כיצד להגדיר הרשאות NTFS מינימום וזכויות משתמש עבור IIS 5. x או ב- IIS 6.0

מאמר זה מתאר כיצד להגדיר את ההרשאות המינימליות הדרושות עבור ייעודי Internet Information Services (IIS) 5.0, IIS 5.1, או שרת האינטרנט של IIS 6.0.

המגבלה עבור מאמר זה

אזהרה מאמר זה תקף רק עבור שרתי אינטרנט ייעודי המשתמשות פונקציונליות בסיסית של IIS, כגון המשמש את תוכן HTML סטטי תוכן או פשוט Active Server Pages (ASP). דרישות הרשאה המתוארות במאמר זה הם ספציפיים רק ההרשאות הבסיסיות עבור שרת אינטרנט ייעודי שבו פועל IIS 5. x או ב- IIS 6.0. מאמר זה לא שקול Microsoft אחרים ומוצרים של ספקים חיצוניים הדורשים הרשאות שונות. באפשרותך לסקור את התיעוד ושרת יישומים עבור דרישות אבטחה ספציפיות. אנו ממליצים לך לעיין במאמרים הקשורים הספציפיות עבור התפקידים של שרת האינטרנט שלך.

בדיקות שלבים לפני תצורות הרשאות בסביבת ייצור

לפני שתבצע שינויים הרשאה בשרת אינטרנט הייצור, אנו ממליצים שתבצע את הפעולות הבאות:

  1. הפעל הגירסה העדכנית ביותר של IIS Lockdown Tool. התוכניות והשירותים הבאים הותקנו כחלק מחבילת מחשב ששימש מחשב שרת אבטחה לאחר הענקת ההרשאות המפורטות במאמר זה:

    • אינדקס שירותים

    • שירותי מסוף

    • מאתר הבאגים בקבצי script

    • IIS

      • קבצים משותפים

      • תיעוד

      • הרחבות השרת של FrontPage 2000

      • מנהל שירותי אינטרנט (HTML)

      • WWW

      • FTP

  2. ביצוע בדיקות פונקציונלי הבאים:

    • מסמכי היפר-טקסט (HTML)

    • Active Server Pages (ASP)

    • הרחבות השרת של FrontPage, כגון התחברות, עריכה ושמירה, אם FPSE זמין בעת שימוש בכלי נעילה

    • שכבות ב- Socket מאובטח (SSL) חיבורים

להעניק בעלות ואת הרשאת מנהל המערכת וכדי

לשם כך, בצע את השלבים הבאים:

  1. פתח את סייר Windows. כדי לעשות זאת, לחץ על התחל, לחץ על תוכניותולאחר מכן לחץ סייר Windows.

  2. הרחב את המחשב שלי.

  3. לחץ לחיצה ימנית על כונן המערכת (בדרך כלל זהו כונן C) ולאחר מכן לחץ על מאפיינים.

  4. לחץ על הכרטיסיה אבטחה ולאחר מכן לחץ על מתקדם כדי לפתוח את תיבת הדו-שיח הגדרות בקרת Access עבור דיסק מקומי .

  5. לחץ על הכרטיסייה בעלים , לחץ כדי לסמן את תיבת הסימון החלף בעלים בגורמים מכילים משניים ובאובייקטים ולאחר מכן לחץ על החל. אם אתה מקבל את הודעת השגיאה הבאה, לחץ על ' המשך':

    אירעה שגיאה בעת החלת מידע אבטחה על %systemdrive%\Pagefile.sys

  6. אם אתה מקבל את הודעת השגיאה הבאה, לחץ על כן:

    אין לך הרשאה לקרוא את התוכן של הספריה %systemdrive%\System מידע אודות אמצעי אחסון - האם ברצונך להחליף את ההרשאה ספריה - כל הרשאה יוחלף המעניקות לך שליטה מלאה

  7. לחץ על אישור כדי לסגור את תיבת הדו-שיח.

  8. לחץ על הוסף.

  9. הוסף את המשתמשים הבאים ולאחר מכן להעניק להם הרשאות NTFS של שליטה מלאה:

    • מנהל

    • System

    • הבעלים של היוצר

  10. לאחר שהוספת אלה הרשאות NTFS, לחץ על מתקדם, לחץ כדי לבחור בתיבת הסימון לאפס את ההרשאות בכל אובייקטי הצאצא ולאפשר הפצת הרשאות הניתנות להעברה בירושה ולאחר מכן לחץ על החל.

  11. אם אתה מקבל את הודעת השגיאה הבאה, לחץ על ' המשך':

    אירעה שגיאה בעת החלת מידע אבטחה על %systemdrive%\Pagefile.sys

  12. לאחר איפוס הרשאות NTFS, לחץ על אישור.

  13. לחץ על הקבוצה Everyone , לחץ על הסרולאחר מכן לחץ על אישור.

  14. פתח את המאפיינים עבור התיקיה קבצים Files\Common %systemdrive%\Program, ולאחר מכן לחץ על הכרטיסיה אבטחה , הוסף החשבון המשמש עבור גישה אנונימית. כברירת מחדל, זהו החשבון IUSR_ < שם מחשב >. לאחר מכן, הוסף את הקבוצה ' משתמשים. ודא כי נבחרו רק את הפעולות הבאות:

    • קריאה והפעלה

    • הצגת תוכן תיקיה

    • קריאה

  15. פתח את המאפיינים עבור ספריית הבסיס המכיל את האתר שלך תוכן. כברירת מחדל, זוהי התיקיה %systemdrive%\Inetpub\Wwwroot. לחץ על הכרטיסייה אבטחה , הוסף חשבון IUSR_ < שם מחשב > וקבוצת משתמשים ולאחר מכן ודא כי רק הבאות נבחרו:

    • קריאה והפעלה

    • הצגת תוכן תיקיה

    • קריאה

  16. אם ברצונך להעניק הרשאת כתיבה NTFS עבור Inetpub\FTProot או את נתיב הספריה עבור אתרים או אתר FTP שלך, חזור על שלב 15. הערה לא מומלץ להעניק הרשאות NTFS לכתוב לחשבון האנונימי בכל ספריות, כולל ספריות בשימוש על-ידי משתמש שירות FTP. מצב זה עלול לגרום נתונים מיותרים להעלאה לשרת האינטרנט שלך.

לבטל ירושה בספריות המערכת

לשם כך, בצע את השלבים הבאים:

  1. בתיקייה %systemroot%\System32, בחר את כל התיקיות מלבד הבאות:

    • Inetsrv

    • Certsrv (אם קיים)

    • COM

  2. לחץ לחיצה ימנית על התיקיות הנותרות, לחץ על מאפייניםולאחר מכן לחץ על הכרטיסיה אבטחה .

  3. לחץ כדי לנקות את תיבת הסימון אפשר העברת הרשאות ניתנות לירושה , לחץ על העתקולאחר מכן לחץ על אישור.

  4. בתיקיה % systemroot %, בחר את כל התיקיות מלבד הבאות:

    • הרכבה (אם קיים)

    • קבצי תוכניות שהורדו מהאינטרנט

    • עזרה

    • Microsoft.NET (אם קיים)

    • דפי אינטרנט לא מקוונים

    • System32

    • משימות

    • Temp

    • אינטרנט

  5. לחץ לחיצה ימנית על התיקיות הנותרות, לחץ על מאפייניםולאחר מכן לחץ על הכרטיסיה אבטחה .

  6. לחץ כדי לנקות את תיבת הסימון אפשר העברת הרשאות ניתנות לירושה , לחץ על העתקולאחר מכן לחץ על אישור.

  7. החלת הרשאות באופן הבא:

    1. פתח את המאפיינים של התיקייה % systemroot %, לחץ על הכרטיסיה אבטחה , הוספת חשבונות IUSR_ < שם מחשב > ו- < שם מחשב > IWAM_ וקבוצת משתמשים ולאחר מכן ודא כי רק להלן נבחר:

      • קריאה והפעלה

      • הצגת תוכן תיקיה

      • קריאה

    2. פתח את המאפיינים של התיקייה %systemroot%\Temp, בחר את החשבון IUSR_ < שם מחשב > (חשבון זה כבר נמצאת מכיוון שהוא מקבל מהתיקיה Winnt) ולאחר מכן לחץ על כדי לבחור את תיבת הסימון שנה . חזור על שלב זה עבור חשבון IWAM_ < שם מחשב > ו קבוצת משתמשים .

    3. אם לקוחות הרחבת השרת של FrontPage כגון FrontPage או Microsoft Visual InterDev נמצאים בשימוש, פתח את המאפיינים של התיקייה %systemdrive%\Inetpub\Wwwroot, בחר את הקבוצה ' משתמשים מאומתים , בחר את האפשרויות הבאות ולאחר מכן לחץ על אישור :

      • שנה

      • קריאה והפעלה

      • הצגת תוכן תיקיה

      • קריאה

      • כתיבה

הרשאות NTFS

הטבלה הבאה מפרטת את ההרשאות שיוחל בעת שתבצע את השלבים בסעיף "הפוך ירושה בספריות המערכת". טבלה זו היא לעיון בלבד. כדי להחיל את ההרשאות בטבלה הבאה, בצע את הפעולות הבאות:

  1. פתח את סייר Windows. כדי לעשות זאת, לחץ על התחל, לחץ על תוכניות, לחץ על עזריםולאחר מכן לחץ על סייר Windows.

  2. הרחב את המחשב שלי.

  3. לחץ לחיצה ימנית על % systemroot %ולאחר מכן לחץ על מאפיינים.

  4. לחץ על הכרטיסיה אבטחה ולאחר מכן לחץ על מתקדם.

  5. לחץ פעמיים על הרשאהולאחר מכן בחר את ההגדרה המתאימה מתוך הרשימה החל .

הערה עמודה ב "חלות על", מונח שהמוגדר כברירת מחדל מתייחס "זה התיקיה, תיקיות משנה וקבצים."

ספריה

Users\Groups

הרשאות

החל על

%systemroot%\ (c:\winnt)

מנהל

שליטה מלאה

ברירת מחדל

System

שליטה מלאה

ברירת מחדל

משתמשים

קריאה, ביצוע

ברירת מחדל

%systemroot%\system32

מנהלים

שליטה מלאה

ברירת מחדל

System

שליטה מלאה

ברירת מחדל

משתמשים

קריאה, ביצוע

ברירת מחדל

%systemroot%\system32\inetsrv

מנהלים

שליטה מלאה

ברירת מחדל

System

שליטה מלאה

ברירת מחדל

משתמשים

קריאה, ביצוע

ברירת מחדל

Inetpub\adminscripts

מנהלים

שליטה מלאה

ברירת מחדל

Inetpub\urlscan (אם קיים)

מנהלים

שליטה מלאה

ברירת מחדל

System

שליטה מלאה

ברירת מחדל

%systemroot%\system32\inetsrv\metaback

מנהלים

שליטה מלאה

ברירת מחדל

System

שליטה מלאה

ברירת מחדל

%systemroot%\help\iishelp\common

מנהלים

שליטה מלאה

תיקיה זו וקבצים

System

שליטה מלאה

תיקיה זו וקבצים

IWAM_<Machinename>

קריאה, ביצוע

תיקיה זו וקבצים

רשת

שליטה מלאה

תיקיה זו וקבצים

שירות

תיקיה זו וקבצים

משתמשים

קריאה, ביצוע

תיקיה זו וקבצים

Inetpub\wwwroot (או ספריות תוכן)

מנהלים

שליטה מלאה

תיקיה זו וקבצים

System

שליטה מלאה

תיקיה זו וקבצים

IWAM_<MachineName>

קריאה, ביצוע

תיקיה זו וקבצים

שירות

קריאה, ביצוע

תיקיה זו וקבצים

רשת

קריאה, ביצוע

תיקיה זו וקבצים

Optional**:

משתמשים

קריאה, ביצוע

תיקיה זו וקבצים

הערה אם אתה משתמש הרחבות השרת של FrontPage, Authenticated Users או הקבוצה Users יש הרשאת ה-NTFS שינוי כדי ליצור, לשנות שם, לכתוב או כדי לספק פונקציונליות מפתח ייתכן זקוק להן מתוך FrontPage-סוג של לקוח, כגון Visual InterDev 6.0 או ב- FrontPage 2002.

הענק הרשאות הרישום

  1. לחץ על התחל, לחץ על הפעלה, הקלד regedt32ולאחר מכן לחץ על אישור. אל תשתמש בעורך הרישום מכיוון שהוא אינו מאפשר לך לשנות את ההרשאות ב- Windows 2000.

  2. בעורך הרישום, אתר ובחר HKEY_LOCAL_MACHINE.

  3. הרחב את המערכת, הרחב CurrentControlSetולאחר מכן הרחב את השירותים.

  4. בחר את מפתח IISADMIN , לחץ על אבטחה (או הקש ALT + S), ולאחר מכן בחר הרשאות (או הקש P).

  5. לחץ כדי לנקות את תיבת הסימון אפשר העברת הרשאות ניתנות לירושה מפריט אב לאובייקט זה , לחץ על העתקולאחר מכן הסר משתמשים כל פרט:

    • מנהלי מערכת (לאפשר קריאה והרשאת שליטה מלאה)

    • מערכת (לאפשר קריאה והרשאת שליטה מלאה)

  6. לחץ על אישור.

  7. חזור על השלבים עבור המפתח MSFTPSVC .

  8. בחר את מפתח W3SVC , לחץ על אבטחהולאחר מכן לחץ על הרשאות.

  9. לחץ כדי לנקות את תיבת הסימון אפשר העברת הרשאות ניתנות לירושה מפריט אב לאובייקט זה ולאחר מכן הסר ערכים כל פרט:

    • מנהלי מערכת (לאפשר קריאה והרשאת שליטה מלאה)

    • מערכת (לאפשר קריאה והרשאת שליטה מלאה)

    • רשת (קריאה)

    • שירות (קריאה)

    • IWAM_ < שם מחשב > (קריאה)

  10. לחץ על אישור.

הרישום

הטבלה הבאה מפרטת את ההרשאות שיוחל בעת שתבצע את השלבים במקטע "הענקת הרשאות הרישום". טבלה זו היא לעיון בלבד. הערה ראשי התיבות HKLM מסמל HKEY_LOCAL_MACHINE.

מיקום

Users\Groups

הרשאות

HKLM\System\CurrentControlSet\Services\IISAdmin

מנהלים

שליטה מלאה

System

שליטה מלאה

HKLM\System\CurrentControlSet\Services\MsFtpSvc

מנהלים

שליטה מלאה

System

שליטה מלאה

HKLM\System\CurrentControlSet\Services\w3svc

מנהלים

שליטה מלאה

System

שליטה מלאה

IWAM_<MachineName>

קריאה

הענקת זכויות במדיניות האבטחה המקומית

  1. לחץ על התחל, לחץ על הגדרותולאחר מכן לחץ על לוח הבקרה.

  2. לחץ פעמיים על כלי ניהולולאחר מכן לחץ פעמיים על מדיניות אבטחה מקומית.

  3. בתיבת הדו-שיח ' הגדרות אבטחה מקומיות ', הרחב את מדיניות מקומיתולאחר מכן לחץ על הקצאת הרשאות משתמש.

  4. שינוי המדיניות המתאימה:

    1. לחץ פעמיים על המדיניות.

    2. בחר ולאחר מכן לחץ על הסר עבור כל משתמש שיכול הוא אינו מופיע בטבלה.

    3. הוסף כל משתמש שיכול אינו רשום. לשם כך, לחץ הוספהולאחר מכן בחר המשתמש בתיבת הדו-שיח בחירת משתמשים או קבוצות .

שים לב כי מכיוון מדיניות בקר קבוצת המחשבים עוקפת מדיניות מקומית, עליך לוודא כי הגדרת מדיניות יעילה תואם את הגדרת מדיניות מקומית.

מדיניות

הטבלה הבאה מפרטת את ההרשאות שיוחל בעת שתבצע את השלבים במקטע "הענקת זכויות במדיניות האבטחה המקומית".

מדיניות

משתמשים

כניסה באופן מקומי

מנהלים

IUSR_ < שם מחשב > (אנונימי)

משתמשים (דרוש אימות)

Access למחשב זה מהרשת

מנהלים

ASPNet (.NET Framework)

IUSR_ < שם מחשב > (אנונימי)

IWAM_<MachineName>

משתמשים

היכנס כמשימת אצווה

ASPNet

רשת

IUSR_<MachineName>

IWAM_<MachineName>

שירות

כניסה כשירות

ASPNet

רשת

עקוף בדיקת מעבר

מנהלים

IUSR_ < שם מחשב > (אנונימי)

משתמשים (Basic, משולב, תקציר)

IWAM_<MachineName>

הפניות

לקבלת מידע נוסף אודות אופן שחזור בהרשאות NTFS המהווה ברירת מחדל עבור Windows 2000, לחץ על מספרי המאמרים הבאים כדי להציג את המאמרים מתוך מאגר הידע Microsoft Knowledge Base:

266118 כיצד לשחזר את הרשאות NTFS המהווה ברירת מחדל עבור Windows 2000

הרשאות NTFS מינימום 260985 הנדרשת לשימוש CDONTS

324068 כיצד להגדיר הרשאות IIS עבור אובייקטים מסוימים

815153 כיצד לקבוע את התצורה של הרשאות קבצים NTFS עבור אבטחה של יישומי ASP.NET לקבלת מידע נוסף אודות הרשאות מתאימות עבור IIS 6.0, לחץ על מספר המאמר הבא כדי להציג את המאמר הרלוונטי מתוך Microsoft Knowledge Base:

812614 ברירות מחדל של הרשאות וזכויות משתמש עבור IIS 6.0

מידע נוסף

מאמר זה אינו מטפל אחד דרישות אבטחה ספציפיות של תפקידי השרת הבאות או יישומים:

  • בקר קבוצת מחשבים של Windows 2000

  • Microsoft Exchange 5.5 או ב- Microsoft Exchange 2000 Outlook Web Access

  • שרת לעסק קטן Microsoft 2000

  • Microsoft SharePoint Portal או שירותי צוות

  • שרת מסחר Microsoft 2000 או שרת מסחר Microsoft 2002

  • Microsoft BizTalk Server 2000 או Microsoft BizTalk Server 2002

  • שרת ניהול תוכן של Microsoft 2000 או תוכן של Microsoft Management Server 2002

  • 2000 מרכז היישום של Microsoft

  • יישומי צד שלישי התלויים הרשאות נוספות

זקוק לעזרה נוספת?

הרחב את הכישורים שלך
סייר בהדרכה
קבל תכונות חדשות לפני כולם
הצטרף למשתתפי Microsoft insider

האם מידע זה היה שימושי?

תודה על המשוב!

תודה על המשוב! נראה שכדאי לקשר אותך לאחד מנציגי התמיכה של Office.

×