Beschreibung der Standardberechtigungen und Benutzerrechte für IIS 7.0 und höher

Zusammenfassung

Dieser Artikel beschreibt die Standardberechtigungen und Benutzerrechte für bestimmte Ordner und Dateien festgelegt werden. Diese Ordner und Dateien werden installiert mit Internetinformationsdienste (IIS) 7.0 und höher.

Weitere Informationen

Ändern von Berechtigungen zwischen IIS 6.0 und IIS-7.0/7.5/8.0/8.5

In IIS 6.0 ist ein lokales Konto (IUSR_MachineName) erstellt, wenn IIS installiert ist. Das Konto "IUSR_Computername" ist die Standardidentität, die von IIS verwendet wird, wenn die anonyme Authentifizierung aktiviert ist. Anonyme Authentifizierung wird von der FTP-Dienst und der HTTP-Dienst verwendet. IIS 6.0 enthält außerdem eine Gruppe mit dem Namen IIS_WPG. Die Gruppe IIS_WPG dient als Container für alle Identitäten der Anwendungspools.

In IIS 7.0 und höher ersetzt ein integriertes Konto (IUSR) IUSR_MachineName. Eine Gruppe mit dem Namen IIS_IUSRS ersetzt außerdem die Gruppe IIS_WPG. Ist das IUSR-Konto ein integriertes Konto erfordert das IUSR-Konto ein Kennwort nicht mehr. Das IUSR-Konto ähnelt einem Netzwerk oder lokales Dienstkonto. Das IUSR_MachineName-Konto erstellt und nur verwendet, wenn der FTP-6-Server, der auf Windows Server 2008-DVD installiert wird. 6 der FTP-Server nicht installiert ist, wird das Konto nicht erstellt.

Ab IIS 7.5 ist eine neue Sicherheitsfunktion hinzugefügte Anwendungspoolidentitäten aufgerufen wird. Dieses Feature können Sie Anwendungspools unter einem Konto ohne erstellen und Verwalten von lokalen oder Domänenkonten ausführen. Der Name des Anwendungspools Konto entspricht dem Namen des Anwendungspools.

Weitere Informationen über IIS 7.0 und Gruppen finden Sie auf der folgenden Website:
Weitere Informationen zu Anwendungspoolidentitäten finden Sie auf der folgenden Website:

Standardmäßige NTFS-Berechtigungen

Die Tabellen in diesem Abschnitt aufgeführt die standardmäßigen NTFS-Berechtigungen, die bestimmte Ordner und Dateien zugewiesen sind. Diese Ordner und Dateien werden zusammen mit IIS 7.0 und IIS 7.5, 8.0 IIS IIS 8.5 installiert.

\inetpub

Benutzer und GruppenZulässige BerechtigungenKommentare
ERSTELLER-BESITZERSpezielle BerechtigungenEntspricht vollständige Kontrolle.
Gilt für nur Unterordner und Dateien.
SYSTEMVollzugriff
AdministratorenVollzugriff
BenutzerLesen und ausführen
Ordnerinhalt auflisten
Lesen
TrustedInstallerVollzugriff

\inetpub\AdminScripts

Benutzer und GruppenZulässige BerechtigungenKommentare
ERSTELLER-BESITZERSpezielle BerechtigungenEntspricht vollständige Kontrolle.
Gilt für nur Unterordner und Dateien.
SYSTEMVollzugriff
AdministratorenVollzugriff
BenutzerLesen und ausführen
Ordnerinhalt auflisten
Lesen
TrustedInstallerVollzugriff

\inetpub\AdminScripts\0409

Benutzer und GruppenZulässige BerechtigungenKommentare
ERSTELLER-BESITZERSpezielle BerechtigungenEntspricht vollständige Kontrolle.
Gilt für nur Unterordner und Dateien.
\Inetpub\AdminScripts\ geerbt.
SYSTEMVollzugriff\Inetpub\AdminScripts\ geerbt.
AdministratorenVollzugriff\Inetpub\AdminScripts\ geerbt.
BenutzerLesen und ausführen
Ordnerinhalt auflisten
Lesen
\Inetpub\AdminScripts\ geerbt.
TrustedInstallerVollzugriff\Inetpub\AdminScripts\ geerbt.

\inetpub\custerr

Benutzer und GruppenZulässige BerechtigungenKommentare
ERSTELLER-BESITZERSpezielle BerechtigungenEntspricht vollständige Kontrolle.
Gilt für nur Unterordner und Dateien.
\Inetpub geerbt.
SYSTEMVollzugriff
Spezielle Berechtigungen
\Inetpub Vollzugriff geerbt.
Spezielle Berechtigungen sind gleichbedeutend mit Vollzugriff.
Gilt nur für diesen Ordner.
AdministratorenVollzugriff
Spezielle Berechtigungen
\Inetpub Vollzugriff geerbt.
Entspricht vollständige Kontrolle.
Gilt nur für diesen Ordner.
BenutzerLesen und ausführen
Ordnerinhalt auflisten
Lesen
Spezielle Berechtigungen
\Inetpub außer Berechtigungen sind Berechtigungen geerbt.

Berechtigungen gelten nur für diesen Ordner und Folgendes umfassen:


Ordner durchsuchen / Datei ausführen
Ordner auflisten / Daten lesen
Attribute lesen
Erweiterte Attribute lesen
Berechtigungen Lesen
TrustedInstallerVollzugriff\Inetpub geerbt.

\inetpub\custerr\en-us

Benutzer und GruppenZulässige BerechtigungenKommentare
ERSTELLER-BESITZERSpezielle BerechtigungenEntspricht vollständige Kontrolle.
Gilt für nur Unterordner und Dateien.
\Inetpub geerbt.
SYSTEMVollzugriff\Inetpub geerbt.
AdministratorenVollzugriff\Inetpub geerbt.
BenutzerLesen und ausführen
Ordnerinhalt auflisten
Lesen
\Inetpub geerbt.
TrustedInstallerVollzugriff\Inetpub geerbt.

\inetpub\ftproot

Benutzer und GruppenZulässige BerechtigungenKommentare
ERSTELLER-BESITZERSpezielle BerechtigungenEntspricht vollständige Kontrolle.
Gilt für nur Unterordner und Dateien.
\Inetpub geerbt.
SYSTEMVollzugriff\Inetpub geerbt.
AdministratorenVollzugriff\Inetpub geerbt.
BenutzerLesen und ausführen
Ordnerinhalt auflisten
Lesen
\Inetpub geerbt.
TrustedInstallerVollzugriff\Inetpub geerbt.

\inetpub\history und Unterordner

Benutzer und GruppenZulässige BerechtigungenKommentare
SYSTEMVollzugriff
AdministratorenVollzugriff

\inetpub\logs

Benutzer und GruppenZulässige BerechtigungenKommentare
ERSTELLER-BESITZERSpezielle BerechtigungenEntspricht vollständige Kontrolle.
Gilt für nur Unterordner und Dateien.
\Inetpub geerbt.
SYSTEMVollzugriff\Inetpub geerbt.
AdministratorenVollzugriff\Inetpub geerbt.
BenutzerLesen und ausführen
Ordnerinhalt auflisten
Lesen
\Inetpub geerbt.
WMSvcOrdnerinhalt auflisten
TrustedInstallerVollzugriff\Inetpub geerbt.

\inetpub\logs\FailedReqLogFiles

Benutzer und GruppenZulässige BerechtigungenKommentare
IIS_USRSSpezielle BerechtigungenDie folgenden: Berechtigungen

Ordner auflisten / Daten lesen
Dateien erstellen / Daten schreiben
Ordner erstellen / Daten anhängen
Attribute schreiben
Erweiterte Attribute schreiben
Unterordner und Dateien löschen
Löschen
SYSTEMVollzugriff
AdministratorenVollzugriff

\inetpub\logs\wmsvc

Benutzer und GruppenZulässige BerechtigungenKommentare
ERSTELLER-BESITZERSpezielle BerechtigungenEntspricht vollständige Kontrolle.
Gilt für nur Unterordner und Dateien.
\Inetpub geerbt.
SYSTEMVollzugriff\Inetpub geerbt.
AdministratorenVollzugriff\Inetpub geerbt.
BenutzerLesen und ausführen
Ordnerinhalt auflisten
Lesen
\Inetpub geerbt.
WMSvcÄndern
Lesen und ausführen
Ordnerinhalt auflisten
Lesen
Schreiben
\Inetpub\logs Ordner Inhalt Berechtigung geerbt.
TrustedInstallerVollzugriff\Inetpub geerbt.

\inetpub\temp

Benutzer und GruppenZulässige BerechtigungenKommentare
ERSTELLER-BESITZERSpezielle BerechtigungenEntspricht vollständige Kontrolle.
Gilt für nur Unterordner und Dateien.
\Inetpub geerbt.
SYSTEMVollzugriff\Inetpub geerbt.
AdministratorenVollzugriff\Inetpub geerbt.
BenutzerLesen und ausführen
Ordnerinhalt auflisten
Lesen
\Inetpub geerbt.
TrustedInstallerVollzugriff\Inetpub geerbt.

\inetpub\temp\appPools

Benutzer und GruppenZulässige BerechtigungenKommentare
ERSTELLER-BESITZERSpezielle BerechtigungenEntspricht vollständige Kontrolle.
Gilt für nur Unterordner und Dateien.
SYSTEMVollzugriff
AdministratorenVollzugriff
IIS_USRSLesen und ausführen\Inetpub geerbt.

\inetpub\temp\ASP kompiliert Vorlagen

Benutzer und GruppenZulässige BerechtigungenKommentare
Standardmäßig werden keine Berechtigungen für diesen Ordner zugewiesen.

temporäre komprimierte Dateien \inetpub\temp\IIS

Benutzer und GruppenZulässige BerechtigungenKommentare
SYSTEMVollzugriff
AdministratorenVollzugriff
IIS_USRSVollzugriff

\inetpub\wwwroot

Benutzer und GruppenZulässige BerechtigungenKommentare
ERSTELLER-BESITZERSpezielle BerechtigungenEntspricht vollständige Kontrolle.
Gilt für nur Unterordner und Dateien.
\Inetpub geerbt.
SYSTEMVollzugriff\Inetpub geerbt.
AdministratorenVollzugriff\Inetpub geerbt.
BenutzerLesen und ausführen
Ordnerinhalt auflisten
Lesen
\Inetpub geerbt.
IIS_USRSLesen und ausführen
TrustedInstallerVollzugriff\Inetpub geerbt.

\inetpub\wwwroot\aspnet_client

Benutzer und GruppenZulässige BerechtigungenKommentare
AlleLesen
SYSTEMVollzugriff
AdministratorenVollzugriff
BenutzerLesen und ausführen
Ordnerinhalt auflisten
Lesen

%windir%\system32\inetsrv

Benutzer und GruppenZulässige BerechtigungenKommentare
ERSTELLER-BESITZERSpezielle BerechtigungenEntspricht vollständige Kontrolle.
Gilt für nur Unterordner und Dateien.
SYSTEMSpezielle BerechtigungenBerechtigungen für das Systemkonto für diesen Ordner darf nur die folgenden:

Ordner durchsuchen / Datei ausführen
Ordner auflisten / Daten lesen
Attribute lesen
Erweiterte Attribute lesen
Datei erstellen / Daten schreiben
Ordner erstellen / Daten anhängen
Attribute schreiben
Erweiterte Attribute schreiben
Löschen
Berechtigungen Lesen

Spezielle Berechtigung für Unterordner und Dateien für SYSTEM zulässige entspricht nur Vollzugriff.
AdministratorenSpezielle BerechtigungenSpezielle Berechtigungen für die Gruppe Administratoren für diesen Ordner darf nur die folgenden:

Ordner durchsuchen / Datei ausführen
Ordner auflisten / Daten lesen
Attribute lesen
Erweiterte Attribute lesen
Datei erstellen / Daten schreiben
Ordner erstellen / Daten anhängen
Attribute schreiben
Erweiterte Attribute schreiben
Löschen
Berechtigungen Lesen

Spezielle Berechtigungen für die Gruppe Administratoren für Unterordner und Dateien zulässig entspricht nur Vollzugriff.
BenutzerLesen und ausführen
Ordnerinhalt auflisten
Lesen
TrustedInstallerSpezielle BerechtigungenBerechtigungen sind gleichbedeutend mit Vollzugriff und für diesen Ordner und Unterordner.

%windir%\System32\inetsrv\0409

Benutzer und GruppenZulässige BerechtigungenKommentare
ERSTELLER-BESITZERSpezielle BerechtigungenEntspricht vollständige Kontrolle.
Gilt für nur Unterordner und Dateien.
WINDIR%\System32\inetsrv geerbt.
SYSTEMVollzugriffWINDIR%\System32\inetsrv geerbt.
AdministratorenVollzugriff%Windir%\System32\inetsrv geerbt
BenutzerLesen und ausführen
Ordnerinhalt auflisten
Lesen
%Windir%\System32\inetsrv geerbt
TrustedInstallerSpezielle BerechtigungenEntspricht vollständige Kontrolle.
Gilt für nur Unterordner und Dateien.
%Windir%\System32\inetsrv geerbt

%windir%\System32\inetsrv\config

Benutzer und GruppenZulässige BerechtigungenKommentare
ERSTELLER-BESITZERSpezielle BerechtigungenEntspricht vollständige Kontrolle.
Gilt für nur Unterordner und Dateien.
SYSTEMVollzugriff
AdministratorenVollzugriff
BenutzerLesen und ausführen
Ordnerinhalt auflisten
Lesen
TrustedInstallerVollzugriff
WMSvcLesen

%windir%\System32\inetsrv\config\Export

Benutzer und GruppenZulässige BerechtigungenKommentare
ERSTELLER-BESITZERSpezielle BerechtigungenEntspricht vollständige Kontrolle.
Gilt für nur Unterordner und Dateien.
SYSTEMVollzugriff
AdministratorenVollzugriff
TrustedInstallerVollzugriff

%windir%\System32\inetsrv\config\schema

Benutzer und GruppenZulässige BerechtigungenKommentare
ERSTELLER-BESITZERSpezielle BerechtigungenEntspricht vollständige Kontrolle.
Gilt für nur Unterordner und Dateien.
SYSTEMSpezielle BerechtigungenBerechtigungen für das Systemkonto für diesen Ordner darf nur die folgenden:

Ordner durchsuchen / Datei ausführen
Ordner auflisten / Daten lesen
Attribute lesen
Erweiterte Attribute lesen
Datei erstellen / Daten schreiben
Ordner erstellen / Daten anhängen
Attribute schreiben
Erweiterte Attribute schreiben
Löschen
Berechtigungen Lesen

Spezielle Berechtigung für Unterordner und Dateien für SYSTEM zulässige entspricht nur Vollzugriff.
AdministratorenSpezielle BerechtigungenSpezielle Berechtigungen für die Gruppe Administratoren für diesen Ordner darf nur die folgenden:

Ordner durchsuchen / Datei ausführen
Ordner auflisten / Daten lesen
Attribute lesen
Erweiterte Attribute lesen
Datei erstellen / Daten schreiben
Ordner erstellen / Daten anhängen
Attribute schreiben
Erweiterte Attribute schreiben
Löschen
Berechtigungen Lesen

Spezielle Berechtigungen für die Gruppe Administratoren für Unterordner und Dateien zulässig entspricht nur Vollzugriff.
BenutzerLesen und ausführen
Ordnerinhalt auflisten
Lesen
TrustedInstallerSpezielle BerechtigungenEntspricht vollständige Kontrolle.
Auf diesen Ordner und Unterordner angewendet wird.

%windir%\System32\inetsrv\en-us

Benutzer und GruppenZulässige BerechtigungenKommentare
ERSTELLER-BESITZERSpezielle BerechtigungenEntspricht vollständige Kontrolle.
Gilt für nur Unterordner und Dateien.
SYSTEMSpezielle BerechtigungenBerechtigungen für das Systemkonto für diesen Ordner darf nur die folgenden:

Ordner durchsuchen / Datei ausführen
Ordner auflisten / Daten lesen
Attribute lesen
Erweiterte Attribute lesen
Datei erstellen / Daten schreiben
Ordner erstellen / Daten anhängen
Attribute schreiben
Erweiterte Attribute schreiben
Löschen
Berechtigungen Lesen

Spezielle Berechtigung für Unterordner und Dateien für SYSTEM zulässige entspricht nur Vollzugriff.
AdministratorenSpezielle BerechtigungenSpezielle Berechtigungen für die Gruppe Administratoren für diesen Ordner darf nur die folgenden:

Ordner durchsuchen / Datei ausführen
Ordner auflisten / Daten lesen
Attribute lesen
Erweiterte Attribute lesen
Datei erstellen / Daten schreiben
Ordner erstellen / Daten anhängen
Attribute schreiben
Erweiterte Attribute schreiben
Löschen
Berechtigungen Lesen

Spezielle Berechtigungen für die Gruppe Administratoren für Unterordner und Dateien zulässig entspricht nur Vollzugriff.
BenutzerLesen und ausführen
Ordnerinhalt auflisten
Lesen
TrustedInstallerOrdnerinhalt auflisten
Spezielle Berechtigungen
Entspricht vollständige Kontrolle.
Auf diesen Ordner und Unterordner angewendet wird.

%windir%\System32\inetsrv\History

Benutzer und GruppenZulässige BerechtigungenKommentare
AdministratorenVollzugriff
SYSTEMVollzugriff

%windir%\System32\inetsrv\MetaBack

Benutzer und GruppenZulässige BerechtigungenKommentare
AdministratorenVollzugriff
SYSTEMVollzugriff

Berechtigungen für die Registrierung

Die Tabellen in diesem Abschnitt aufgeführt die standardmäßigen Registrierungsberechtigungen, die bei der Installation von IIS 7.0 und IIS 7.5, 8.0 IIS IIS 8.5 zugeordnet sind. Leseberechtigungen für Benutzer aufgelistet sind, gehören die folgenden Berechtigungen:
  • Abfragewert
  • Teilschlüssel auflisten
  • Benachrichtigen
  • Lesezugriff

HKEY_LOCAL_MACHINE\Software\Microsoft\Inetmgr

Benutzer und GruppenZulässige BerechtigungenKommentare
ERSTELLER-BESITZERSpezielle BerechtigungenEntspricht vollständige Kontrolle.
Betrifft nur Unterschlüssel.
SYSTEMVollzugriff
AdministratorenVollzugriff
BenutzerLesen

HKEY_LOCAL_MACHINE\Software\Microsoft\InetStp

Benutzer und GruppenZulässige BerechtigungenKommentare
ERSTELLER-BESITZERSpezielle BerechtigungenEntspricht vollständige Kontrolle.
Betrifft nur Unterschlüssel.
SYSTEMVollzugriff
AdministratorenVollzugriff
BenutzerLesen

HKEY_LOCAL_MACHINE\Software\Microsoft\W3SVC

Benutzer und GruppenZulässige BerechtigungenKommentare
ERSTELLER-BESITZERSpezielle BerechtigungenEntspricht vollständige Kontrolle.
Betrifft nur Unterschlüssel.
SYSTEMVollzugriff
AdministratorenVollzugriff
BenutzerLesen

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ASP

Benutzer und GruppenZulässige BerechtigungenKommentare
ERSTELLER-BESITZERSpezielle BerechtigungenEntspricht vollständige Kontrolle.
Betrifft nur Unterschlüssel.
SYSTEMVollzugriff
AdministratorenVollzugriff
BenutzerLesen

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ASP.NET

Benutzer und GruppenZulässige BerechtigungenKommentare
ERSTELLER-BESITZERSpezielle BerechtigungenEntspricht vollständige Kontrolle.
Betrifft nur Unterschlüssel.
SYSTEMVollzugriff
AdministratorenVollzugriff
BenutzerLesen

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ASP.NET_2.0.50727

Benutzer und GruppenZulässige BerechtigungenKommentare
ERSTELLER-BESITZERSpezielle BerechtigungenEntspricht vollständige Kontrolle.
Betrifft nur Unterschlüssel.
SYSTEMVollzugriff
AdministratorenVollzugriff
BenutzerLesen

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\aspnet_state

Benutzer und GruppenZulässige BerechtigungenKommentare
ERSTELLER-BESITZERSpezielle BerechtigungenEntspricht vollständige Kontrolle.
Betrifft nur Unterschlüssel.
SYSTEMVollzugriff
AdministratorenVollzugriff
BenutzerLesen

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP

Benutzer und GruppenZulässige BerechtigungenKommentare
ERSTELLER-BESITZERSpezielle BerechtigungenEntspricht vollständige Kontrolle.
Betrifft nur Unterschlüssel.
SYSTEMVollzugriff
AdministratorenVollzugriff
BenutzerLesen

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\IISAdmin

Benutzer und GruppenZulässige BerechtigungenKommentare
ERSTELLER-BESITZERSpezielle BerechtigungenEntspricht vollständige Kontrolle.
Betrifft nur Unterschlüssel.
SYSTEMVollzugriff
AdministratorenVollzugriff
BenutzerLesen

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\W3SVC

Benutzer und GruppenZulässige BerechtigungenKommentare
ERSTELLER-BESITZERSpezielle BerechtigungenEntspricht vollständige Kontrolle.
Betrifft nur Unterschlüssel.
SYSTEMVollzugriff
AdministratorenVollzugriff
BenutzerLesen

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WAS

Benutzer und GruppenZulässige BerechtigungenKommentare
ERSTELLER-BESITZERSpezielle BerechtigungenEntspricht vollständige Kontrolle.
Betrifft nur Unterschlüssel.
SYSTEMVollzugriff
AdministratorenVollzugriff
BenutzerLesen
Hinweis WAR entscheidend für den Windows-Prozessaktivierungsdienst. Dies ist eine erforderliche Abhängigkeit und zusammen mit IIS installiert.

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WMsvc

Benutzer und GruppenZulässige BerechtigungenKommentare
ERSTELLER-BESITZERSpezielle BerechtigungenEntspricht vollständige Kontrolle.
Betrifft nur Unterschlüssel.
SYSTEMVollzugriff
AdministratorenVollzugriff
BenutzerLesen

Standardmäßige Windows-Benutzerrechte

Die in diesem Abschnitt Tabelle lokale Sicherheitsrichtlinien standardmäßig und Benutzer, die Gruppen oder Benutzer und Gruppen, die der Richtlinie zugeordnet sind, wenn IIS 7.0, IIS 7.5, 8.0 IIS oder IIS 8.5 installiert ist.

Windows-Benutzerrechte von lokalen Sicherheitsrichtlinien zugewiesen sind

Zulässige BerechtigungenBenutzer und Gruppen
Auf diesen Computer vom Netzwerk aus zugreifenAlle
Administratoren
Benutzer
Sicherungsoperatoren
Anpassen von Speicherkontingenten für einen ProzessLOKALER DIENST
NETZWERKDIENST
Administratoren
ApplicationPoolIdentity
Lokal anmelden zulassenAdministratoren
Benutzer
Sicherungsoperatoren
Auslassen der durchsuchenden ÜberprüfungAlle
LOKALER DIENST
NETZWERKDIENST
Administratoren
Benutzer
Sicherungsoperatoren
Generieren von Audit-detailsApplicationPoolIdentity
Annehmen der Clientidentität nach AuthentifizierungLOKALER DIENST
NETZWERKDIENST
Administratoren
IIS_IUSRS
DIENST
Anmelden als StapelverarbeitungsauftragAdministratoren
Sicherungsoperatoren
Leistungsprotokollbenutzer
IIS_IUSRS
Anmelden als DienstApplicationPoolIdentity
Ersetzen eines Tokens auf ProzessebeneLOKALER DIENST
NETZWERKDIENST
ApplicationPoolIdentity
Eigenschaften

Artikelnummer: 981949 – Letzte Überarbeitung: 12.01.2017 – Revision: 1

Feedback