Festlegen von NTFS-Berechtigungen und Benutzerrechte für IIS 5.x oder IIS 6.0


Dieser Artikel beschreibt, wie die Mindestberechtigungen, die für einen dedizierten Internet Information Services (IIS) 5.0, IIS 5.1 oder IIS 6.0-Webserver.

Die Beschränkung für diesen Artikel


Warnung Dieser Artikel gilt nur auf dedizierte Webserver, die IIS-Basisfunktionen wie HTML statischen Inhalten oder einfachen Active Server Pages (ASP) Inhalt dienen. Erforderliche Berechtigungen, die in diesem Artikel beschrieben sind nur die grundlegenden Berechtigungen für einen dedizierten Webserver mit IIS 5. X oder IIS 6.0 . In diesem Artikel berücksichtigt Weitere Microsoft und Drittanbieter - Produkte , die eventuell andere Berechtigungen erfordern. Sie können Server- und Dokumentation für den spezifischen Bedarf überprüfen. Wir empfehlen, Überprüfen Sie die Artikeln , die für die Rollen Ihres Webservers.

Testverfahren vor Berechtigungen Konfigurationen in einer produktiven Umgebung


Bevor Sie Berechtigungen auf einem Produktionswebserver ändern, sollten Sie die folgenden Schritte durchführen:
  1. Die aktuellste Version des IIS Lockdown-Toolausführen. Die folgenden Programme und Dienste wurden als Teil der Testsammlung installiert, die mit Sicherheit testen nach den in diesem Artikel beschriebenen Berechtigungen erteilt:
    • Indexdienste
    • Terminaldienste
    • Skript-Debugger
    • IIS
      • Gemeinsame Dateien
      • Dokumentation
      • FrontPage Server Extensions 2000
      • Internetdienste-Manager (HTML)
      • WWW
      • FTP
  2. Führen Sie die folgenden Funktionstests:
    • Hypertext-Dokumente (HTML)
    • Active Server Pages (ASP)
    • FrontPage Server Extensions, verbinden, bearbeiten und speichern, wenn FPSE aktiviert ist, während das Lockdown-Tool verwenden
    • Secure Sockets Layer (SSL)

Erteilen von Besitzrechten und Berechtigungen an Administratoren und system


Gehen Sie hierzu wie folgt vor:
  1. Öffnen Sie Windows_explorer. Dazu klicken Sie auf Start, klicken Sie auf Programmeund klicken Sie dann auf Windows_explorer.
  2. Erweitern Sie Arbeitsplatz.
  3. Maustaste auf das Systemlaufwerk (Dies ist normalerweise Laufwerk C) und klicken Sie dann auf Eigenschaften.
  4. Klicken Sie auf die Registerkarte Sicherheit , und klicken Sie auf Erweitert , um das Dialogfeld Kennwort für lokalen Datenträger öffnen.
  5. Klicken Sie auf der Registerkarte Besitzer , aktivieren Sie das Kontrollkästchen Ersetzen Besitzer der Objekte und untergeordneten Container , und klicken Sie auf Übernehmen. Wenn Sie die Fehlermeldung erhalten, klicken Sie auf Weiter:
    Anwenden von Sicherheitsinformationen auf %systemdrive%\Pagefile.sys Fehler
  6. Klicken Sie auf Ja, wenn Sie die folgende Fehlermeldung:
    Sie sind nicht berechtigt, den Inhalt des Verzeichnisses %systemdrive%\System Volume Information - lesen möchten Sie Verzeichnisses - alle Berechtigungen ersetzt, die Ihnen Vollzugriff gewähren
  7. Klicken Sie auf OK, um das Dialogfeld zu schließen.
  8. Klicken Sie auf Hinzufügen.
  9. Fügen Sie die folgenden Benutzer hinzu, und erteilen Sie ihnen vollständigen NTFS-Berechtigung:
    • Administrator
    • System
    • Ersteller-Besitzer
  10. Nachdem Sie diese NTFS-Berechtigungen hinzugefügt haben, klicken Sie auf Erweitert, aktivieren Sie das Kontrollkästchen Berechtigungen für alle untergeordneten Objekte zurückgesetzt und vererbbare Berechtigungen aktivieren und klicken Sie auf Übernehmen.
  11. Wenn Sie die Fehlermeldung erhalten, klicken Sie auf Weiter:
    Anwenden von Sicherheitsinformationen auf %systemdrive%\Pagefile.sys Fehler
  12. Nach dem Zurücksetzen von NTFS-Berechtigungen klicken Sie auf OK.
  13. Klicken Sie auf die Gruppe "Jeder" und klicken Sie auf Entfernen.
  14. Öffnen Sie die Eigenschaften für den Ordner %SystemDrive%\Programme\Gemeinsame c:\Programme\Gemeinsame Dateien, und klicken Sie dann auf die Registerkarte Sicherheit das Konto für anonymen Zugriff hinzufügen. Standardmäßig ist dies das Konto IUSR_ < Computername >. Fügen Sie der Gruppe Benutzer. Stellen Sie sicher, dass nur die folgenden ausgewählt werden:
    • Lesen und ausführen
    • Ordnerinhalt auflisten
    • Lesen
  15. Öffnen Sie die Eigenschaften für das Stammverzeichnis, das Inhalte Ihrer Website enthält. Standardmäßig ist dies der Ordner %systemdrive%\Inetpub\Wwwroot. Klicken Sie auf die Registerkarte Sicherheit fügen Sie das Konto IUSR_ < Computername > und der Gruppe Benutzer hinzu, und stellen Sie sicher, dass nur die folgenden ausgewählten:
    • Lesen und ausführen
    • Ordnerinhalt auflisten
    • Lesen
  16. Sie schreiben NTFS-Berechtigung Inetpub\FTProot oder den Pfad für die FTP-Site oder Websites erteilen möchten, wiederholen Sie Schritt 15. Hinweis Erteilen von NTFS-Write-Berechtigungen für das anonyme Konto in den Verzeichnissen, einschließlich der Verzeichnisse der FTP-Dienst verwendet, wird nicht empfohlen. Dadurch können unnötige Daten auf Ihren Webserver geladen werden.

Deaktivieren der Vererbung in Systemverzeichnissen


Gehen Sie hierzu wie folgt vor:
  1. Wählen Sie im Ordner %systemroot%\System32 alle Ordner mit Ausnahme der folgenden:
    • Inetsrv
    • Certsrv (falls vorhanden)
    • COM
  2. Maustaste die verbleibenden Ordner, klicken Sie auf Eigenschaftenund klicken Sie dann auf die Registerkarte Sicherheit .
  3. Deaktivieren Sie das Kontrollkästchen Berechtigungen übergeordneter Objekte , klicken Sie auf Kopierenund klicken Sie auf OKklicken.
  4. Wählen Sie im Ordner % Systemroot % alle Ordner mit Ausnahme der folgenden:
    • Assembly (falls vorhanden)
    • Gedownloadete Programmdateien
    • Hilfe
    • Microsoft.NET (falls vorhanden)
    • Offline-Webseiten
    • System32
    • Aufgaben
    • Temp
    • Web
  5. Maustaste die verbleibenden Ordner, klicken Sie auf Eigenschaftenund klicken Sie dann auf die Registerkarte Sicherheit .
  6. Deaktivieren Sie das Kontrollkästchen Berechtigungen übergeordneter Objekte , klicken Sie auf Kopierenund klicken Sie auf OKklicken.
  7. Weisen Sie Berechtigungen zu folgender:
    1. Öffnen Sie die Eigenschaften für den Ordner %systemroot%, klicken Sie auf die Registerkarte Sicherheit , fügen Sie die Konten IUSR_ < Computername > und IWAM_ < Computername > und der Gruppe Benutzer hinzu und stellen Sie sicher, dass nur die folgenden ausgewählt:
      • Lesen und ausführen
      • Ordnerinhalt auflisten
      • Lesen
    2. Öffnen Sie die Eigenschaften für den Ordner %systemroot%\Temp, wählen Sie das Konto IUSR_ < Computername > (dieses Konto ist bereits vorhanden, da der Ordner Winnt erbt wird) und aktivieren Sie dann das Kontrollkästchen Ändern . Wiederholen Sie diesen Schritt für das Konto IWAM_ < Computername > und Benutzergruppe.
    3. Wenn FrontPage Server-Erweiterung Clients wie FrontPage oder Microsoft Visual InterDev verwendet werden, öffnen Sie die Eigenschaften für den Ordner %systemdrive%\Inetpub\Wwwroot, wählen Sie die Gruppe Authentifizierte Benutzer wählen und OK klicken :
      • Ändern
      • Lesen und ausführen
      • Ordnerinhalt auflisten
      • Lesen
      • Schreiben

NTFS-Berechtigungen


Die folgende Tabelle enthält die Berechtigungen, die angewendet werden, wenn Sie die Schritte im Abschnitt "Deaktivieren der Vererbung in Systemverzeichnissen". Diese Tabelle dient nur zur Referenz.Gehen Sie folgendermaßen vor, um die Berechtigungen in der folgenden Tabelle anzuwenden:
  1. Öffnen Sie Windows_explorer. Dazu klicken Sie auf Start, klicken Sie auf Programme, auf Zubehörund klicken Sie dann auf Windows Explorer.
  2. Erweitern Sie Arbeitsplatz.
  3. Maustaste auf %systemroot%und klicken Sie dann auf Eigenschaften.
  4. Klicken Sie auf die Registerkarte Sicherheit , und klicken Sie dann auf Erweitert.
  5. Doppelklicken Sie auf Berechtigung, und wählen Sie die gewünschte Einstellung aus der Liste Übernehmen .
Hinweis Spalte in der "zuweisen", der Begriff Standard "Dieser Ordner Unterordner und Dateien."
Verzeichnis Users\Groups Berechtigungen Wenden auf an
%systemroot%\ (c:\winnt) Administrator Vollzugriff Standard
  System Vollzugriff Standard
  Benutzer Lesen, ausführen Standard
%systemroot%\system32 Administratoren Vollzugriff Standard
  System Vollzugriff Standard
  Benutzer Lesen, ausführen Standard
%systemroot%\system32\inetsrv Administratoren Vollzugriff Standard
  System Vollzugriff Standard
  Benutzer Lesen, ausführen Standard
Inetpub\adminscripts Administratoren Vollzugriff Standard
Inetpub\urlscan (falls vorhanden) Administratoren Vollzugriff Standard
  System Vollzugriff Standard
%systemroot%\system32\inetsrv\metaback Administratoren Vollzugriff Standard
  System Vollzugriff Standard
%systemroot%\help\iishelp\common Administratoren Vollzugriff Dieser Ordner und Dateien
  System Vollzugriff Dieser Ordner und Dateien
  IWAM_<Machinename> Lesen, ausführen Dieser Ordner und Dateien
  Netzwerk Vollzugriff Dieser Ordner und Dateien
  Dienst   Dieser Ordner und Dateien
  Benutzer Lesen, ausführen Dieser Ordner und Dateien
Inetpub\Wwwroot (oder Inhaltsverzeichnisse) Administratoren Vollzugriff Dieser Ordner und Dateien
  System Vollzugriff Dieser Ordner und Dateien
  IWAM_<MachineName> Lesen, ausführen Dieser Ordner und Dateien
  Dienst Lesen, ausführen Dieser Ordner und Dateien
  Netzwerk Lesen, ausführen Dieser Ordner und Dateien
Optional**: Benutzer Lesen, ausführen Dieser Ordner und Dateien
Hinweis Bei Verwendung von FrontPage Server Extensions Berechtigung authentifizierte Benutzer oder die Benutzergruppe ändern NTFS erstellen, umbenennen, schreiben oder Funktionen bereitzustellen, die Entwickler möglicherweise von einem FrontPage-Client haben Visual InterDev 6.0 oder FrontPage 2002.

Berechtigungen Sie in der Registrierung


  1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie regedt32 ein, und klicken Sie dann auf OK. Registrierungseditor nicht verwendet, da es keine Berechtigungen in Windows 2000 ändern kann.
  2. Suchen Sie im Registrierungseditor und wählen Sie HKEY_LOCAL_MACHINE.
  3. Erweitern Sie SystemCurrentControlSet, und erweitern Sie dann Dienste.
  4. Wählen Sie den IISADMIN -Schlüssel, klicken Sie auf Sicherheit (oder drücken Sie ALT + S), und wählen Sie dann Berechtigungen (oder drücken Sie P).
  5. Klicken Sie auf das Kontrollkästchen Vererbbare Berechtigungen zulassen deaktivieren, klicken Sie auf Kopierenund entfernen Sie alle Benutzer mit Ausnahme:
    • Administratoren (Lesen und Vollzugriff zulassen)
    • System (Lesen und Vollzugriff zulassen)
  6. Klicken Sie auf OK.
  7. Wiederholen Sie die Schritte des MSFTPSVC -Schlüssels.
  8. Wählen Sie den W3SVC -Schlüssel, klicken Sie auf Sicherheitund dann auf Berechtigungen.
  9. Deaktivieren Sie das Kontrollkästchen Vererbbare Berechtigungen zulassen , und entfernen Sie alle Einträge außer:
    • Administratoren (Lesen und Vollzugriff zulassen)
    • System (Lesen und Vollzugriff zulassen)
    • Netzwerk (Lesen)
    • Dienst (Lesen)
    • IWAM_ < Computername > (Lesen)
  10. Klicken Sie auf OK.

Registrierung

Die folgende Tabelle enthält die Berechtigungen, die angewendet werden, wenn Sie die Schritte im Abschnitt "Erteilen von Berechtigungen in der Registrierung". Diese Tabelle dient nur zur Referenz.Hinweis Die Abkürzung HKLM steht für HKEY_LOCAL_MACHINE.
Ort Users\Groups Berechtigungen
HKLM\System\CurrentControlSet\Services\IISAdmin Administratoren Vollzugriff
  System Vollzugriff
HKLM\System\CurrentControlSet\Services\MsFtpSvc Administratoren Vollzugriff
  System Vollzugriff
HKLM\System\CurrentControlSet\Services\w3svc Administratoren Vollzugriff
  System Vollzugriff
  IWAM_<MachineName> Lesen

Erteilen von rechten in der lokalen Sicherheitsrichtlinie


  1. Klicken Sie auf StartKlicken Sieund klicken Sie dann auf Bedienfeld.
  2. Doppelklicken Sie auf Verwaltung, und doppelklicken Sie dann auf Lokale Sicherheitsrichtlinie.
  3. Klicken Sie im Dialogfeld Lokale Sicherheitsrichtlinie erweitern Sie Lokale Richtlinien, und klicken Sie auf Zuweisen von Benutzerrechten.
  4. Ändern Sie die entsprechende Richtlinie:
    1. Doppelklicken Sie auf die Richtlinie.
    2. Wählen Sie und Klicken für alle Benutzer in der Tabelle nicht aufgeführt.
    3. Fügen Sie alle Benutzer, die nicht aufgelistet ist. Dazu klicken Sie auf Hinzufügen, und wählen Sie Benutzer im Dialogfeld Benutzer oder Gruppen auswählen .
Beachten Sie, dass da eine Domänencontroller-Richtlinie die lokale Richtlinie überschreibt, Sie sicherstellen müssen, dass Effektive EinstellungEinstellung der lokalen Richtlinieentspricht.

Richtlinien

Die folgende Tabelle enthält die Berechtigungen, die angewendet werden, wenn Sie die Schritte im Abschnitt "Erteilen von rechten in der lokalen Sicherheitsrichtlinie".
Richtlinie Benutzer
Lokal anmelden Administratoren
  IUSR_ < Computername > (anonym)
  Benutzer (Authentifizierung erforderlich)
Auf diesen Computer vom Netzwerk aus zugreifen Administratoren
  ASPNet (.NET Framework)
  IUSR_ < Computername > (anonym)
  IWAM_<MachineName>
  Benutzer
Anmelden als Stapelverarbeitungsauftrag ASPNet
  Netzwerk
  IUSR_<MachineName>
  IWAM_<MachineName>
  Dienst
Anmelden als Dienst ASPNet
  Netzwerk
Auslassen der durchsuchenden Überprüfung Administratoren
  IUSR_ < Computername > (anonym)
  Benutzer (Basis, integriert, Digest)
  IWAM_<MachineName>

Informationsquellen


Weitere Informationen zum Wiederherstellen der NTFS-Standardberechtigungen für Windows 2000 finden Sie in den folgenden zu Artikeln der Microsoft Knowledge Base:
266118 das Wiederherstellen der NTFS-Standardberechtigungen für Windows 2000
260985 mit CDONTS erforderliche minimale NTFS-Berechtigungen
324068 wie IIS-Berechtigungen für bestimmte Objekte
815153 zum Konfigurieren NTFS-Dateiberechtigung für Sicherheit von ASP.NET applications
Weitere Informationen über die erforderlichen Berechtigungen für IIS 6.0 klicken Sie auf die folgenden Artikelnummer der Microsoft Knowledge Base:
Standardberechtigungen und Benutzerrechte für IIS 6.0 812614

Weitere Informationen


Dieser Artikel behandelt nicht eines spezifischen Erfordernissen der folgenden Serverrollen oder Applikationen:
  • Windows 2000-Domänencontroller
  • Microsoft Exchange 5.5 oder Microsoft Exchange 2000 Outlook Web Access
  • Microsoft Small Business Server 2000
  • Microsoft SharePoint Portal oder Team Services
  • Microsoft Commerce Server 2000 oder Microsoft Commerce Server 2002
  • Microsoft BizTalk Server 2000 oder Microsoft BizTalk Server 2002
  • Microsoft Content Management Server 2000 oder Microsoft Content Management Server 2002
  • Microsoft Application Center 2000
  • Die Drittanbieter-Anwendung, die zusätzliche Berechtigungen abhängig