Bei Microsoft anmelden
Melden Sie sich an, oder erstellen Sie ein Konto.
Hallo,
Wählen Sie ein anderes Konto aus.
Sie haben mehrere Konten.
Wählen Sie das Konto aus, mit dem Sie sich anmelden möchten.

Dieser Artikel beschreibt, wie die Mindestberechtigungen, die für einen dedizierten Internet Information Services (IIS) 5.0, IIS 5.1 oder IIS 6.0-Webserver.

Die Beschränkung für diesen Artikel

Warnung Dieser Artikel gilt nur auf dedizierte Webserver, die IIS-Basisfunktionen wie HTML statischen Inhalten oder einfachen Active Server Pages (ASP) Inhalt dienen. Erforderliche Berechtigungen, die in diesem Artikel beschrieben sind nur die grundlegenden Berechtigungen für einen dedizierten Webserver mit IIS 5. X oder IIS 6.0. In diesem Artikel berücksichtigt Weitere Microsoft und Drittanbieter - Produkte , die eventuell andere Berechtigungen erfordern. Sie können Server- und Dokumentation für den spezifischen Bedarf überprüfen. Wir empfehlen, Überprüfen Sie die Artikeln , die für die Rollen Ihres Webservers.

Testverfahren vor Berechtigungen Konfigurationen in einer produktiven Umgebung

Bevor Sie Berechtigungen auf einem Produktionswebserver ändern, sollten Sie die folgenden Schritte durchführen:

  1. Die aktuellste Version des IIS Lockdown-Toolausführen. Die folgenden Programme und Dienste wurden als Teil der Testsammlung installiert, die mit Sicherheit testen nach den in diesem Artikel beschriebenen Berechtigungen erteilt:

    • Indexdienste

    • Terminaldienste

    • Skript-Debugger

    • IIS

      • Gemeinsame Dateien

      • Dokumentation

      • FrontPage Server Extensions 2000

      • Internetdienste-Manager (HTML)

      • WWW

      • FTP

  2. Führen Sie die folgenden Funktionstests:

    • Hypertext-Dokumente (HTML)

    • Active Server Pages (ASP)

    • FrontPage Server Extensions, verbinden, bearbeiten und speichern, wenn FPSE aktiviert ist, während das Lockdown-Tool verwenden

    • Secure Sockets Layer (SSL)

Erteilen von Besitzrechten und Berechtigungen an Administratoren und system

Gehen Sie hierzu wie folgt vor:

  1. Öffnen Sie Windows_explorer. Dazu klicken Sie auf Start, klicken Sie auf Programmeund klicken Sie dann auf Windows_explorer.

  2. Erweitern Sie Arbeitsplatz.

  3. Maustaste auf das Systemlaufwerk (Dies ist normalerweise Laufwerk C) und klicken Sie dann auf Eigenschaften.

  4. Klicken Sie auf die Registerkarte Sicherheit , und klicken Sie auf Erweitert , um das Dialogfeld Kennwort für lokalen Datenträger öffnen.

  5. Klicken Sie auf der Registerkarte Besitzer , aktivieren Sie das Kontrollkästchen Ersetzen Besitzer der Objekte und untergeordneten Container , und klicken Sie auf Übernehmen. Wenn Sie die Fehlermeldung erhalten, klicken Sie auf Weiter:

    Anwenden von Sicherheitsinformationen auf %systemdrive%\Pagefile.sys Fehler

  6. Klicken Sie auf Ja, wenn Sie die folgende Fehlermeldung:

    Sie sind nicht berechtigt, den Inhalt des Verzeichnisses %systemdrive%\System Volume Information - lesen möchten Sie Verzeichnisses - alle Berechtigungen ersetzt, die Ihnen Vollzugriff gewähren

  7. Klicken Sie auf OK, um das Dialogfeld zu schließen.

  8. Klicken Sie auf Hinzufügen.

  9. Fügen Sie die folgenden Benutzer hinzu, und erteilen Sie ihnen vollständigen NTFS-Berechtigung:

    • Administrator

    • System

    • Ersteller-Besitzer

  10. Nachdem Sie diese NTFS-Berechtigungen hinzugefügt haben, klicken Sie auf Erweitert, aktivieren Sie das Kontrollkästchen Berechtigungen für alle untergeordneten Objekte zurückgesetzt und vererbbare Berechtigungen aktivieren und klicken Sie auf Übernehmen.

  11. Wenn Sie die Fehlermeldung erhalten, klicken Sie auf Weiter:

    Anwenden von Sicherheitsinformationen auf %systemdrive%\Pagefile.sys Fehler

  12. Nach dem Zurücksetzen von NTFS-Berechtigungen klicken Sie auf OK.

  13. Klicken Sie auf die Gruppe "Jeder" und klicken Sie auf Entfernen.

  14. Öffnen Sie die Eigenschaften für den Ordner %SystemDrive%\Programme\Gemeinsame c:\Programme\Gemeinsame Dateien, und klicken Sie dann auf die Registerkarte Sicherheit das Konto für anonymen Zugriff hinzufügen. Standardmäßig ist dies das Konto IUSR_ < Computername >. Fügen Sie der Gruppe Benutzer. Stellen Sie sicher, dass nur die folgenden ausgewählt werden:

    • Lesen und ausführen

    • Ordnerinhalt auflisten

    • Lesen

  15. Öffnen Sie die Eigenschaften für das Stammverzeichnis, das Inhalte Ihrer Website enthält. Standardmäßig ist dies der Ordner %systemdrive%\Inetpub\Wwwroot. Klicken Sie auf die Registerkarte Sicherheit fügen Sie das Konto IUSR_ < Computername > und der Gruppe Benutzer hinzu, und stellen Sie sicher, dass nur die folgenden ausgewählten:

    • Lesen und ausführen

    • Ordnerinhalt auflisten

    • Lesen

  16. Sie schreiben NTFS-Berechtigung Inetpub\FTProot oder den Pfad für die FTP-Site oder Websites erteilen möchten, wiederholen Sie Schritt 15. Hinweis Erteilen von NTFS-Write-Berechtigungen für das anonyme Konto in den Verzeichnissen, einschließlich der Verzeichnisse der FTP-Dienst verwendet, wird nicht empfohlen. Dadurch können unnötige Daten auf Ihren Webserver geladen werden.

Deaktivieren der Vererbung in Systemverzeichnissen

Gehen Sie hierzu wie folgt vor:

  1. Wählen Sie im Ordner %systemroot%\System32 alle Ordner mit Ausnahme der folgenden:

    • Inetsrv

    • Certsrv (falls vorhanden)

    • COM

  2. Maustaste die verbleibenden Ordner, klicken Sie auf Eigenschaftenund klicken Sie dann auf die Registerkarte Sicherheit .

  3. Deaktivieren Sie das Kontrollkästchen Berechtigungen übergeordneter Objekte , klicken Sie auf Kopierenund klicken Sie auf OKklicken.

  4. Wählen Sie im Ordner % Systemroot % alle Ordner mit Ausnahme der folgenden:

    • Assembly (falls vorhanden)

    • Gedownloadete Programmdateien

    • Hilfe

    • Microsoft.NET (falls vorhanden)

    • Offline-Webseiten

    • System32

    • Aufgaben

    • Temp

    • Web

  5. Maustaste die verbleibenden Ordner, klicken Sie auf Eigenschaftenund klicken Sie dann auf die Registerkarte Sicherheit .

  6. Deaktivieren Sie das Kontrollkästchen Berechtigungen übergeordneter Objekte , klicken Sie auf Kopierenund klicken Sie auf OKklicken.

  7. Weisen Sie Berechtigungen zu folgender:

    1. Öffnen Sie die Eigenschaften für den Ordner %systemroot%, klicken Sie auf die Registerkarte Sicherheit , fügen Sie die Konten IUSR_ < Computername > und IWAM_ < Computername > und der Gruppe Benutzer hinzu und stellen Sie sicher, dass nur die folgenden ausgewählt:

      • Lesen und ausführen

      • Ordnerinhalt auflisten

      • Lesen

    2. Öffnen Sie die Eigenschaften für den Ordner %systemroot%\Temp, wählen Sie das Konto IUSR_ < Computername > (dieses Konto ist bereits vorhanden, da der Ordner Winnt erbt wird) und aktivieren Sie dann das Kontrollkästchen Ändern . Wiederholen Sie diesen Schritt für das Konto IWAM_ < Computername > und Benutzergruppe.

    3. Wenn FrontPage Server-Erweiterung Clients wie FrontPage oder Microsoft Visual InterDev verwendet werden, öffnen Sie die Eigenschaften für den Ordner %systemdrive%\Inetpub\Wwwroot, wählen Sie die Gruppe Authentifizierte Benutzer wählen und OK klicken :

      • Ändern

      • Lesen und ausführen

      • Ordnerinhalt auflisten

      • Lesen

      • Schreiben

NTFS-Berechtigungen

Die folgende Tabelle enthält die Berechtigungen, die angewendet werden, wenn Sie die Schritte im Abschnitt "Deaktivieren der Vererbung in Systemverzeichnissen". Diese Tabelle dient nur zur Referenz. Gehen Sie folgendermaßen vor, um die Berechtigungen in der folgenden Tabelle anzuwenden:

  1. Öffnen Sie Windows_explorer. Dazu klicken Sie auf Start, klicken Sie auf Programme, auf Zubehörund klicken Sie dann auf Windows Explorer.

  2. Erweitern Sie Arbeitsplatz.

  3. Maustaste auf %systemroot%und klicken Sie dann auf Eigenschaften.

  4. Klicken Sie auf die Registerkarte Sicherheit , und klicken Sie dann auf Erweitert.

  5. Doppelklicken Sie auf Berechtigung, und wählen Sie die gewünschte Einstellung aus der Liste Übernehmen .

Hinweis Spalte in der "zuweisen", der Begriff Standard "Dieser Ordner Unterordner und Dateien."

Verzeichnis

Users\Groups

Berechtigungen

Wenden auf an

%systemroot%\ (c:\winnt)

Administrator

Vollzugriff

Standard

System

Vollzugriff

Standard

Benutzer

Lesen, ausführen

Standard

%systemroot%\system32

Administratoren

Vollzugriff

Standard

System

Vollzugriff

Standard

Benutzer

Lesen, ausführen

Standard

%systemroot%\system32\inetsrv

Administratoren

Vollzugriff

Standard

System

Vollzugriff

Standard

Benutzer

Lesen, ausführen

Standard

Inetpub\adminscripts

Administratoren

Vollzugriff

Standard

Inetpub\urlscan (falls vorhanden)

Administratoren

Vollzugriff

Standard

System

Vollzugriff

Standard

%systemroot%\system32\inetsrv\metaback

Administratoren

Vollzugriff

Standard

System

Vollzugriff

Standard

%systemroot%\help\iishelp\common

Administratoren

Vollzugriff

Dieser Ordner und Dateien

System

Vollzugriff

Dieser Ordner und Dateien

IWAM_<Machinename>

Lesen, ausführen

Dieser Ordner und Dateien

Netzwerk

Vollzugriff

Dieser Ordner und Dateien

Dienst

Dieser Ordner und Dateien

Benutzer

Lesen, ausführen

Dieser Ordner und Dateien

Inetpub\Wwwroot (oder Inhaltsverzeichnisse)

Administratoren

Vollzugriff

Dieser Ordner und Dateien

System

Vollzugriff

Dieser Ordner und Dateien

IWAM_<MachineName>

Lesen, ausführen

Dieser Ordner und Dateien

Dienst

Lesen, ausführen

Dieser Ordner und Dateien

Netzwerk

Lesen, ausführen

Dieser Ordner und Dateien

Optional**:

Benutzer

Lesen, ausführen

Dieser Ordner und Dateien

Hinweis Bei Verwendung von FrontPage Server Extensions Berechtigung authentifizierte Benutzer oder die Benutzergruppe ändern NTFS erstellen, umbenennen, schreiben oder Funktionen bereitzustellen, die Entwickler möglicherweise von einem FrontPage-Client haben Visual InterDev 6.0 oder FrontPage 2002.

Berechtigungen Sie in der Registrierung

  1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie regedt32 ein, und klicken Sie dann auf OK. Registrierungseditor nicht verwendet, da es keine Berechtigungen in Windows 2000 ändern kann.

  2. Suchen Sie im Registrierungseditor und wählen Sie HKEY_LOCAL_MACHINE.

  3. Erweitern Sie SystemCurrentControlSet, und erweitern Sie dann Dienste.

  4. Wählen Sie den IISADMIN -Schlüssel, klicken Sie auf Sicherheit (oder drücken Sie ALT + S), und wählen Sie dann Berechtigungen (oder drücken Sie P).

  5. Klicken Sie auf das Kontrollkästchen Vererbbare Berechtigungen zulassen deaktivieren, klicken Sie auf Kopierenund entfernen Sie alle Benutzer mit Ausnahme:

    • Administratoren (Lesen und Vollzugriff zulassen)

    • System (Lesen und Vollzugriff zulassen)

  6. Klicken Sie auf OK.

  7. Wiederholen Sie die Schritte des MSFTPSVC -Schlüssels.

  8. Wählen Sie den W3SVC -Schlüssel, klicken Sie auf Sicherheitund dann auf Berechtigungen.

  9. Deaktivieren Sie das Kontrollkästchen Vererbbare Berechtigungen zulassen , und entfernen Sie alle Einträge außer:

    • Administratoren (Lesen und Vollzugriff zulassen)

    • System (Lesen und Vollzugriff zulassen)

    • Netzwerk (Lesen)

    • Dienst (Lesen)

    • IWAM_ < Computername > (Lesen)

  10. Klicken Sie auf OK.

Registrierung

Die folgende Tabelle enthält die Berechtigungen, die angewendet werden, wenn Sie die Schritte im Abschnitt "Erteilen von Berechtigungen in der Registrierung". Diese Tabelle dient nur zur Referenz. Hinweis Die Abkürzung HKLM steht für HKEY_LOCAL_MACHINE.

Ort

Users\Groups

Berechtigungen

HKLM\System\CurrentControlSet\Services\IISAdmin

Administratoren

Vollzugriff

System

Vollzugriff

HKLM\System\CurrentControlSet\Services\MsFtpSvc

Administratoren

Vollzugriff

System

Vollzugriff

HKLM\System\CurrentControlSet\Services\w3svc

Administratoren

Vollzugriff

System

Vollzugriff

IWAM_<MachineName>

Lesen

Erteilen von rechten in der lokalen Sicherheitsrichtlinie

  1. Klicken Sie auf StartKlicken Sieund klicken Sie dann auf Bedienfeld.

  2. Doppelklicken Sie auf Verwaltung, und doppelklicken Sie dann auf Lokale Sicherheitsrichtlinie.

  3. Klicken Sie im Dialogfeld Lokale Sicherheitsrichtlinie erweitern Sie Lokale Richtlinien, und klicken Sie auf Zuweisen von Benutzerrechten.

  4. Ändern Sie die entsprechende Richtlinie:

    1. Doppelklicken Sie auf die Richtlinie.

    2. Wählen Sie und Klicken für alle Benutzer in der Tabelle nicht aufgeführt.

    3. Fügen Sie alle Benutzer, die nicht aufgelistet ist. Dazu klicken Sie auf Hinzufügen, und wählen Sie Benutzer im Dialogfeld Benutzer oder Gruppen auswählen .

Beachten Sie, dass da eine Domänencontroller-Richtlinie die lokale Richtlinie überschreibt, Sie sicherstellen müssen, dass Effektive EinstellungEinstellung der lokalen Richtlinieentspricht.

Richtlinien

Die folgende Tabelle enthält die Berechtigungen, die angewendet werden, wenn Sie die Schritte im Abschnitt "Erteilen von rechten in der lokalen Sicherheitsrichtlinie".

Richtlinie

Benutzer

Lokal anmelden

Administratoren

IUSR_ < Computername > (anonym)

Benutzer (Authentifizierung erforderlich)

Auf diesen Computer vom Netzwerk aus zugreifen

Administratoren

ASPNet (.NET Framework)

IUSR_ < Computername > (anonym)

IWAM_<MachineName>

Benutzer

Anmelden als Stapelverarbeitungsauftrag

ASPNet

Netzwerk

IUSR_<MachineName>

IWAM_<MachineName>

Dienst

Anmelden als Dienst

ASPNet

Netzwerk

Auslassen der durchsuchenden Überprüfung

Administratoren

IUSR_ < Computername > (anonym)

Benutzer (Basis, integriert, Digest)

IWAM_<MachineName>

Informationsquellen

Weitere Informationen zum Wiederherstellen der NTFS-Standardberechtigungen für Windows 2000 finden Sie in den folgenden zu Artikeln der Microsoft Knowledge Base:

266118 das Wiederherstellen der NTFS-Standardberechtigungen für Windows 2000

260985 mit CDONTS erforderliche minimale NTFS-Berechtigungen

324068 wie IIS-Berechtigungen für bestimmte Objekte

815153 zum Konfigurieren NTFS-Dateiberechtigung für Sicherheit von ASP.NET applications Weitere Informationen über die erforderlichen Berechtigungen für IIS 6.0 klicken Sie auf die folgenden Artikelnummer der Microsoft Knowledge Base:

Standardberechtigungen und Benutzerrechte für IIS 6.0 812614

Weitere Informationen

Dieser Artikel behandelt nicht eines spezifischen Erfordernissen der folgenden Serverrollen oder Applikationen:

  • Windows 2000-Domänencontroller

  • Microsoft Exchange 5.5 oder Microsoft Exchange 2000 Outlook Web Access

  • Microsoft Small Business Server 2000

  • Microsoft SharePoint Portal oder Team Services

  • Microsoft Commerce Server 2000 oder Microsoft Commerce Server 2002

  • Microsoft BizTalk Server 2000 oder Microsoft BizTalk Server 2002

  • Microsoft Content Management Server 2000 oder Microsoft Content Management Server 2002

  • Microsoft Application Center 2000

  • Die Drittanbieter-Anwendung, die zusätzliche Berechtigungen abhängig

Facebook LinkedIn E-Mail
RSS-FEEDS ABONNIEREN

Benötigen Sie weitere Hilfe?

Möchten Sie weitere Optionen?

Entdecken Community

Erkunden Sie die Abonnementvorteile, durchsuchen Sie Trainingskurse, erfahren Sie, wie Sie Ihr Gerät schützen und vieles mehr.

Vorteile des Microsoft 365-Abonnements

Microsoft 365-Training

Microsoft Security

Barrierefreiheitscenter

In den Communities können Sie Fragen stellen und beantworten, Feedback geben und von Experten mit umfassendem Wissen hören.

Fragen Sie die Microsoft Community

Microsoft Tech Community

Windows-Insider

Microsoft 365 Insider

War diese Information hilfreich?

Wie zufrieden sind Sie mit der Sprachqualität?
Was hat Ihre Erfahrung beeinflusst?
Wenn Sie auf "Absenden" klicken, wird Ihr Feedback zur Verbesserung von Produkten und Diensten von Microsoft verwendet. Ihr IT-Administrator kann diese Daten sammeln. Datenschutzbestimmungen.

Vielen Dank für Ihr Feedback!

×