Festlegen von minimale NTFS-Berechtigungen und Benutzerrechte für IIS 5.x oder IIS 6.0

Wichtig: Dieser Artikel wurde maschinell übersetzt und wird dann möglicherweise mithilfe des Community Translation Framework (CTF) von Mitgliedern unserer Microsoft Community nachbearbeitet. Weitere Informationen zu CTF finden Sie unter http://support.microsoft.com/gp/machine-translation-corrections/de.

Den englischen Originalartikel können Sie über folgenden Link abrufen: 271071
Dieser Artikel beschreibt die minimalen Berechtigungen, die für einen dedizierten Internet Information Services (IIS) 5.0, IIS 5.1 oder IIS 6.0-Webserver erforderlich sind.
Die Beschränkung für diesen Artikel
Warnung Dieser Artikel gilt nur auf dedizierte Webserver, die IIS-Basisfunktionen wie HTML statischen Inhalten oder einfachen Active Server Pages (ASP) Inhalt dienen. Erforderliche Berechtigungen, die in diesem Artikel beschrieben sind nur für die Grundberechtigungen für einen dedizierten Webserver mit IIS 5.x oder: IIS 6.0. In diesem Artikel berücksichtigt nicht andere Microsoft und Drittanbietern unterschiedliche Berechtigungen erforderlich. Sie können bestimmte Sicherheitserfordernisse Server- und Dokumentation überprüfen. Es wird empfohlen, dass Sie Überprüfen Sie verwandte Artikel für die Rollen Ihres Webservers bestimmten sind.
Testverfahren vor Berechtigungen Konfigurationen in einer produktiven Umgebung
Bevor Sie Berechtigungen auf einem Produktionswebserver ändern, wird empfohlen, die folgenden Schritte ausführen:
  1. Ausführen die aktuellste Version des IIS Lockdown-Tools. Die folgenden Programme und Dienste wurden als Teil der Testsammlung installiert, mit dem Sicherheit testen nach den in diesem Artikel beschriebenen Berechtigungen erteilt:
    • Indexdienste
    • Terminaldienste
    • Skript-Debugger
    • IIS
      • Gemeinsame Dateien
      • Dokumentation
      • FrontPage Server Extensions 2000
      • Internetdienste-Manager (HTML)
      • WWW
      • FTP
  2. Führen Sie folgende Funktionstests:
    • Hypertext-Dokumente (HTML)
    • Active Server Pages (ASP)
    • FrontPage Server Extensions Verbindung bearbeiten, Andsaving, wenn FPSE aktiviert ist, während das Lockdown-Tool verwenden
    • Secure Socket Layer (SSL) Verbindung
Erteilen von Besitzrechten und Berechtigungen an Administratoren und system
Gehen Sie hierzu folgendermaßen vor:
  1. Öffnen Sie Windows_explorer. Dazu klicken Sie aufStart, auf Programmeund klicken Sie dann aufWindows Explorer.
  2. Erweitern Sie Arbeitsplatz.
  3. Maustaste auf Systemlaufwerk (Dies ist normalerweise Laufwerk C), und klicken Sie dann auf Eigenschaften.
  4. Klicken Sie auf die Registerkarte Sicherheit , und klicken Sie dann aufErweitert , um das Dialogfeld Kennwort für LocalDisk .
  5. Klicken Sie auf der Registerkarte Besitzer , aktivieren Sie das KontrollkästchenBesitzer für Objekte und untergeordneten Container ersetzen und dann klicken Sie auf Übernehmen.

    Wenn die folgende Fehlermeldung angezeigt wird, klicken Sie auf Weiter:
    Ein Fehler Hasoccurred Sicherheit Informationen to%systemdrive%\Pagefile.sys anwenden
  6. Klicken Sie aufJa, erhalten Sie folgende Fehlermeldung:
    Sie haben keine Berechtigung zum Lesen Inhalt des Verzeichnisses %systemdrive%\System Volume Information - Sie dann das Verzeichnis Berechtigungen ersetzen - alle Berechtigungen werden ersetzt Grantingyou Vollzugriff
  7. Klicken Sie auf OK , um das Dialogfeld zu schließen.
  8. Klicken Sie auf Hinzufügen.
  9. Folgenden Benutzer hinzufügen und ihnen FullControl NTFS-Berechtigung erteilen:
    • Administrator
    • System
    • Ersteller-Besitzer
  10. Nachdem Sie diese NTFS-Berechtigungen hinzugefügt haben, klicken Sie aufErweitert, aktivieren Sie das Kontrollkästchen Berechtigung für Allchild Objekte zurücksetzen und Verteilung der erbbaren Berechtigungen aktivieren und klicken Sie dann auf Übernehmen.
  11. Klicken Sie auf "Weiter", erhalten Sie folgende Fehlermeldung:
    Informationen zu %systemdrive%\Pagefile.sys Applyingsecurity Fehler
  12. Nach dem Neustart von NTFS-Berechtigungen klicken Sie aufOK.
  13. Klicken Sie auf die Gruppe jeder und klicken Sie aufEntfernen.
  14. Öffnen Sie die Eigenschaften für den Ordner %systemdrive%\ProgramFiles\Common, und klicken Sie dann auf die Registerkarte Sicherheit . Fügen Sie das Konto, das für den anonymen Zugriff verwendet wird. Standardmäßig ist dies TheIUSR_<MachineName> Konto. Fügen Sie der Gruppe Benutzer. Stellen Sie sicher, dass Folgendes ausgewählt lässtjedoch:<b00> </b00> </MachineName>
    • Lesen & ausführen
    • Ordnerinhalt auflisten
    • Lesen
  15. Öffnen Sie die Eigenschaften für das Stammverzeichnis, das YourWeb Inhalt enthält. Standardmäßig ist dies der Ordner %systemdrive%\Inetpub\Wwwroot. Klicken Sie auf der Registerkarte Sicherheit das IUSR_ hinzufügen<MachineName>Konto und Benutzer gruppieren und stellen Sie sicher, dass nur die folgenden Areselected:<b00> </b00> </MachineName>
    • Lesen & ausführen
    • Ordnerinhalt auflisten
    • Lesen
  16. Wenn Sie schreiben NTFS-Berechtigung ForInetpub\FTProot oder den Pfad für die FTP-Site oder Websites erteilen möchten, wiederholen Sie bis15.

    Hinweis Erteilen Permissionsto NTFS schreiben das anonyme Konto in den Verzeichnissen, einschließlich der Verzeichnisse der FTP-Dienst verwendet, wird nicht empfohlen. Diese Cancause unnötige Daten auf den Webserver hochgeladen werden.
Deaktivieren der Vererbung in Systemverzeichnissen
Gehen Sie hierzu folgendermaßen vor:
  1. Wählen Sie im Ordner %systemroot%\System32 Allfolders mit Ausnahme der folgenden:
    • Inetsrv
    • Certsrv (falls vorhanden)
    • COM
  2. Mit der rechten Maustaste die verbleibenden Ordner, klicken Sie aufEigenschaftenund klicken Sie dann auf die Registerkarte Sicherheit.
  3. Klicken Sie auf das Kontrollkästchen Zulassen vererbbareberechtigungen und klicken Sie auf KopierenKlicken.
  4. Wählen Sie im Ordner % Systemroot % aller Ordner Exceptthe Folgendes:
    • Assembly (falls vorhanden)
    • Gedownloadete Programmdateien
    • Hilfe
    • Microsoft.NET (falls vorhanden)
    • Offline-Webseiten
    • System32
    • Aufgaben
    • Temp
    • Web
  5. Mit der rechten Maustaste die verbleibenden Ordner, klicken Sie aufEigenschaftenund klicken Sie dann auf die Registerkarte Sicherheit.
  6. Klicken Sie auf das Kontrollkästchen Zulassen vererbbareberechtigungen und klicken Sie auf KopierenKlicken.
  7. Gelten Sie Berechtigungen für Folgendes:
    1. Öffnen Sie die Eigenschaften für den Ordner %systemroot%, klicken Sie auf die Registerkarte Sicherheit , fügen die IUSR_<MachineName> </MachineName> und IWAM_<MachineName> </MachineName> Konten und Benutzer gruppieren und stellen Sie sicher, dass nur die folgenden aktiviert sind:
      • Lesen & ausführen
      • Ordnerinhalt auflisten
      • Lesen
    2. Öffnen Sie die Eigenschaften des Ordners %systemroot%\Temp wählen die IUSR_<MachineName> </MachineName> Konto (dieses Konto ist bereits vorhanden, da der Ordner Winnt erbt wird), und aktivieren Sie dann das Kontrollkästchen Ändern . Wiederholen Sie diesen Schritt für die IWAM_<MachineName> </MachineName> Konto und der Benutzergruppe .
    3. Wenn FrontPage Server-Erweiterung Clients wie FrontPage oder Microsoft Visual InterDev verwendet werden, öffnen Sie die Eigenschaften des Ordners %systemdrive%\Inetpub\Wwwroot, wählen Sie die Gruppe Authentifizierte Benutzer wählen, und klicken Sie auf OK:
      • Ändern
      • Lesen & ausführen
      • Ordnerinhalt auflisten
      • Lesen
      • Schreiben
NTFS-Berechtigungen
Die folgende Tabelle listet die Berechtigungen angewendet werden, wenn Sie die Schritte im Abschnitt "Deaktivieren der Vererbung in Systemverzeichnissen". Diese Tabelle dient nur zur Referenz.

Gehen Sie folgendermaßen vor, um die Berechtigungen in der folgenden Tabelle gelten:
  1. Öffnen Sie Windows_explorer. Dazu klicken Sie aufStart, klicken Sie auf Programme, aufZubehörund klicken Sie dann auf WindowsExplorer.
  2. Erweitern Sie Arbeitsplatz.
  3. %Systemroot%Maustaste, und klicken Sie dann aufEigenschaften.
  4. Klicken Sie auf die Registerkarte Sicherheit , und klicken Sie dann aufErweitert.
  5. Doppelklicken Sie auf Berechtigungenund dann wählen, die entsprechende Einstellung in der Liste Übernehmen .
Hinweis Spalte in der "zuweisen", der Begriff standardmäßig diesen Ordner, Unterordner, und Dateien."
VerzeichnisUsers\GroupsBerechtigungenZuweisen
%systemroot%\ (c:\winnt)AdministratorVollzugriffStandard
SystemVollzugriff Standard
BenutzerLesen, ausführenStandard
%SystemRoot%\System32AdministratorenVollzugriff Standard
SystemVollzugriffStandard
BenutzerLesen, ausführenStandard
%systemroot%\system32\inetsrvAdministratorenVollzugriffStandard
SystemVollzugriff Standard
BenutzerLesen, ausführenStandard
"Inetpub\Adminscripts" AdministratorenVollzugriffStandard
Inetpub\urlscan (falls vorhanden) AdministratorenVollzugriffStandard
SystemVollzugriffStandard
%systemroot%\System32\inetsrv\MetaBackAdministratorenVollzugriffStandard
SystemVollzugriffStandard
%systemroot%\Help\IisHelp\CommonAdministratorenVollzugriff Dieser Ordner und Dateien
SystemVollzugriffDieser Ordner und Dateien
IWAM_<Machinename></Machinename>Lesen, ausführenDieser Ordner und Dateien
NetzwerkVollzugriffDieser Ordner und Dateien
ServiceDieser Ordner und Dateien
BenutzerLesen, ausführenDieser Ordner und Dateien
Inetpub\Wwwroot (oder Verzeichnisse mit Webinhalten)AdministratorenVollzugriffDieser Ordner und Dateien
SystemVollzugriffDieser Ordner und Dateien
IWAM_<MachineName></MachineName>Lesen, ausführenDieser Ordner und Dateien
ServiceLesen, ausführenDieser Ordner und Dateien
NetzwerkLesen, ausführenDieser Ordner und Dateien
Optional **:BenutzerLesen, ausführenDieser Ordner und Dateien

Hinweis Verwenden Sie FrontPage Server Extensions, muss authentifizierte Benutzer oder der Benutzergruppe die Berechtigung ändern NTFS erstellen, umbenennen, schreiben oder die Funktionalität, die ein Entwickler möglicherweise von einem FrontPage-Client, z. B. Visual InterDev 6.0 oder FrontPage 2002 haben.
Erteilen von Berechtigungen in der Registrierung
  1. Klicken Sie auf Startund auf Ausführen, geben Regedt32, und klicken Sie dann auf OK. Mit dem Registrierungseditor, da es keine Berechtigungen InWindows 2000 ändern kann.
  2. Suchen Sie im Registrierungseditor und wählen SieHKEY_LOCAL_MACHINE.
  3. Erweitern Sie SystemCurrentControlSet, und erweitern Sie dannDienste.
  4. Wählen Sie den IISADMIN -Schlüssel, klicken Sie aufSicherheit (oder drücken Sie ALT + S) und dann wählen SieBerechtigungen aus (oder drücken Sie P).
  5. Klicken Sie, um das Kontrollkästchen Zulassen Permissionsfrom Vererbbare übergeordnete an dieses Objekt weitergegeben ,Kopie, entfernen Sie alle Benutzer mit Ausnahme von:
    • Administratoren (Lesen und Vollzugriff zulassen)
    • System (Lesen und Vollzugriff zulassen)
  6. Klicken Sie auf OK.
  7. Wiederholen Sie die Schritte des MSFTPSVC-Schlüssels.
  8. Wählen Sie den W3SVC -Schlüssel, klicken Sie aufSicherheitund dann auf Berechtigungen.
  9. Deaktivieren Sie das Kontrollkästchen Zulassen Permissionsfrom Vererbbare übergeordnete an dieses Objekt weitergegeben , und entfernen Sie Allentries außer:
    • Administratoren (Lesen und Vollzugriff zulassen)
    • System (Lesen und Vollzugriff zulassen)
    • Netzwerk (Lesen)
    • Dienst (Lesen)
    • IWAM_<MachineName> (Lesen)</MachineName>
  10. Klicken Sie auf OK.

Registrierung

Die folgende Tabelle listet die Berechtigungen angewendet werden, wenn Sie die Schritte im Abschnitt "Erteilen von Berechtigungen in der Registrierung". Diese Tabelle dient nur zur Referenz.

Hinweis Die Abkürzung HKLM steht für HKEY_LOCAL_MACHINE.
OrtUsers\GroupsBerechtigungen
HKLM\System\CurrentControlSet\Services\IISAdminAdministratorenVollzugriff
SystemVollzugriff
HKLM\System\CurrentControlSet\Services\MsFtpSvcAdministratorenVollzugriff
SystemVollzugriff
HKLM\System\CurrentControlSet\Services\w3svcAdministratorenVollzugriff
SystemVollzugriff
IWAM_<MachineName></MachineName>Lesen
Erteilen von rechten in der lokalen Sicherheitsrichtlinie
  1. Klicken Sie auf Start, klicken Sie aufEinstellungenund klicken Sie ControlPanel.
  2. Doppelklicken Sie auf Verwaltungund dann doppelklicken Sie auf Lokale Sicherheitsrichtlinie.
  3. Im Dialogfeld Lokale Sicherheitsrichtlinie erweitern Sie Lokale Richtlinien, und klicken Sie dann auf Benutzer RightsAssignment.
  4. Ändern Sie die entsprechende Richtlinie:
    1. Doppelklicken Sie auf die Richtlinie.
    2. Wählen Sie und Klicken für alle Benutzer in der Tabelle nicht aufgeführt.
    3. Fügen Sie alle Benutzer, die nicht aufgelistet ist. Dazu klicken Sie auf Hinzufügen, und wählen Sie den Benutzer im Dialogfeld Benutzer oder Gruppen auswählen .
Beachten Sie, dass da eine Domänencontroller-Richtlinie die lokale Richtlinie überschreibt, Sie sicherstellen müssen, dass die Einstellung der effektivenRichtlinieneinstellung der lokalen Richtlinieentspricht.

Richtlinien

Die folgende Tabelle listet die Berechtigungen angewendet werden, wenn Sie die Schritte im Abschnitt "Erteilen von rechten in der lokalen Sicherheitsrichtlinie".
RichtlinieBenutzer
Lokal anmeldenAdministratoren
IUSR_<MachineName> (anonym)</MachineName>
Benutzer (Authentifizierung erforderlich)
Auf diesen Computer vom Netzwerk aus zugreifenAdministratoren
ASPNet (.NET Framework)
IUSR_<MachineName> (anonym)</MachineName>
IWAM_<MachineName></MachineName>
Benutzer
Anmelden als StapelverarbeitungsauftragASPNet
Netzwerk
IUSR_<MachineName></MachineName>
IWAM_<MachineName></MachineName>
Service
Anmelden als DienstASPNet
Netzwerk
Auslassen der durchsuchenden ÜberprüfungAdministratoren
IUSR_<MachineName> (anonym)</MachineName>
Benutzer (Basis, integriert, Digest)
IWAM_<MachineName></MachineName>
Informationsquellen
Weitere Informationen zum Wiederherstellen der NTFS-Standardberechtigungen für Windows 2000 finden Sie in den folgenden Artikeln der Microsoft Knowledge Base anzeigen:
266118 Wiederherstellen die NTFS-Standardberechtigungen für Windows 2000
260985 NTFS erforderlichen Mindestberechtigungen CDONTS verwenden
324068 IIS-Berechtigungen für bestimmte Objekte festlegen
815153 Konfigurieren von NTFS-Dateiberechtigungen für die Sicherheit von ASP.NET applications

Weitere Informationen über die erforderlichen Berechtigungen für IIS 6.0 klicken Sie auf die folgenden Artikelnummer der Microsoft Knowledge Base:
812614 Standardberechtigungen und Benutzerrechte für IIS 6.0
Weitere Informationen
Serverrollen oder Programme, die nicht behoben werden
In diesem Artikel wird eine bestimmte Sicherheitserfordernisse der folgenden Serverrollen oder Anwendung nicht behandelt:
  • Windows 2000-Domänencontroller
  • Microsoft Exchange 5.5 oder Microsoft Exchange 2000 OutlookWeb Zugriff
  • Microsoft Small Business Server 2000
  • Microsoft SharePoint Portal oder Team Services
  • Microsoft Commerce Server 2000 oder Microsoft Commerce Server 2002
  • Microsoft BizTalk Server 2000 oder Microsoft BizTalk Server 2002
  • Microsoft Content Management Server 2000 oder MicrosoftContent Management Server 2002
  • Microsoft Application Center 2000
  • Drittanbieter-Anwendung, die zusätzliche Berechtigungen abhängig
IIS 5 NTFS Berechtigung Berechtigungen Internet Information Services Lockdown Richtlinie Sicherheitsvorlage

Warnung: Dieser Artikel wurde automatisch übersetzt.

Eigenschaften

Artikelnummer: 271071 – Letzte Überarbeitung: 07/25/2015 09:26:00 – Revision: 2.0

Microsoft Internet Information Services 5.0, Microsoft Internet Information Services 5.1, Microsoft Internet Information Services 6.0

  • kbhowtomaster kbhowto kbpending kbprb kbquadranttechsupp kbconsumer kbmt KB271071 KbMtde
Feedback