Permisos predeterminados y derechos de usuario para IIS 7.0 y versiones posteriores

  • Artículo

En este artículo se describen los permisos predeterminados y los derechos de usuario que se establecen en determinadas carpetas y archivos. Estas carpetas y archivos se instalan con Microsoft Internet Information Services (IIS) 7.0 y versiones posteriores.

Versión del producto original: Internet Information Services 8.0
Número KB original: 981949

Cambios de permisos en IIS 6.0, IIS 7.0 y versiones posteriores

En IIS 6.0, se crea una cuenta local (IUSR_MachineName) cuando se instala IIS. La cuenta IUSR_MachineName es la identidad predeterminada que usa IIS cuando está habilitada la autenticación anónima. La autenticación anónima la usan el servicio Protocolo de transferencia de archivos (FTP) y el servicio protocolo de transferencia de hipertexto (HTTP). IIS 6.0 también contiene un grupo denominado IIS_WPG. El grupo IIS_WPG se usa como contenedor para todas las identidades del grupo de aplicaciones.

En IIS 7.0 y versiones posteriores, una cuenta integrada (IUSR) reemplaza la cuenta IUSR_MachineName. Además, un grupo denominado IIS_IUSRS reemplaza el grupo IIS_WPG. Dado que la cuenta IUSR está integrada, ya no requiere contraseña. La cuenta IUSR es similar a una cuenta de servicio local o de red. La cuenta IUSR_MachineName se crea y se usa solo cuando se instala el servidor FTP 6 que se incluye en el DVD de Windows Server 2008. Si el servidor FTP 6 no está instalado, no se crea la cuenta.

A partir de IIS 7.5, se añade una nueva característica de seguridad denominada Identidades del grupo de aplicaciones. Esta característica le permite ejecutar grupos de aplicaciones en una cuenta única sin tener que crear y administrar cuentas locales o de dominio. El nombre de la cuenta del grupo de aplicaciones corresponde al nombre del grupo de aplicaciones.

Para obtener más información sobre las cuentas y grupos de IIS 7.0, visite Descripción de las cuentas de usuario y de grupo integradas en IIS 7.

Para obtener más información sobre las identidades del grupo de aplicaciones, visite Identidades del grupo de aplicaciones.

Permisos predeterminados del sistema de archivos NTFS

En las tablas de esta sección se enumeran los permisos predeterminados de New Technology File System (NTFS) asignados a determinadas carpetas y archivos. Estas carpetas y archivos se instalan junto con IIS 7.0, IIS 7.5, IIS 8.0, IIS 8.5 e IIS 10.0.

\inetpub

Usuarios o grupos Permisos permitidos Comentarios
CREADOR PROPIETARIO Permisos especiales Equivalente a Control total.
Se aplica solo a subcarpetas y archivos.
SYSTEM Control total
Administradores Control total
Usuarios Lectura y ejecución
Mostrar el contenido de la carpeta
Lectura
TrustedInstaller Control total

\inetpub\AdminScripts

Usuarios o grupos Permisos permitidos Comentarios
CREADOR PROPIETARIO Permisos especiales Equivalente a Control total.
Se aplica solo a subcarpetas y archivos.
SYSTEM Control total
Administradores Control total
Usuarios Lectura y ejecución
Mostrar el contenido de la carpeta
Lectura
TrustedInstaller Control total

\inetpub\AdminScripts\0409

Usuarios o grupos Permisos permitidos Comentarios
CREADOR PROPIETARIO Permisos especiales Equivalente a Control total.
Se aplica solo a subcarpetas y archivos.
Heredado de \inetpub\AdminScripts.
SYSTEM Control total Heredado de \inetpub\AdminScripts.
Administradores Control total Heredado de \inetpub\AdminScripts.
Usuarios Lectura y ejecución
Mostrar el contenido de la carpeta
Lectura		 Heredado de \inetpub\AdminScripts.
TrustedInstaller Control total Heredado de \inetpub\AdminScripts.

\inetpub\custerr

Usuarios o grupos Permisos permitidos Comentarios
CREADOR PROPIETARIO Permisos especiales Equivalente a Control total.
Se aplica solo a subcarpetas y archivos.
Heredado de \inetpub.
SYSTEM Control total
Permisos especiales		 El control total se hereda de \inetpub.
Los permisos especiales son equivalentes a Control total.
Se aplica solo a esta carpeta.
Administradores Control total
Permisos especiales		 El control total se hereda de \inetpub.
Equivalente a Control total.
Se aplica solo a esta carpeta.
Usuarios Lectura y ejecución
Mostrar el contenido de la carpeta
Lectura
 Permisos especiales		 Los permisos se heredan de \inetpub, excepto para permisos especiales.

Los permisos especiales solo se aplican a esta carpeta e incluyen lo siguiente:
  • Atravesar carpeta / Ejecutar archivo
  • Mostrar carpeta / leer datos
  • Atributos de lectura
  • Atributos extendidos de lectura
  • Permisos de lectura
TrustedInstaller Control total Heredado de \inetpub.

\inetpub\custerr\en-us

Usuarios o grupos Permisos permitidos Comentarios
CREADOR PROPIETARIO Permisos especiales Equivalente a Control total.
Se aplica solo a subcarpetas y archivos.
Heredado de \inetpub.
SYSTEM Control total Heredado de \inetpub.
Administradores Control total Heredado de \inetpub.
Usuarios Lectura y ejecución
Mostrar el contenido de la carpeta
Lectura		 Heredado de \inetpub.
TrustedInstaller Control total Heredado de \inetpub.

\inetpub\ftproot

Usuarios o grupos Permisos permitidos Comentarios
CREADOR PROPIETARIO Permisos especiales Equivalente a Control total.
Se aplica solo a subcarpetas y archivos.
Heredado de \inetpub.
SYSTEM Control total Heredado de \inetpub.
Administradores Control total Heredado de \inetpub.
Usuarios Lectura y ejecución
Mostrar el contenido de la carpeta
Lectura		 Heredado de \inetpub.
TrustedInstaller Control total Heredado de \inetpub.

\inetpub\history y subcarpetas

Usuarios o grupos Permisos permitidos Comentarios
SYSTEM Control total
Administradores Control total

\inetpub\logs

Usuarios o grupos Permisos permitidos Comentarios
CREADOR PROPIETARIO Permisos especiales Equivalente a Control total.
Se aplica solo a subcarpetas y archivos.
Heredado de \inetpub.
SYSTEM Control total Heredado de \inetpub.
Administradores Control total Heredado de \inetpub.
Usuarios Lectura y ejecución
Mostrar el contenido de la carpeta
Lectura		 Heredado de \inetpub.
WMSvc Mostrar el contenido de la carpeta
TrustedInstaller Control total Heredado de \inetpub.

\inetpub\logs\FailedReqLogFiles

Usuarios o grupos Permisos permitidos Comentarios
IIS_IUSRS Permisos especiales Los permisos especiales incluyen lo siguiente:
  • Mostrar carpeta / leer datos
  • Crear archivos / escribir datos
  • Crear carpetas / anexar datos
  • Escribir atributos
  • Escribir atributos extendidos
  • Eliminar subcarpetas y archivos
  • Delete
SYSTEM Control total
Administradores Control total

\inetpub\logs\wmsvc

Usuarios o grupos Permisos permitidos Comentarios
CREADOR PROPIETARIO Permisos especiales Equivalente a Control total.
Se aplica solo a subcarpetas y archivos.
Heredado de \inetpub.
SYSTEM Control total Heredado de \inetpub.
Administradores Control total Heredado de \inetpub.
Usuarios Lectura y ejecución
Mostrar el contenido de la carpeta
Lectura		 Heredado de \inetpub.
WMSvc Modificar
Lectura y ejecución
Mostrar el contenido de la carpeta
Lectura
Escritura		 El permiso de contenido de carpeta de lista se hereda de \inetpub\logs.
TrustedInstaller Control total Heredado de \inetpub.

\inetpub\temp

Usuarios o grupos Permisos permitidos Comentarios
CREADOR PROPIETARIO Permisos especiales Equivalente a Control total.
Se aplica solo a subcarpetas y archivos.
Heredado de \inetpub.
SYSTEM Control total Heredado de \inetpub.
Administradores Control total Heredado de \inetpub.
Usuarios Lectura y ejecución
Mostrar el contenido de la carpeta
Lectura		 Heredado de \inetpub.
TrustedInstaller Control total Heredado de \inetpub.

\inetpub\temp\appPools

Usuarios o grupos Permisos permitidos Comentarios
CREADOR PROPIETARIO Permisos especiales Equivalente a Control total.
Se aplica solo a subcarpetas y archivos.
SYSTEM Control total
Administradores Control total
IIS_IUSRS Lectura y ejecución Heredado de \inetpub.

\inetpub\temp\ASP Compiled Templates

Usuarios o grupos Permisos permitidos Comentarios
De forma predeterminada, no se asignan permisos a esta carpeta.

\inetpub\temp\IIS Temporary Compressed Files

Usuarios o grupos Permisos permitidos Comentarios
SYSTEM Control total
Administradores Control total
IIS_IUSRS Control total

\inetpub\wwwroot

Usuarios o grupos Permisos permitidos Comentarios
CREADOR PROPIETARIO Permisos especiales Equivalente a Control total.
Se aplica solo a subcarpetas y archivos.
Heredado de \inetpub.
SYSTEM Control total Heredado de \inetpub.
Administradores Control total Heredado de \inetpub.
Usuarios Lectura y ejecución
Mostrar el contenido de la carpeta
Lectura		 Heredado de \inetpub.
IIS_IUSRS Lectura y ejecución
TrustedInstaller Control total Heredado de \inetpub.

\inetpub\wwwroot\aspnet_client

Usuarios o grupos Permisos permitidos Comentarios
Todos Lectura
SYSTEM Control total
Administradores Control total
Usuarios Lectura y ejecución
Mostrar el contenido de la carpeta
Lectura

%windir%\system32\inetsrv

Usuarios o grupos Permisos permitidos Comentarios
CREADOR PROPIETARIO Permisos especiales Equivalente a Control total.
Se aplica solo a subcarpetas y archivos.
SYSTEM Permisos especiales Los permisos especiales permitidos para la cuenta SYSTEM de esta carpeta solo incluyen los siguientes:
  • Atravesar carpeta / Ejecutar archivo
  • Mostrar carpeta / leer datos
  • Atributos de lectura
  • Atributos extendidos de lectura
  • Crear archivos / escribir datos
  • Crear carpetas / anexar datos
  • Escribir atributos
  • Escribir atributos extendidos
  • Delete
  • Permisos de lectura

El permiso especial permitido para solo SYSTEM para subcarpetas y archivos es equivalente a Control total.
Administradores Permisos especiales Los permisos especiales permitidos para el grupo Administradores de esta carpeta solo incluyen los siguientes:
  • Atravesar carpeta / Ejecutar archivo
  • Mostrar carpeta / leer datos
  • Atributos de lectura
  • Atributos extendidos de lectura
  • Crear archivos / escribir datos
  • Crear carpetas / anexar datos
  • Escribir atributos
  • Escribir atributos extendidos
  • Delete
  • Permisos de lectura

El permiso especial permitido para el grupo Administradores para solo subcarpetas y archivos es equivalente a Control total.
Usuarios Lectura y ejecución
Mostrar el contenido de la carpeta
Lectura
TrustedInstaller Permisos especiales Los permisos son equivalentes a Control total y se aplican a esta carpeta y subcarpetas.

%windir%\System32\inetsrv\0409

Usuarios o grupos Permisos permitidos Comentarios
CREADOR PROPIETARIO Permisos especiales Equivalente a Control total.
Se aplica solo a subcarpetas y archivos.
Heredado de %windir%\System32\inetsrv.
SYSTEM Control total Heredado de %windir%\System32\inetsrv.
Administradores Control total Heredado de %windir%\System32\inetsrv
Usuarios Lectura y ejecución
Mostrar el contenido de la carpeta
Lectura		 Heredado de %windir%\System32\inetsrv
TrustedInstaller Permisos especiales Equivalente a Control total.
Se aplica solo a subcarpetas y archivos.
Heredado de %windir%\System32\inetsrv

%windir%\System32\inetsrv\config

Usuarios o grupos Permisos permitidos Comentarios
CREADOR PROPIETARIO Permisos especiales Equivalente a Control total.
Se aplica solo a subcarpetas y archivos.
SYSTEM Control total
Administradores Control total
Usuarios Lectura y ejecución
Mostrar el contenido de la carpeta
Lectura
TrustedInstaller Control total
WMSvc Lectura

%windir%\System32\inetsrv\config\Export

Usuarios o grupos Permisos permitidos Comentarios
CREADOR PROPIETARIO Permisos especiales Equivalente a Control total.
Se aplica solo a subcarpetas y archivos.
SYSTEM Control total
Administradores Control total
TrustedInstaller Control total

%windir%\System32\inetsrv\config\schema

Usuarios o grupos Permisos permitidos Comentarios
CREADOR PROPIETARIO Permisos especiales Equivalente a Control total.
Se aplica solo a subcarpetas y archivos.
SYSTEM Permisos especiales Los permisos especiales permitidos para la cuenta SYSTEM de esta carpeta solo incluyen los siguientes:
  • Atravesar carpeta / Ejecutar archivo
  • Mostrar carpeta / leer datos
  • Atributos de lectura
  • Atributos extendidos de lectura
  • Crear archivos / escribir datos
  • Crear carpetas / anexar datos
  • Escribir atributos
  • Escribir atributos extendidos
  • Delete
  • Permisos de lectura

El permiso especial permitido para SYSTEM para subcarpetas y archivos solo es equivalente a Control total.
Administradores Permisos especiales Los permisos especiales permitidos para el grupo Administradores de esta carpeta solo incluyen los siguientes:
  • Atravesar carpeta / Ejecutar archivo
  • Mostrar carpeta / leer datos
  • Atributos de lectura
  • Atributos extendidos de lectura
  • Crear archivos / escribir datos
  • Crear carpetas / anexar datos
  • Escribir atributos
  • Escribir atributos extendidos
  • Delete
  • Permisos de lectura

El permiso especial permitido para el grupo Administradores para subcarpetas y archivos solo es equivalente a Control total.
Usuarios Lectura y ejecución
Mostrar el contenido de la carpeta
Lectura
TrustedInstaller Permisos especiales Equivalente a Control total.
Se aplica a esta carpeta y subcarpetas.

%windir%\System32\inetsrv\en-us

Usuarios o grupos Permisos permitidos Comentarios
CREADOR PROPIETARIO Permisos especiales Equivalente a Control total.
Se aplica solo a subcarpetas y archivos.
SYSTEM Permisos especiales Los permisos especiales permitidos para la cuenta SYSTEM de esta carpeta solo incluyen los siguientes:
  • Atravesar carpeta / Ejecutar archivo
  • Mostrar carpeta / leer datos
  • Atributos de lectura
  • Atributos extendidos de lectura
  • Crear archivos / escribir datos
  • Crear carpetas / anexar datos
  • Escribir atributos
  • Escribir atributos extendidos
  • Delete
  • Permisos de lectura

El permiso especial permitido para SYSTEM para subcarpetas y archivos solo es equivalente a Control total.
Administradores Permisos especiales Los permisos especiales permitidos para el grupo Administradores de esta carpeta solo incluyen los siguientes:
  • Atravesar carpeta / Ejecutar archivo
  • Mostrar carpeta / leer datos
  • Atributos de lectura
  • Atributos extendidos de lectura
  • Crear archivos / escribir datos
  • Crear carpetas / anexar datos
  • Escribir atributos
  • Escribir atributos extendidos
  • Delete
  • Permisos de lectura

El permiso especial permitido para el grupo Administradores para subcarpetas y archivos solo es equivalente a Control total.
Usuarios Lectura y ejecución
Mostrar el contenido de la carpeta
Lectura
TrustedInstaller Listar contenido de carpetas
Permisos especiales		 Equivalente a Control total.
Se aplica a esta carpeta y subcarpetas.

%windir%\System32\inetsrv\History

Usuarios o grupos Permisos permitidos Comentarios
Administradores Control total
SYSTEM Control total

%windir%\System32\inetsrv\MetaBack

Usuarios o grupos Permisos permitidos Comentarios
Administradores Control total
SYSTEM Control total

Permisos del Registro predeterminados

En las tablas de esta sección se enumeran los permisos predeterminados del Registro que se asignan cuando IIS 7.0, IIS 7.5, IIS 8.0 o IIS 8.5 están instalados. Cuando se enumeran los permisos de lectura para los usuarios, se incluyen los permisos siguientes:

  • Consultar valor
  • Enumerar subclaves
  • Notificar
  • Control de lectura

HKEY_LOCAL_MACHINE\Software\Microsoft\Inetmgr

Usuarios o grupos Permisos permitidos Comentarios
CREADOR PROPIETARIO Permisos especiales Equivalente a Control total.
Se aplica solo a las subclaves.
SYSTEM Control total
Administradores Control total
Usuarios Lectura

HKEY_LOCAL_MACHINE\Software\Microsoft\InetStp

Usuarios o grupos Permisos permitidos Comentarios
CREADOR PROPIETARIO Permisos especiales Equivalente a Control total.
Se aplica solo a las subclaves.
SYSTEM Control total
Administradores Control total
Usuarios Lectura

HKEY_LOCAL_MACHINE\Software\Microsoft\W3SVC

Usuarios o grupos Permisos permitidos Comentarios
CREADOR PROPIETARIO Permisos especiales Equivalente a Control total.
Se aplica solo a las subclaves.
SYSTEM Control total
Administradores Control total
Usuarios Lectura

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ASP

Usuarios o grupos Permisos permitidos Comentarios
CREADOR PROPIETARIO Permisos especiales Equivalente a Control total.
Se aplica solo a las subclaves.
SYSTEM Control total
Administradores Control total
Usuarios Lectura

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ASP.NET

Usuarios o grupos Permisos permitidos Comentarios
CREADOR PROPIETARIO Permisos especiales Equivalente a Control total.
Se aplica solo a las subclaves.
SYSTEM Control total
Administradores Control total
Usuarios Lectura

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ASP.NET_2.0.50727

Usuarios o grupos Permisos permitidos Comentarios
CREADOR PROPIETARIO Permisos especiales Equivalente a Control total.
Se aplica solo a las subclaves.
SYSTEM Control total
Administradores Control total
Usuarios Lectura

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\aspnet_state

Usuarios o grupos Permisos permitidos Comentarios
CREADOR PROPIETARIO Permisos especiales Equivalente a Control total.
Se aplica solo a las subclaves.
SYSTEM Control total
Administradores Control total
Usuarios Lectura

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP

Usuarios o grupos Permisos permitidos Comentarios
CREADOR PROPIETARIO Permisos especiales Equivalente a Control total.
Se aplica solo a las subclaves.
SYSTEM Control total
Administradores Control total
Usuarios Lectura

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\IISAdmin

Usuarios o grupos Permisos permitidos Comentarios
CREADOR PROPIETARIO Permisos especiales Equivalente a Control total.
Se aplica solo a las subclaves.
SYSTEM Control total
Administradores Control total
Usuarios Lectura

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\W3SVC

Usuarios o grupos Permisos permitidos Comentarios
CREADOR PROPIETARIO Permisos especiales Equivalente a Control total.
Se aplica solo a las subclaves.
SYSTEM Control total
Administradores Control total
Usuarios Lectura

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WAS

Usuarios o grupos Permisos permitidos Comentarios
CREADOR PROPIETARIO Permisos especiales Equivalente a Control total.
Se aplica solo a las subclaves.
SYSTEM Control total
Administradores Control total
Usuarios Lectura

Nota:

La clave WAS es para el Servicio de activación de procesos de Windows. Se trata de una dependencia necesaria y se instala junto con IIS.

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WMsvc

Usuarios o grupos Permisos permitidos Comentarios
CREADOR PROPIETARIO Permisos especiales Equivalente a Control total.
Se aplica solo a las subclaves.
SYSTEM Control total
Administradores Control total
Usuarios Lectura

Asignaciones predeterminadas de derechos de usuario de Windows

En la tabla de esta sección se enumeran las directivas de seguridad locales predeterminadas y los usuarios, los grupos o los usuarios y grupos asignados a la directiva cuando IIS 7.0, IIS 7.5, IIS 8.0 o IIS 8.5 están instalados.

Derechos de usuario de Windows asignados por la directiva de seguridad local

Permisos permitidos Usuarios o grupos
Acceso a este equipo desde la red Todos
Administradores
Usuarios
Operadores de copia de seguridad
Ajustar las cuotas de la memoria para un proceso SERVICIO LOCAL
SERVICIO DE RED
Administradores
ApplicationPoolIdentity
Permitir el inicio de sesión local Administradores
Usuarios
Operadores de copias de seguridad
Omitir comprobación de recorrido Todos
SERVICIO LOCAL
SERVICIO DE RED
Administradores
Usuarios
Operadores de copia de seguridad
Generar auditorías de seguridad ApplicationPoolIdentity
Suplantar a un cliente tras la autenticación SERVICIO LOCAL
SERVICIO DE RED
Administradores
IIS_IUSRS
SERVICIO
Iniciar sesión como proceso por lotes Administradores
Operadores de copias de seguridad
Usuarios de registros de rendimiento
IIS_IUSRS
Iniciar sesión como servicio ApplicationPoolIdentity
Reemplazar un símbolo (token) de nivel de proceso SERVICIO LOCAL
SERVICIO DE RED
ApplicationPoolIdentity