Разрешения по умолчанию и пользовательские права для IIS 7.0 и более поздних версий

  • Статья

В этой статье описываются разрешения по умолчанию и пользовательские права, задаваемые для определенных папок и файлов. Эти папки и файлы устанавливаются со службами IIS 7.0 и более поздних версий.

Оригинальная версия продукта: службы IIS 8.0
Оригинальный номер базы знаний: 981949

Изменения разрешений в IIS 6.0, IIS 7.0 и более поздних версиях

В IIS 6.0 при установке служб IIS создается локальная учетная запись (IUSR_MachineName). Учетная запись IUSR_MachineName — это удостоверение по умолчанию, которое используется службами IIS при включенной анонимной проверке подлинности. Анонимная проверка подлинности используется как службой FTP, так и службой HTTP. IIS 6.0 также содержит группу с именем IIS_WPG. Группа IIS_WPG используется в качестве контейнера для всех удостоверений пула приложений.

В IIS 7.0 и более поздних версиях встроенная учетная запись (IUSR) заменяет учетную запись IUSR_MachineName. Кроме того, группа с именем IIS_IUSRS заменяет группу IIS_WPG. Так как учетная запись IUSR является встроенной учетной записью, для нее больше не требуется пароль. Учетная запись IUSR напоминает сетевую или локальную учетную запись службы. Учетная запись IUSR_MachineName создается и используется только при установке сервера FTP 6, включенного в DVD-диск Windows Server 2008. Если сервер FTP 6 не установлен, учетная запись не создается.

Начиная с IIS 7.5, используется новая функция безопасности, которая называется удостоверениями пула приложений. Эта функция позволяет запускать пулы приложений в уникальной учетной записи без необходимости создания и управления доменными или локальными учетными записями. Имя учетной записи пула приложений соответствует имени пула приложений.

Дополнительные сведения об учетных записях и группах IIS 7.0 см. в разделе Основные сведения о встроенных учетных записях пользователей и групп в IIS 7.

Дополнительные сведения об удостоверениях пула приложений см. в разделе Удостоверения пула приложений.

Разрешения файловой системы NTFS по умолчанию

В таблицах этого раздела перечислены разрешения файловой системы NTFS по умолчанию, назначенные определенным папкам и файлам. Эти папки и файлы устанавливаются вместе со службами IIS 7.0, IIS 7.5, IIS 8.0, IIS 8.5 и IIS 10.0.

\inetpub

Пользователи и группы Допустимые разрешения Примечания
СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ Особые разрешения Эквивалентны полному управлению.
Применяется только к вложенным папкам и файлам.
SYSTEM Полный доступ
Администраторы Полный доступ
Пользователи Чтение & выполнение
содержимого
папки списка Чтение
Trustedinstaller Полный доступ

\inetpub\AdminScripts

Пользователи и группы Допустимые разрешения Примечания
СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ Особые разрешения Эквивалентны полному управлению.
Применяется только к вложенным папкам и файлам.
SYSTEM Полный доступ
Администраторы Полный доступ
Пользователи Чтение & выполнение
содержимого
папки списка Чтение
Trustedinstaller Полный доступ

\inetpub\AdminScripts\0409

Пользователи и группы Допустимые разрешения Примечания
СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ Особые разрешения Эквивалентны полному управлению.
Применяется только к вложенным папкам и файлам.
Наследуется от \inetpub\AdminScripts.
SYSTEM Полный доступ Наследуется от \inetpub\AdminScripts.
Администраторы Полный доступ Наследуется от \inetpub\AdminScripts.
Пользователи Чтение & выполнение
содержимого
папки списка Чтение		 Наследуется от \inetpub\AdminScripts.
Trustedinstaller Полный доступ Наследуется от \inetpub\AdminScripts.

\inetpub\custerr

Пользователи и группы Допустимые разрешения Примечания
СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ Особые разрешения Эквивалентны полному управлению.
Применяется только к вложенным папкам и файлам.
Наследуется от \inetpub.
SYSTEM Полный доступ
Специальные разрешения		 Полный контроль наследуется от \inetpub.
Специальные разрешения эквивалентны полному доступу.
Применяется только к этой папке.
Администраторы Полный доступ
Специальные разрешения		 Полный контроль наследуется от \inetpub.
Эквивалент полного управления.
Применяется только к этой папке.
Пользователи Чтение & выполнение
содержимого
папки списка Чтение
специальных разрешений		 Разрешения наследуются от \inetpub, за исключением особых разрешений.

Специальные разрешения применяются только к этой папке и включают следующие:
  • Обзор папки / выполнение файла
  • Содержимое папки / чтение данных
  • Чтение атрибутов;
  • Чтение дополнительных атрибутов;
  • чтение;
Trustedinstaller Полный доступ Наследуется от \inetpub.

\inetpub\custerr\en-us

Пользователи и группы Допустимые разрешения Примечания
СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ Особые разрешения Эквивалентны полному управлению.
Применяется только к вложенным папкам и файлам.
Наследуется от \inetpub.
SYSTEM Полный доступ Наследуется от \inetpub.
Администраторы Полный доступ Наследуется от \inetpub.
Пользователи Чтение & выполнение
содержимого
папки списка Чтение		 Наследуется от \inetpub.
Trustedinstaller Полный доступ Наследуется от \inetpub.

\inetpub\ftproot

Пользователи и группы Допустимые разрешения Примечания
СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ Особые разрешения Эквивалентны полному управлению.
Применяется только к вложенным папкам и файлам.
Наследуется от \inetpub.
SYSTEM Полный доступ Наследуется от \inetpub.
Администраторы Полный доступ Наследуется от \inetpub.
Пользователи Чтение & выполнение
содержимого
папки списка Чтение		 Наследуется от \inetpub.
Trustedinstaller Полный доступ Наследуется от \inetpub.

\inetpub\history и вложенные папки

Пользователи и группы Допустимые разрешения Примечания
SYSTEM Полный доступ
Администраторы Полный доступ

\inetpub\logs

Пользователи и группы Допустимые разрешения Примечания
СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ Особые разрешения Эквивалентны полному управлению.
Применяется только к вложенным папкам и файлам.
Наследуется от \inetpub.
SYSTEM Полный доступ Наследуется от \inetpub.
Администраторы Полный доступ Наследуется от \inetpub.
Пользователи Чтение & выполнение
содержимого
папки списка Чтение		 Наследуется от \inetpub.
WMSvc Список содержимого папки
Trustedinstaller Полный доступ Наследуется от \inetpub.

\inetpub\logs\FailedReqLogFiles

Пользователи и группы Допустимые разрешения Примечания
IIS_IUSRS Особые разрешения К особым разрешениям относятся следующие:
  • Содержимое папки / чтение данных
  • Создание файлов / запись данных
  • Создание папок / добавление данных
  • Запись атрибутов
  • Запись дополнительных атрибутов
  • Удаление вложенных папок и файлов
  • Удалить
SYSTEM Полный доступ
Администраторы Полный доступ

\inetpub\logs\wmsvc

Пользователи и группы Допустимые разрешения Примечания
СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ Особые разрешения Эквивалентны полному управлению.
Применяется только к вложенным папкам и файлам.
Наследуется от \inetpub.
SYSTEM Полный доступ Наследуется от \inetpub.
Администраторы Полный доступ Наследуется от \inetpub.
Пользователи Чтение & выполнение
содержимого
папки списка Чтение		 Наследуется от \inetpub.
WMSvc Изменение
& выполнения
содержимого
папки "Список" Чтение
записи		 Разрешения для списка содержимого папки наследуются от \inetpub\logs.
Trustedinstaller Полный доступ Наследуется от \inetpub.

\inetpub\temp

Пользователи и группы Допустимые разрешения Примечания
СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ Особые разрешения Эквивалентны полному управлению.
Применяется только к вложенным папкам и файлам.
Наследуется от \inetpub.
SYSTEM Полный доступ Наследуется от \inetpub.
Администраторы Полный доступ Наследуется от \inetpub.
Пользователи Чтение & выполнение
содержимого
папки списка Чтение		 Наследуется от \inetpub.
Trustedinstaller Полный доступ Наследуется от \inetpub.

\inetpub\temp\appPools

Пользователи и группы Допустимые разрешения Примечания
СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ Особые разрешения Эквивалентны полному управлению.
Применяется только к вложенным папкам и файлам.
SYSTEM Полный доступ
Администраторы Полный доступ
IIS_IUSRS Чтение и выполнение Наследуется от \inetpub.

\inetpub\temp\ASP Compiled Templates

Пользователи и группы Допустимые разрешения Примечания
По умолчанию этой папке не назначаются разрешения.

\inetpub\temp\IIS Temporary Compressed Files

Пользователи и группы Допустимые разрешения Примечания
SYSTEM Полный доступ
Администраторы Полный доступ
IIS_IUSRS Полный доступ

\inetpub\wwwroot

Пользователи и группы Допустимые разрешения Примечания
СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ Особые разрешения Эквивалентны полному управлению.
Применяется только к вложенным папкам и файлам.
Наследуется от \inetpub.
SYSTEM Полный доступ Наследуется от \inetpub.
Администраторы Полный доступ Наследуется от \inetpub.
Пользователи Чтение & выполнение
содержимого
папки списка Чтение		 Наследуется от \inetpub.
IIS_IUSRS Чтение и выполнение
Trustedinstaller Полный доступ Наследуется от \inetpub.

\inetpub\wwwroot\aspnet_client

Пользователи и группы Допустимые разрешения Примечания
Все пользователи Чтение
SYSTEM Полный доступ
Администраторы Полный доступ
Пользователи Чтение & выполнение
содержимого
папки списка Чтение

%windir%\system32\inetsrv

Пользователи и группы Допустимые разрешения Примечания
СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ Особые разрешения Эквивалентны полному управлению.
Применяется только к вложенным папкам и файлам.
SYSTEM Особые разрешения Особые разрешения, допустимые для учетной записи SYSTEM для этой папки, включают только следующие:
  • Обзор папки / выполнение файла
  • Содержимое папки / чтение данных
  • Чтение атрибутов;
  • Чтение дополнительных атрибутов;
  • Создание файлов / запись данных
  • Создание папок / добавление данных
  • Запись атрибутов
  • Запись дополнительных атрибутов
  • Удалить
  • чтение;

Специальное разрешение, разрешенное для SYSTEM только для вложенных папок и файлов, эквивалентно полному доступу.
Администраторы Особые разрешения К особым разрешениям, допустимым для группы Администраторов для этой папки, входят только следующие:
  • Обзор папки / выполнение файла
  • Содержимое папки / чтение данных
  • Чтение атрибутов;
  • Чтение дополнительных атрибутов;
  • Создание файлов / запись данных
  • Создание папок / добавление данных
  • Запись атрибутов
  • Запись дополнительных атрибутов
  • Удалить
  • чтение;

Специальное разрешение, разрешенное для группы администраторов только для вложенных папок и файлов, эквивалентно полному доступу.
Пользователи Чтение & выполнение
содержимого
папки списка Чтение
Trustedinstaller Особые разрешения Разрешения эквивалентны полному доступу и применяются в этой папке и вложенным папкам.

%windir%\System32\inetsrv\0409

Пользователи и группы Допустимые разрешения Примечания
СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ Особые разрешения Эквивалентны полному управлению.
Применяется только к вложенным папкам и файлам.
Наследуется от %windir%\System32\inetsrv.
SYSTEM Полный доступ Наследуется от %windir%\System32\inetsrv.
Администраторы Полный доступ Наследуется от %windir%\System32\inetsrv.
Пользователи Чтение & выполнение
содержимого
папки списка Чтение		 Наследуется от %windir%\System32\inetsrv.
Trustedinstaller Особые разрешения Эквивалентны полному управлению.
Применяется только к вложенным папкам и файлам.
Наследуется от %windir%\System32\inetsrv

%windir%\System32\inetsrv\config

Пользователи и группы Допустимые разрешения Примечания
СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ Особые разрешения Эквивалентны полному управлению.
Применяется только к вложенным папкам и файлам.
SYSTEM Полный доступ
Администраторы Полный доступ
Пользователи Чтение & выполнение
содержимого
папки списка Чтение
Trustedinstaller Полный доступ
WMSvc Чтение

%windir%\System32\inetsrv\config\Export

Пользователи и группы Допустимые разрешения Примечания
СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ Особые разрешения Эквивалентны полному управлению.
Применяется только к вложенным папкам и файлам.
SYSTEM Полный доступ
Администраторы Полный доступ
Trustedinstaller Полный доступ

%windir%\System32\inetsrv\config\schema

Пользователи и группы Допустимые разрешения Примечания
СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ Особые разрешения Эквивалентны полному управлению.
Применяется только к вложенным папкам и файлам.
SYSTEM Особые разрешения Особые разрешения, допустимые для учетной записи SYSTEM для этой папки, включают только следующие:
  • Обзор папки / выполнение файла
  • Содержимое папки / чтение данных
  • Чтение атрибутов;
  • Чтение дополнительных атрибутов;
  • Создание файлов / запись данных
  • Создание папок / добавление данных
  • Запись атрибутов
  • Запись дополнительных атрибутов
  • Удалить
  • чтение;

Особое разрешение, допустимое для SYSTEM только для вложенных папок и файлов, эквивалентно полному доступу.
Администраторы Особые разрешения К особым разрешениям, допустимым для группы Администраторов для этой папки, входят только следующие:
  • Обзор папки / выполнение файла
  • Содержимое папки / чтение данных
  • Чтение атрибутов;
  • Чтение дополнительных атрибутов;
  • Создание файлов / запись данных
  • Создание папок / добавление данных
  • Запись атрибутов
  • Запись дополнительных атрибутов
  • Удалить
  • чтение;

Особое разрешение, допустимое для группы Администраторов только для вложенных папок и файлов, эквивалентно полному доступу.
Пользователи Чтение & выполнение
содержимого
папки списка Чтение
Trustedinstaller Особые разрешения Эквивалентны полному управлению.
Применяется к этой папке и вложенным папкам.

%windir%\System32\inetsrv\en-us

Пользователи и группы Допустимые разрешения Примечания
СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ Особые разрешения Эквивалентны полному управлению.
Применяется только к вложенным папкам и файлам.
SYSTEM Особые разрешения Особые разрешения, допустимые для учетной записи SYSTEM для этой папки, включают только следующие:
  • Обзор папки / выполнение файла
  • Содержимое папки / чтение данных
  • Чтение атрибутов;
  • Чтение дополнительных атрибутов;
  • Создание файлов / запись данных
  • Создание папок / добавление данных
  • Запись атрибутов
  • Запись дополнительных атрибутов
  • Удалить
  • чтение;

Особое разрешение, допустимое для SYSTEM только для вложенных папок и файлов, эквивалентно полному доступу.
Администраторы Особые разрешения К особым разрешениям, допустимым для группы Администраторов для этой папки, входят только следующие:
  • Обзор папки / выполнение файла
  • Содержимое папки / чтение данных
  • Чтение атрибутов;
  • Чтение дополнительных атрибутов;
  • Создание файлов / запись данных
  • Создание папок / добавление данных
  • Запись атрибутов
  • Запись дополнительных атрибутов
  • Удалить
  • чтение;

Особое разрешение, допустимое для группы Администраторов только для вложенных папок и файлов, эквивалентно полному доступу.
Пользователи Чтение & выполнение
содержимого
папки списка Чтение
Trustedinstaller Вывод списка содержимого
папки Специальные разрешения		 Эквивалентны полному управлению.
Применяется к этой папке и вложенным папкам.

%windir%\System32\inetsrv\History

Пользователи и группы Допустимые разрешения Примечания
Администраторы Полный доступ
SYSTEM Полный доступ

%windir%\System32\inetsrv\MetaBack

Пользователи и группы Допустимые разрешения Примечания
Администраторы Полный доступ
SYSTEM Полный доступ

Разрешения реестра по умолчанию

В таблицах этого раздела перечислены разрешения реестра по умолчанию, назначенные при установке IIS 7.0, IIS 7.5, IIS 8.0 или IIS 8.5. Если для пользователей указаны разрешения на чтение, включаются следующие разрешения:

  • Значение запроса
  • Перечисление подразделов
  • Уведомить
  • Контроль чтением

HKEY_LOCAL_MACHINE\Software\Microsoft\Inetmgr

Пользователи и группы Допустимые разрешения Примечания
СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ Особые разрешения Эквивалентны полному управлению.
Применяется только к подразделам.
SYSTEM Полный доступ
Администраторы Полный доступ
Пользователи Чтение

HKEY_LOCAL_MACHINE\Software\Microsoft\InetStp

Пользователи и группы Допустимые разрешения Примечания
СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ Особые разрешения Эквивалентны полному управлению.
Применяется только к подразделам.
SYSTEM Полный доступ
Администраторы Полный доступ
Пользователи Чтение

HKEY_LOCAL_MACHINE\Software\Microsoft\W3SVC

Пользователи и группы Допустимые разрешения Примечания
СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ Особые разрешения Эквивалентны полному управлению.
Применяется только к подразделам.
SYSTEM Полный доступ
Администраторы Полный доступ
Пользователи Чтение

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ASP

Пользователи и группы Допустимые разрешения Примечания
СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ Особые разрешения Эквивалентны полному управлению.
Применяется только к подразделам.
SYSTEM Полный доступ
Администраторы Полный доступ
Пользователи Чтение

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ASP.NET

Пользователи и группы Допустимые разрешения Примечания
СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ Особые разрешения Эквивалентны полному управлению.
Применяется только к подразделам.
SYSTEM Полный доступ
Администраторы Полный доступ
Пользователи Чтение

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ASP.NET_2.0.50727

Пользователи и группы Допустимые разрешения Примечания
СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ Особые разрешения Эквивалентны полному управлению.
Применяется только к подразделам.
SYSTEM Полный доступ
Администраторы Полный доступ
Пользователи Чтение

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\aspnet_state

Пользователи и группы Допустимые разрешения Примечания
СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ Особые разрешения Эквивалентны полному управлению.
Применяется только к подразделам.
SYSTEM Полный доступ
Администраторы Полный доступ
Пользователи Чтение

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP

Пользователи и группы Допустимые разрешения Примечания
СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ Особые разрешения Эквивалентны полному управлению.
Применяется только к подразделам.
SYSTEM Полный доступ
Администраторы Полный доступ
Пользователи Чтение

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\IISAdmin

Пользователи и группы Допустимые разрешения Примечания
СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ Особые разрешения Эквивалентны полному управлению.
Применяется только к подразделам.
SYSTEM Полный доступ
Администраторы Полный доступ
Пользователи Чтение

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\W3SVC

Пользователи и группы Допустимые разрешения Примечания
СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ Особые разрешения Эквивалентны полному управлению.
Применяется только к подразделам.
SYSTEM Полный доступ
Администраторы Полный доступ
Пользователи Чтение

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WAS

Пользователи и группы Допустимые разрешения Примечания
СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ Особые разрешения Эквивалентны полному управлению.
Применяется только к подразделам.
SYSTEM Полный доступ
Администраторы Полный доступ
Пользователи Чтение

Примечание.

Ключ WAS используется службой активации Windows. Это необходимая зависимость, которая устанавливается вместе с IIS.

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WMsvc

Пользователи и группы Допустимые разрешения Примечания
СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ Особые разрешения Эквивалентны полному управлению.
Применяется только к подразделам.
SYSTEM Полный доступ
Администраторы Полный доступ
Пользователи Чтение

Назначения прав пользователей Windows по умолчанию

В таблице этого раздела перечислены локальные политики безопасности по умолчанию, а также пользователи, группы или пользователи и группы, которые назначаются политике при установке IIS 7.0, IIS 7.5, IIS 8.0 или IIS 8.5.

Права пользователей Windows, назначенные локальной политикой безопасности

Допустимые разрешения Пользователи и группы
Доступ к данному компьютеру из сети Все
администраторы пользователи
Операторы
резервного копирования
Настройка квот памяти для процесса LOCAL SERVICE
NETWORK SERVICE Administrators

ApplicationPoolIdentity
Разрешить локальный входа в систему Операторы резервного копирования "Администраторы
пользователей
"
Обход перекрестной проверки Все
пользователи LOCAL SERVICE
NETWORK SERVICE Administrators

Users
Backup operators операторы резервного копирования
Создание аудитов безопасности ApplicationPoolIdentity
Имитация клиента после проверки подлинности LOCAL SERVICE
NETWORK SERVICE Administrators

IIS_IUSRS
SERVICE
Вход с правами на пакетные задания Администраторы Операторы

резервного копирования Пользователи журнала производительности
IIS_IUSRS
Вход в качестве службы ApplicationPoolIdentity
Замена маркера уровня процесса LOCAL SERVICE
NETWORK SERVICE ApplicationPoolIdentity