do IIS 7.0, visite Noções básicas sobre contas de usuário e grupo internos no IIS 7.

Para obter mais informações sobre Identidades do Pool de Aplicativos, visite Identidades do pool de aplicativos.

Permissões padrão do sistema de arquivos NTFS

As tabelas nesta seção listam as permissões padrão do NTFS (New Technology File System) atribuídas a determinadas pastas e arquivos. Essas pastas e arquivos são instalados junto com o IIS 7.0, IIS 7.5, IIS 8.0, IIS 8.5 e IIS 10.0.

\Inetpub

Usuários / grupos Permissões aceitas Comments
PROPRIETÁRIO CRIADOR Permissões especiais Equivalente ao controle total.               
Aplica-se somente a subpastas e arquivos.
SYSTEM Controle total
Administradores Controle total
Usuários Ler e executar
Listar o conteúdo da pasta
Ler
Trustedinstaller Controle total

\inetpub\AdminScripts

Usuários / grupos Permissões aceitas Comments
PROPRIETÁRIO CRIADOR Permissões especiais Equivalente ao controle total.               
Aplica-se somente a subpastas e arquivos.
SYSTEM Controle total
Administradores Controle total
Usuários Ler e executar
Listar o conteúdo da pasta
Ler
Trustedinstaller Controle total

\inetpub\AdminScripts\0409

Usuários / grupos Permissões aceitas Comments
PROPRIETÁRIO CRIADOR Permissões especiais Equivalente ao controle total.               
Aplica-se somente a subpastas e arquivos.
Herdado de \inetpub\AdminScripts.
SYSTEM Controle total Herdado de \inetpub\AdminScripts.
Administradores Controle total Herdado de \inetpub\AdminScripts.
Usuários Ler e executar
Listar o conteúdo da pasta
Ler		 Herdado de \inetpub\AdminScripts.
Trustedinstaller Controle total Herdado de \inetpub\AdminScripts.

\inetpub\clusterr

Usuários / grupos Permissões aceitas Comments
PROPRIETÁRIO CRIADOR Permissões especiais Equivalente ao controle total.
Aplica-se somente a subpastas e arquivos.
Herdado de \inetpub.
SYSTEM Controle total
Permissões especiais		 O controle total é herdado de \inetpub.
Permissões especiais são equivalentes a Controle total.
Aplica-se somente a essa pasta.
Administradores Controle total
Permissões especiais		 O controle total é herdado de \inetpub.
Equivalente ao controle total.
Aplica-se somente a essa pasta.
Usuários Ler e executar
Listar o conteúdo da pasta
Ler
Permissões especiais		 As permissões são herdadas de \inetpub, exceto para permissões especiais.

As permissões especiais se aplicam somente a essa pasta e incluem o seguinte:
  • Percorrer pasta / executar arquivo
  • Listar pasta / ler dados
  • Ler atributos
  • Ler atributos estendidos
  • Permissões de leitura
Trustedinstaller Controle total Herdado de \inetpub.

\inetpub\clusterr\en-us

Usuários / grupos Permissões aceitas Comments
PROPRIETÁRIO CRIADOR Permissões especiais Equivalente ao controle total.
Aplica-se somente a subpastas e arquivos.
Herdado de \inetpub.
SYSTEM Controle total Herdado de \inetpub.
Administradores Controle total Herdado de \inetpub.
Usuários Ler e executar
Listar o conteúdo da pasta
Ler		 Herdado de \inetpub.
Trustedinstaller Controle total Herdado de \inetpub.

\inetpub\ftproot

Usuários / grupos Permissões aceitas Comments
PROPRIETÁRIO CRIADOR Permissões especiais Equivalente ao controle total.               
Aplica-se somente a subpastas e arquivos.
Herdado de \inetpub.
SYSTEM Controle total Herdado de \inetpub.
Administradores Controle total Herdado de \inetpub.
Usuários Ler e executar
Listar o conteúdo da pasta
Ler		 Herdado de \inetpub.
Trustedinstaller Controle total Herdado de \inetpub.

\inetpub\history e subpastas

Usuários / grupos Permissões aceitas Comments
SYSTEM Controle total
Administradores Controle total

\inetpub\logs

Usuários / grupos Permissões aceitas Comments
PROPRIETÁRIO CRIADOR Permissões especiais Equivalente ao controle total.               
Aplica-se somente a subpastas e arquivos.
Herdado de \inetpub.
SYSTEM Controle total Herdado de \inetpub.
Administradores Controle total Herdado de \inetpub.
Usuários Ler e executar
Listar o conteúdo da pasta
Ler		 Herdado de \inetpub.
WMSvc Listar conteúdo da pasta
Trustedinstaller Controle total Herdado de \inetpub.

\inetpub\logs\FailedReqLogFiles

Usuários / grupos Permissões aceitas Comments
IIS_IUSRS Permissões especiais As permissões especiais incluem o seguinte:
  • Listar pasta / ler dados
  • Criar arquivos / gravar dados
  • Criar pastas / acrescentar dados
  • Gravar atributos
  • Gravar atributos estendidos
  • Excluir subpastas e arquivos
  • Excluir
SYSTEM Controle total
Administradores Controle total

\inetpub\logs\wmsvc

Usuários / grupos Permissões aceitas Comments
PROPRIETÁRIO CRIADOR Permissões especiais Equivalente ao controle total.               
Aplica-se somente a subpastas e arquivos.
Herdado de \inetpub.
SYSTEM Controle total Herdado de \inetpub.
Administradores Controle total Herdado de \inetpub.
Usuários Ler e executar
Listar o conteúdo da pasta
Ler		 Herdado de \inetpub.
WMSvc Modificar
Ler e executar
Listar o conteúdo da pasta
Ler
Gravar		 A permissão de conteúdo da pasta de lista é herdada de \inetpub\logs.
Trustedinstaller Controle total Herdado de \inetpub.

\inetpub\temp

Usuários / grupos Permissões aceitas Comments
PROPRIETÁRIO CRIADOR Permissões especiais Equivalente ao controle total.               
Aplica-se somente a subpastas e arquivos.
Herdado de \inetpub.
SYSTEM Controle total Herdado de \inetpub.
Administradores Controle total Herdado de \inetpub.
Usuários Ler e executar
Listar o conteúdo da pasta
Ler		 Herdado de \inetpub.
Trustedinstaller Controle total Herdado de \inetpub.

\inetpub\temp\appPools

Usuários / grupos Permissões aceitas Comments
PROPRIETÁRIO CRIADOR Permissões especiais Equivalente ao controle total.               
Aplica-se somente a subpastas e arquivos.
SYSTEM Controle total
Administradores Controle total
IIS_IUSRS Ler e executar Herdado de \inetpub.

\inetpub\temp\ASP Compiled Templates

Usuários / grupos Permissões aceitas Comments
Por padrão, nenhuma permissão é atribuída a essa pasta.

\inetpub\temp\IIS Temporary Compressed Files

Usuários / grupos Permissões aceitas Comments
SYSTEM Controle total
Administradores Controle total
IIS_IUSRS Controle total

\inetpub\wwwroot

Usuários / grupos Permissões aceitas Comments
PROPRIETÁRIO CRIADOR Permissões especiais Equivalente ao controle total.               
Aplica-se somente a subpastas e arquivos.
Herdado de \inetpub.
SYSTEM Controle total Herdado de \inetpub.
Administradores Controle total Herdado de \inetpub.
Usuários Ler e executar
Listar o conteúdo da pasta
Ler		 Herdado de \inetpub.
IIS_IUSRS Ler e executar
Trustedinstaller Controle total Herdado de \inetpub.

\inetpub\wwwroot\aspnet_client

Usuários / grupos Permissões aceitas Comments
Todos Leitura
SYSTEM Controle total
Administradores Controle total
Usuários Ler e executar
Listar o conteúdo da pasta
Ler

%windir%\System32\inetsrv\

Usuários / grupos Permissões aceitas Comments
PROPRIETÁRIO CRIADOR Permissões especiais Equivalente ao controle total.               
Aplica-se somente a subpastas e arquivos.
SYSTEM Permissões especiais As permissões especiais permitidas para a conta SISTEMA para esta pasta incluem apenas o seguinte:
  • Percorrer pasta / executar arquivo
  • Listar pasta / ler dados
  • Ler atributos
  • Ler atributos estendidos
  • Criar arquivo / gravar dados
  • Criar pastas / acrescentar dados
  • Gravar atributos
  • Gravar atributos estendidos
  • Excluir
  • Permissões de leitura

A permissão especial aceita para SISTEMA apenas para subpastas e arquivos é equivalente a Controle total.
Administradores Permissões especiais As permissões especiais permitidas para o grupo Administradores para esta pasta incluem apenas o seguinte:
  • Percorrer pasta / executar arquivo
  • Listar pasta / ler dados
  • Ler atributos
  • Ler atributos estendidos
  • Criar arquivo / gravar dados
  • Criar pastas / acrescentar dados
  • Gravar atributos
  • Gravar atributos estendidos
  • Excluir
  • Permissões de leitura

A permissão especial permitida para o grupo Administradores para subpastas e arquivos é equivalente apenas a Controle total.
Usuários Ler e executar
Listar o conteúdo da pasta
Ler
Trustedinstaller Permissões especiais As permissões são equivalentes a Controle total e se aplicam a essa pasta e subpastas.

%windir%\System32\inetsrv\0409

Usuários / grupos Permissões aceitas Comments
PROPRIETÁRIO CRIADOR Permissões especiais Equivalente ao controle total.               
Aplica-se somente a subpastas e arquivos.
Herdado de %windir%\System32\inetsrv.
SYSTEM Controle total Herdado de %windir%\System32\inetsrv.
Administradores Controle total Herdado de %windir%\System32\inetsrv.
Usuários Ler e executar
Listar o conteúdo da pasta
Ler		 Herdado de %windir%\System32\inetsrv.
Trustedinstaller Permissões especiais Equivalente ao controle total.               
Aplica-se somente a subpastas e arquivos.
Herdado de %windir%\System32\inetsrv.

%windir%\System32\inetsrv\config

Usuários / grupos Permissões aceitas Comments
PROPRIETÁRIO CRIADOR Permissões especiais Equivalente ao controle total.               
Aplica-se somente a subpastas e arquivos.
SYSTEM Controle total
Administradores Controle total
Usuários Ler e executar
Listar o conteúdo da pasta
Ler
Trustedinstaller Controle total
WMSvc Leitura

%Windir%\System32\inetsrv\config\Export

Usuários / grupos Permissões aceitas Comments
PROPRIETÁRIO CRIADOR Permissões especiais Equivalente ao controle total.               
Aplica-se somente a subpastas e arquivos.
SYSTEM Controle total
Administradores Controle total
Trustedinstaller Controle total

%windir%\System32\inetsrv\config\schema

Usuários / grupos Permissões aceitas Comments
PROPRIETÁRIO CRIADOR Permissões especiais Equivalente ao controle total.               
Aplica-se somente a subpastas e arquivos.
SYSTEM Permissões especiais As permissões especiais permitidas para a conta SISTEMA para esta pasta incluem apenas o seguinte:
  • Percorrer pasta / executar arquivo
  • Listar pasta / ler dados
  • Ler atributos
  • Ler atributos estendidos
  • Criar arquivo / gravar dados
  • Criar pastas / acrescentar dados
  • Gravar atributos
  • Gravar atributos estendidos
  • Excluir
  • Permissões de leitura

A permissão especial aceita para SISTEMA apenas para subpastas e arquivos é equivalente a Controle total.
Administradores Permissões especiais As permissões especiais permitidas para o grupo Administradores para esta pasta incluem apenas o seguinte:
  • Percorrer pasta / executar arquivo
  • Listar pasta / ler dados
  • Ler atributos
  • Ler atributos estendidos
  • Criar arquivo / gravar dados
  • Criar pastas / acrescentar dados
  • Gravar atributos
  • Gravar atributos estendidos
  • Excluir
  • Permissões de leitura

A permissão especial permitida para o grupo Administradores para subpastas e arquivos é equivalente apenas a Controle total.
Usuários Ler e executar
Listar o conteúdo da pasta
Ler
Trustedinstaller Permissões especiais Equivalente ao controle total.
Aplica-se a essa pasta e subpastas.

%windir%\System32\inetsrv\en-us

Usuários / grupos Permissões aceitas Comments
PROPRIETÁRIO CRIADOR Permissões especiais Equivalente ao controle total.               
Aplica-se somente a subpastas e arquivos.
SYSTEM Permissões especiais As permissões especiais permitidas para a conta SISTEMA para esta pasta incluem apenas o seguinte:
  • Percorrer pasta / executar arquivo
  • Listar pasta / ler dados
  • Ler atributos
  • Ler atributos estendidos
  • Criar arquivo / gravar dados
  • Criar pastas / acrescentar dados
  • Gravar atributos
  • Gravar atributos estendidos
  • Excluir
  • Permissões de leitura

A permissão especial aceita para SISTEMA apenas para subpastas e arquivos é equivalente a Controle total.
Administradores Permissões especiais As permissões especiais permitidas para o grupo Administradores para esta pasta incluem apenas o seguinte:
  • Percorrer pasta / executar arquivo
  • Listar pasta / ler dados
  • Ler atributos
  • Ler atributos estendidos
  • Criar arquivo / gravar dados
  • Criar pastas / acrescentar dados
  • Gravar atributos
  • Gravar atributos estendidos
  • Excluir
  • Permissões de leitura

A permissão especial permitida para o grupo Administradores para subpastas e arquivos é equivalente apenas a Controle total.
Usuários Ler e executar
Listar o conteúdo da pasta
Ler
Trustedinstaller Listar o conteúdo da pasta
Permissões especiais		 Equivalente ao controle total.
Aplica-se a essa pasta e subpastas.

%windir%\System32\inetsrv\History

Usuários / grupos Permissões aceitas Comments
Administradores Controle total
SYSTEM Controle total

%windir%\System32\inetsrv\MetaBack

Usuários / grupos Permissões aceitas Comments
Administradores Controle total
SYSTEM Controle total

Permissões de registro padrão:

As tabelas nesta seção listam as permissões de registro padrão atribuídas quando o IIS 7.0, IIS 7.5, IIS 8.0 ou IIS 8.5 é instalado. Quando as permissões de leitura são listadas para usuários, as seguintes permissões são incluídas:

  • Valor da Consulta
  • Enumerar subchaves
  • Notificar
  • Controle de Leitura

HKEY_LOCAL_MACHINE \Software\Microsoft\Inetmgr

Usuários / grupos Permissões aceitas Comments
PROPRIETÁRIO CRIADOR Permissões especiais Equivalente ao controle total.
Aplica-se somente a subchaves.
SYSTEM Controle total
Administradores Controle total
Usuários Leitura

HKEY_LOCAL_MACHINE \Software\Microsoft\InetStp

Usuários / grupos Permissões aceitas Comments
PROPRIETÁRIO CRIADOR Permissões especiais Equivalente ao controle total.
Aplica-se somente a subchaves.
SYSTEM Controle total
Administradores Controle total
Usuários Leitura

HKEY_LOCAL_MACHINE \Software\Microsoft\W3SVC

Usuários / grupos Permissões aceitas Comments
PROPRIETÁRIO CRIADOR Permissões especiais Equivalente ao controle total.
Aplica-se somente a subchaves.
SYSTEM Controle total
Administradores Controle total
Usuários Leitura

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ASP

Usuários / grupos Permissões aceitas Comments
PROPRIETÁRIO CRIADOR Permissões especiais Equivalente ao controle total.
Aplica-se somente a subchaves.
SYSTEM Controle total
Administradores Controle total
Usuários Leitura

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ASP.NET

Usuários / grupos Permissões aceitas Comments
PROPRIETÁRIO CRIADOR Permissões especiais Equivalente ao controle total.
Aplica-se somente a subchaves.
SYSTEM Controle total
Administradores Controle total
Usuários Leitura

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ASP.NET_2.0.50727

Usuários / grupos Permissões aceitas Comments
PROPRIETÁRIO CRIADOR Permissões especiais Equivalente ao controle total.
Aplica-se somente a subchaves.
SYSTEM Controle total
Administradores Controle total
Usuários Leitura

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\aspnet_state

Usuários / grupos Permissões aceitas Comments
PROPRIETÁRIO CRIADOR Permissões especiais Equivalente ao controle total.
Aplica-se somente a subchaves.
SYSTEM Controle total
Administradores Controle total
Usuários Leitura

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP

Usuários / grupos Permissões aceitas Comments
PROPRIETÁRIO CRIADOR Permissões especiais Equivalente ao controle total.
Aplica-se somente a subchaves.
SYSTEM Controle total
Administradores Controle total
Usuários Leitura

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\IISAdmin

Usuários / grupos Permissões aceitas Comments
PROPRIETÁRIO CRIADOR Permissões especiais Equivalente ao controle total.
Aplica-se somente a subchaves.
SYSTEM Controle total
Administradores Controle total
Usuários Leitura

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\W3SVC

Usuários / grupos Permissões aceitas Comments
PROPRIETÁRIO CRIADOR Permissões especiais Equivalente ao controle total.
Aplica-se somente a subchaves.
SYSTEM Controle total
Administradores Controle total
Usuários Leitura

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WAS

Usuários / grupos Permissões aceitas Comments
PROPRIETÁRIO CRIADOR Permissões especiais Equivalente ao controle total.
Aplica-se somente a subchaves.
SYSTEM Controle total
Administradores Controle total
Usuários Leitura

Observação

A chave WAS é para o Serviço Windows de Ativação de Processo. Essa é uma dependência necessária e é instalada junto com o IIS.

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WMsvc

Usuários / grupos Permissões aceitas Comments
PROPRIETÁRIO CRIADOR Permissões especiais Equivalente ao controle total.
Aplica-se somente a subchaves.
SYSTEM Controle total
Administradores Controle total
Usuários Leitura

Atribuições de direitos de usuário padrão do Windows

A tabela nesta seção lista as políticas de segurança locais padrão e os usuários, os grupos ou os usuários e grupos atribuídos à política quando o IIS 7.0, IIS 7.5, IIS 8.0 ou IIS 8.5 é instalado.

Direitos de usuário do Windows atribuídos pela política de segurança local

Permissões aceitas Usuários / grupos
Acessar este computador da rede Todos
Administradores
Usuários
Operadores de backup
Ajustar cotas de memória para um processo SERVIÇO LOCAL
SERVIÇO DE REDE
Administradores
ApplicationPoolIdentity
Permitir logon localmente Administradores
Usuários
Operadores de backup
Ignorar verificação de passagem Todos
SERVIÇO LOCAL
SERVIÇO DE REDE
Administradores
Usuários
Operadores de backup
Gerar auditorias de segurança ApplicationPoolIdentity
Representar um cliente após autenticação SERVIÇO LOCAL
SERVIÇO DE REDE
Administradores
IIS_IUSRS
SERVIÇO
Fazer logon como trabalho em lotes Administradores
Operadores de backup
Usuários de log de desempenho
IIS_IUSRS
Fazer logon como um serviço ApplicationPoolIdentity
Substituir um token de nível de processo SERVIÇO LOCAL
SERVIÇO DE REDE
ApplicationPoolIdentity