Description des autorisations par défaut et droits utilisateur pour IIS 7.0 et versions ultérieures

Résumé

Cet article décrit les autorisations par défaut et les droits utilisateur qui sont définies sur certains dossiers et fichiers. Ces dossiers et fichiers sont installés avec les Services Internet (IIS) 7.0 et versions ultérieures.

Plus d'informations

Modifications apportées aux autorisations entre IIS 6.0 et IIS 7.0/7.5/8.0/8.5

Dans IIS 6.0, un compte local (IUSR_MachineName) est créé quand IIS est installé. Le compte IUSR_nom_ordinateur est l’identité par défaut qui est utilisée par IIS lors de l’authentification anonyme est activée. L’authentification anonyme est utilisée par le service FTP et le service HTTP. IIS 6.0 contient également un groupe nommé IIS_WPG. Le groupe IIS_WPG est utilisé comme conteneur pour toutes les identités de pool d’applications.

Dans IIS 7.0 et versions ultérieures, un compte intégré (IUSR) remplace le compte IUSR_nom_ordinateur. En outre, un groupe nommé IIS_IUSRS remplace le groupe IIS_WPG. Étant donné que le compte IUSR est un compte intégré, le compte IUSR ne requiert plus un mot de passe. Le compte IUSR ressemble à un compte de service local ou le réseau. Le compte IUSR_nom_ordinateur est créé et utilisé uniquement lorsque le serveur FTP 6 inclus sur le DVD de Windows Server 2008 est installé. Si le serveur FTP 6 n’est pas installé, le compte n’est pas créé.

À partir de IIS 7.5, une nouvelle fonctionnalité de sécurité est ajoutée qui est appelé identités de Pool d’applications. Cette fonctionnalité vous permet d’exécuter des Pools d’applications sous un compte unique sans avoir à créer et gérer des comptes de domaine ou locales. Le nom du compte de Pool d’applications correspond au nom du Pool d’applications.

Pour plus d’informations sur les groupes et comptes d’IIS 7.0, consultez le site Web suivant :
Pour plus d’informations sur les identités de Pool d’applications, consultez le site Web suivant :

Autorisations de système de fichiers NTFS par défaut

Les tableaux de cette section répertorient les autorisations NTFS par défaut qui sont affectées à certains dossiers et fichiers. Ces dossiers et ces fichiers sont installés avec IIS 7.0 et IIS 7.5, 8.0 de IIS IIS 8.5.

\inetpub

Les utilisateurs / groupesAutorisations accordéesCommentaires
CRÉATEUR PROPRIÉTAIREAutorisations spécialesÉquivalent à contrôle total.
S’applique aux sous-dossiers et fichiers uniquement.
SYSTÈMEContrôle total
AdministrateursContrôle total
UtilisateursLire & exécuter
Afficher le contenu du dossier
En lecture
TrustedInstallerContrôle total

\inetpub\AdminScripts

Les utilisateurs / groupesAutorisations accordéesCommentaires
CRÉATEUR PROPRIÉTAIREAutorisations spécialesÉquivalent à contrôle total.
S’applique aux sous-dossiers et fichiers uniquement.
SYSTÈMEContrôle total
AdministrateursContrôle total
UtilisateursLire & exécuter
Afficher le contenu du dossier
En lecture
TrustedInstallerContrôle total

\inetpub\AdminScripts\0409

Les utilisateurs / groupesAutorisations accordéesCommentaires
CRÉATEUR PROPRIÉTAIREAutorisations spécialesÉquivalent à contrôle total.
S’applique aux sous-dossiers et fichiers uniquement.
Hérité de \inetpub\AdminScripts\.
SYSTÈMEContrôle totalHérité de \inetpub\AdminScripts\.
AdministrateursContrôle totalHérité de \inetpub\AdminScripts\.
UtilisateursLire & exécuter
Afficher le contenu du dossier
En lecture
Hérité de \inetpub\AdminScripts\.
TrustedInstallerContrôle totalHérité de \inetpub\AdminScripts\.

\inetpub\custerr

Les utilisateurs / groupesAutorisations accordéesCommentaires
CRÉATEUR PROPRIÉTAIREAutorisations spécialesÉquivalent à contrôle total.
S’applique aux sous-dossiers et fichiers uniquement.
Héritée de \inetpub.
SYSTÈMEContrôle total
Autorisations spéciales
Contrôle total est hérité \inetpub.
Autorisations spéciales sont équivalentes à contrôle total.
S’applique uniquement à ce dossier.
AdministrateursContrôle total
Autorisations spéciales
Contrôle total est hérité \inetpub.
Équivalent à contrôle total.
S’applique uniquement à ce dossier.
UtilisateursLire & exécuter
Afficher le contenu du dossier
En lecture
Autorisations spéciales
Les autorisations sont héritées de \inetpub, à l’exception des autorisations spéciales.

Autorisations spéciales s’appliquent uniquement à ce dossier et incluent les éléments suivants :


Parcourir le dossier / exécuter le fichier
Liste du dossier / lecture de données
Attributs de lecture
Lecture des attributs étendus
Autorisations de lecture
TrustedInstallerContrôle totalHéritée de \inetpub.

\inetpub\custerr\en-us

Les utilisateurs / groupesAutorisations accordéesCommentaires
CRÉATEUR PROPRIÉTAIREAutorisations spécialesÉquivalent à contrôle total.
S’applique aux sous-dossiers et fichiers uniquement.
Héritée de \inetpub.
SYSTÈMEContrôle totalHéritée de \inetpub.
AdministrateursContrôle totalHéritée de \inetpub.
UtilisateursLire & exécuter
Afficher le contenu du dossier
En lecture
Héritée de \inetpub.
TrustedInstallerContrôle totalHéritée de \inetpub.

\inetpub\ftproot

Les utilisateurs / groupesAutorisations accordéesCommentaires
CRÉATEUR PROPRIÉTAIREAutorisations spécialesÉquivalent à contrôle total.
S’applique aux sous-dossiers et fichiers uniquement.
Héritée de \inetpub.
SYSTÈMEContrôle totalHéritée de \inetpub.
AdministrateursContrôle totalHéritée de \inetpub.
UtilisateursLire & exécuter
Afficher le contenu du dossier
En lecture
Héritée de \inetpub.
TrustedInstallerContrôle totalHéritée de \inetpub.

\inetpub\history et ses sous-dossiers

Les utilisateurs / groupesAutorisations accordéesCommentaires
SYSTÈMEContrôle total
AdministrateursContrôle total

\inetpub\logs

Les utilisateurs / groupesAutorisations accordéesCommentaires
CRÉATEUR PROPRIÉTAIREAutorisations spécialesÉquivalent à contrôle total.
S’applique aux sous-dossiers et fichiers uniquement.
Héritée de \inetpub.
SYSTÈMEContrôle totalHéritée de \inetpub.
AdministrateursContrôle totalHéritée de \inetpub.
UtilisateursLire & exécuter
Afficher le contenu du dossier
En lecture
Héritée de \inetpub.
WMSvcAfficher le contenu du dossier
TrustedInstallerContrôle totalHéritée de \inetpub.

\inetpub\logs\FailedReqLogFiles

Les utilisateurs / groupesAutorisations accordéesCommentaires
IIS_USRSAutorisations spécialesAutorisations spéciales sont les suivantes :

Liste du dossier / lecture de données
Création de fichiers / écriture de données
Création de dossiers / Ajout de données
Attributs d’écriture
Écrire les attributs étendus
Suppression de sous-dossiers et fichiers
Supprimer
SYSTÈMEContrôle total
AdministrateursContrôle total

\inetpub\logs\wmsvc

Les utilisateurs / groupesAutorisations accordéesCommentaires
CRÉATEUR PROPRIÉTAIREAutorisations spécialesÉquivalent à contrôle total.
S’applique aux sous-dossiers et fichiers uniquement.
Héritée de \inetpub.
SYSTÈMEContrôle totalHéritée de \inetpub.
AdministrateursContrôle totalHéritée de \inetpub.
UtilisateursLire & exécuter
Afficher le contenu du dossier
En lecture
Héritée de \inetpub.
WMSvcModifier
Lire & exécuter
Afficher le contenu du dossier
En lecture
Écriture
Autorisation de dossier liste de contenu est héritée de \inetpub\logs.
TrustedInstallerContrôle totalHéritée de \inetpub.

\inetpub\temp

Les utilisateurs / groupesAutorisations accordéesCommentaires
CRÉATEUR PROPRIÉTAIREAutorisations spécialesÉquivalent à contrôle total.
S’applique aux sous-dossiers et fichiers uniquement.
Héritée de \inetpub.
SYSTÈMEContrôle totalHéritée de \inetpub.
AdministrateursContrôle totalHéritée de \inetpub.
UtilisateursLire & exécuter
Afficher le contenu du dossier
En lecture
Héritée de \inetpub.
TrustedInstallerContrôle totalHéritée de \inetpub.

\inetpub\temp\appPools

Les utilisateurs / groupesAutorisations accordéesCommentaires
CRÉATEUR PROPRIÉTAIREAutorisations spécialesÉquivalent à contrôle total.
S’applique aux sous-dossiers et fichiers uniquement.
SYSTÈMEContrôle total
AdministrateursContrôle total
IIS_USRSLire & exécuterHéritée de \inetpub.

\inetpub\temp\ASP compilé des modèles

Les utilisateurs / groupesAutorisations accordéesCommentaires
Par défaut, aucune autorisation n’est affectées à ce dossier.

Fichiers compressés temporaires \inetpub\temp\IIS

Les utilisateurs / groupesAutorisations accordéesCommentaires
SYSTÈMEContrôle total
AdministrateursContrôle total
IIS_USRSContrôle total

\inetpub\wwwroot

Les utilisateurs / groupesAutorisations accordéesCommentaires
CRÉATEUR PROPRIÉTAIREAutorisations spécialesÉquivalent à contrôle total.
S’applique aux sous-dossiers et fichiers uniquement.
Héritée de \inetpub.
SYSTÈMEContrôle totalHéritée de \inetpub.
AdministrateursContrôle totalHéritée de \inetpub.
UtilisateursLire & exécuter
Afficher le contenu du dossier
En lecture
Héritée de \inetpub.
IIS_USRSLire & exécuter
TrustedInstallerContrôle totalHéritée de \inetpub.

\inetpub\wwwroot\aspnet_client

Les utilisateurs / groupesAutorisations accordéesCommentaires
Tout le mondeEn lecture
SYSTÈMEContrôle total
AdministrateursContrôle total
UtilisateursLire & exécuter
Afficher le contenu du dossier
En lecture

%windir%\system32\inetsrv

Les utilisateurs / groupesAutorisations accordéesCommentaires
CRÉATEUR PROPRIÉTAIREAutorisations spécialesÉquivalent à contrôle total.
S’applique aux sous-dossiers et fichiers uniquement.
SYSTÈMEAutorisations spécialesUniquement les autorisations spéciales pour le compte du système pour ce dossier sont les suivants :

Parcourir le dossier / exécuter le fichier
Liste du dossier / lecture de données
Attributs de lecture
Lecture des attributs étendus
Création de fichier / écriture de données
Création de dossiers / Ajout de données
Attributs d’écriture
Écrire les attributs étendus
Supprimer
Autorisations de lecture

Autorisation spéciale autorisée pour système de fichiers et de sous-dossiers uniquement est équivalente à contrôle total.
AdministrateursAutorisations spécialesUniquement les autorisations spéciales autorisées pour le groupe Administrateurs pour ce dossier sont les suivants :

Parcourir le dossier / exécuter le fichier
Liste du dossier / lecture de données
Attributs de lecture
Lecture des attributs étendus
Création de fichier / écriture de données
Création de dossiers / Ajout de données
Attributs d’écriture
Écrire les attributs étendus
Supprimer
Autorisations de lecture

Autorisation spéciale autorisée pour le groupe d’administrateurs pour les sous-dossiers et fichiers uniquement est équivalente à contrôle total.
UtilisateursLire & exécuter
Afficher le contenu du dossier
En lecture
TrustedInstallerAutorisations spécialesLes autorisations sont équivalentes à contrôle total et s’appliquent à ce dossier et ses sous-dossiers.

%windir%\System32\inetsrv\0409

Les utilisateurs / groupesAutorisations accordéesCommentaires
CRÉATEUR PROPRIÉTAIREAutorisations spécialesÉquivalent à contrôle total.
S’applique aux sous-dossiers et fichiers uniquement.
Héritée de % windir%\System32\inetsrv.
SYSTÈMEContrôle totalHéritée de % windir%\System32\inetsrv.
AdministrateursContrôle totalHéritée de %windir%\System32\inetsrv
UtilisateursLire & exécuter
Afficher le contenu du dossier
En lecture
Héritée de %windir%\System32\inetsrv
TrustedInstallerAutorisations spécialesÉquivalent à contrôle total.
S’applique aux sous-dossiers et fichiers uniquement.
Héritée de %windir%\System32\inetsrv

%windir%\System32\inetsrv\config

Les utilisateurs / groupesAutorisations accordéesCommentaires
CRÉATEUR PROPRIÉTAIREAutorisations spécialesÉquivalent à contrôle total.
S’applique aux sous-dossiers et fichiers uniquement.
SYSTÈMEContrôle total
AdministrateursContrôle total
UtilisateursLire & exécuter
Afficher le contenu du dossier
En lecture
TrustedInstallerContrôle total
WMSvcEn lecture

%windir%\System32\inetsrv\config\Export

Les utilisateurs / groupesAutorisations accordéesCommentaires
CRÉATEUR PROPRIÉTAIREAutorisations spécialesÉquivalent à contrôle total.
S’applique aux sous-dossiers et fichiers uniquement.
SYSTÈMEContrôle total
AdministrateursContrôle total
TrustedInstallerContrôle total

%windir%\System32\inetsrv\config\schema

Les utilisateurs / groupesAutorisations accordéesCommentaires
CRÉATEUR PROPRIÉTAIREAutorisations spécialesÉquivalent à contrôle total.
S’applique aux sous-dossiers et fichiers uniquement.
SYSTÈMEAutorisations spécialesUniquement les autorisations spéciales pour le compte du système pour ce dossier sont les suivants :

Parcourir le dossier / exécuter le fichier
Liste du dossier / lecture de données
Attributs de lecture
Lecture des attributs étendus
Création de fichier / écriture de données
Création de dossiers / Ajout de données
Attributs d’écriture
Écrire les attributs étendus
Supprimer
Autorisations de lecture

Autorisation spéciale autorisée pour système de fichiers et de sous-dossiers uniquement est équivalente à contrôle total.
AdministrateursAutorisations spécialesUniquement les autorisations spéciales autorisées pour le groupe Administrateurs pour ce dossier sont les suivants :

Parcourir le dossier / exécuter le fichier
Liste du dossier / lecture de données
Attributs de lecture
Lecture des attributs étendus
Création de fichier / écriture de données
Création de dossiers / Ajout de données
Attributs d’écriture
Écrire les attributs étendus
Supprimer
Autorisations de lecture

Autorisation spéciale autorisée pour le groupe d’administrateurs pour les sous-dossiers et fichiers uniquement est équivalente à contrôle total.
UtilisateursLire & exécuter
Afficher le contenu du dossier
En lecture
TrustedInstallerAutorisations spécialesÉquivalent à contrôle total.
S’applique à ce dossier et ses sous-dossiers.

%windir%\System32\inetsrv\en-us

Les utilisateurs / groupesAutorisations accordéesCommentaires
CRÉATEUR PROPRIÉTAIREAutorisations spécialesÉquivalent à contrôle total.
S’applique aux sous-dossiers et fichiers uniquement.
SYSTÈMEAutorisations spécialesUniquement les autorisations spéciales pour le compte du système pour ce dossier sont les suivants :

Parcourir le dossier / exécuter le fichier
Liste du dossier / lecture de données
Attributs de lecture
Lecture des attributs étendus
Création de fichier / écriture de données
Création de dossiers / Ajout de données
Attributs d’écriture
Écrire les attributs étendus
Supprimer
Autorisations de lecture

Autorisation spéciale autorisée pour système de fichiers et de sous-dossiers uniquement est équivalente à contrôle total.
AdministrateursAutorisations spécialesUniquement les autorisations spéciales autorisées pour le groupe Administrateurs pour ce dossier sont les suivants :

Parcourir le dossier / exécuter le fichier
Liste du dossier / lecture de données
Attributs de lecture
Lecture des attributs étendus
Création de fichier / écriture de données
Création de dossiers / Ajout de données
Attributs d’écriture
Écrire les attributs étendus
Supprimer
Autorisations de lecture

Autorisation spéciale autorisée pour le groupe d’administrateurs pour les sous-dossiers et fichiers uniquement est équivalente à contrôle total.
UtilisateursLire & exécuter
Afficher le contenu du dossier
En lecture
TrustedInstallerAfficher le contenu du dossier
Autorisations spéciales
Équivalent à contrôle total.
S’applique à ce dossier et ses sous-dossiers.

%windir%\System32\inetsrv\History

Les utilisateurs / groupesAutorisations accordéesCommentaires
AdministrateursContrôle total
SYSTÈMEContrôle total

%windir%\System32\inetsrv\MetaBack

Les utilisateurs / groupesAutorisations accordéesCommentaires
AdministrateursContrôle total
SYSTÈMEContrôle total

Autorisations de Registre par défaut

Les tableaux de cette section répertorient les autorisations de Registre par défaut qui sont affectées lors de l’installation d’IIS 7.0, IIS 7.5, 8.0 d’IIS ou IIS 8.5. Lorsque les autorisations de lecture sont répertoriées pour les utilisateurs, les autorisations suivantes sont incluses :
  • Valeur de requête
  • Énumérer les sous-clés
  • Notifier
  • Contrôle en lecture

HKEY_LOCAL_MACHINE\Software\Microsoft\Inetmgr

Les utilisateurs / groupesAutorisations accordéesCommentaires
CRÉATEUR PROPRIÉTAIREAutorisations spécialesÉquivalent à contrôle total.
S’applique aux sous-clés uniquement.
SYSTÈMEContrôle total
AdministrateursContrôle total
UtilisateursEn lecture

HKEY_LOCAL_MACHINE\Software\Microsoft\InetStp

Les utilisateurs / groupesAutorisations accordéesCommentaires
CRÉATEUR PROPRIÉTAIREAutorisations spécialesÉquivalent à contrôle total.
S’applique aux sous-clés uniquement.
SYSTÈMEContrôle total
AdministrateursContrôle total
UtilisateursEn lecture

HKEY_LOCAL_MACHINE\Software\Microsoft\W3SVC

Les utilisateurs / groupesAutorisations accordéesCommentaires
CRÉATEUR PROPRIÉTAIREAutorisations spécialesÉquivalent à contrôle total.
S’applique aux sous-clés uniquement.
SYSTÈMEContrôle total
AdministrateursContrôle total
UtilisateursEn lecture

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ASP

Les utilisateurs / groupesAutorisations accordéesCommentaires
CRÉATEUR PROPRIÉTAIREAutorisations spécialesÉquivalent à contrôle total.
S’applique aux sous-clés uniquement.
SYSTÈMEContrôle total
AdministrateursContrôle total
UtilisateursEn lecture

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ASP.NET

Les utilisateurs / groupesAutorisations accordéesCommentaires
CRÉATEUR PROPRIÉTAIREAutorisations spécialesÉquivalent à contrôle total.
S’applique aux sous-clés uniquement.
SYSTÈMEContrôle total
AdministrateursContrôle total
UtilisateursEn lecture

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ASP.NET_2.0.50727

Les utilisateurs / groupesAutorisations accordéesCommentaires
CRÉATEUR PROPRIÉTAIREAutorisations spécialesÉquivalent à contrôle total.
S’applique aux sous-clés uniquement.
SYSTÈMEContrôle total
AdministrateursContrôle total
UtilisateursEn lecture

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\aspnet_state

Les utilisateurs / groupesAutorisations accordéesCommentaires
CRÉATEUR PROPRIÉTAIREAutorisations spécialesÉquivalent à contrôle total.
S’applique aux sous-clés uniquement.
SYSTÈMEContrôle total
AdministrateursContrôle total
UtilisateursEn lecture

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP

Les utilisateurs / groupesAutorisations accordéesCommentaires
CRÉATEUR PROPRIÉTAIREAutorisations spécialesÉquivalent à contrôle total.
S’applique aux sous-clés uniquement.
SYSTÈMEContrôle total
AdministrateursContrôle total
UtilisateursEn lecture

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\IISAdmin

Les utilisateurs / groupesAutorisations accordéesCommentaires
CRÉATEUR PROPRIÉTAIREAutorisations spécialesÉquivalent à contrôle total.
S’applique aux sous-clés uniquement.
SYSTÈMEContrôle total
AdministrateursContrôle total
UtilisateursEn lecture

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\W3SVC

Les utilisateurs / groupesAutorisations accordéesCommentaires
CRÉATEUR PROPRIÉTAIREAutorisations spécialesÉquivalent à contrôle total.
S’applique aux sous-clés uniquement.
SYSTÈMEContrôle total
AdministrateursContrôle total
UtilisateursEn lecture

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WAS

Les utilisateurs / groupesAutorisations accordéesCommentaires
CRÉATEUR PROPRIÉTAIREAutorisations spécialesÉquivalent à contrôle total.
S’applique aux sous-clés uniquement.
SYSTÈMEContrôle total
AdministrateursContrôle total
UtilisateursEn lecture
Remarque La clé WAS est pour le Service d’Activation des processus Windows. Ceci est une dépendance obligatoire et est installé avec IIS.

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WMsvc

Les utilisateurs / groupesAutorisations accordéesCommentaires
CRÉATEUR PROPRIÉTAIREAutorisations spécialesÉquivalent à contrôle total.
S’applique aux sous-clés uniquement.
SYSTÈMEContrôle total
AdministrateursContrôle total
UtilisateursEn lecture

Attributions de droits utilisateur par défaut Windows

Le tableau ci-dessous répertorie les stratégies de sécurité locale par défaut et les utilisateurs, les groupes ou les utilisateurs et les groupes qui sont affectés à la stratégie lors de l’installation d’IIS 7.0, IIS 7.5, 8.0 d’IIS ou IIS 8.5.

Droits de l’utilisateur Windows qui sont affectés par la stratégie de sécurité locale

Autorisations accordéesLes utilisateurs / groupes
Accéder à cet ordinateur à partir du réseauTout le monde
Administrateurs
Utilisateurs
Opérateurs de sauvegarde
Ajuster les quotas mémoire pour un processusSERVICE LOCAL
SERVICE DE RÉSEAU
Administrateurs
ApplicationPoolIdentity
Permettre le journal localeAdministrateurs
Utilisateurs
Opérateurs de sauvegarde
Outrepasser le contrôle deTout le monde
SERVICE LOCAL
SERVICE DE RÉSEAU
Administrateurs
Utilisateurs
Opérateurs de sauvegarde
Générer des détails d’audit de sécuritéApplicationPoolIdentity
Emprunter l’identité d’un client après l’authentificationSERVICE LOCAL
SERVICE DE RÉSEAU
Administrateurs
IIS_IUSRS
SERVICE
Ouvrez une session en tant que traitement par lotsAdministrateurs
Opérateurs de sauvegarde
Utilisateurs du journal de performances
IIS_IUSRS
Ouvrez une session en tant que serviceApplicationPoolIdentity
Remplacer un jeton niveau de processusSERVICE LOCAL
SERVICE DE RÉSEAU
ApplicationPoolIdentity
Propriétés

ID d'article : 981949 - Dernière mise à jour : 12 janv. 2017 - Révision : 1

Microsoft Internet Information Services 7.0, Microsoft Internet Information Services 7.5, Microsoft Internet Information Services 8.0

Commentaires