Cara menetapkan minimum izin NTFS dan hak pengguna untuk IIS 5.x atau IIS 6.0

Artikel ini menjelaskan cara menetapkan izin minimum yang diperlukan untuk khusus layanan informasi Internet (IIS) 5.0, IIS 5.1 atau server IIS 6.0 Web.

Batasan untuk artikel ini

Peringatan Artikel ini hanya berlaku untuk khusus server Web yang menggunakan IIS fungsionalitas dasar, seperti menyajikan konten HTML statis konten atau sederhana Active Server Pages (ASP). Persyaratan izin yang dijelaskan di artikel ini spesifik hanya dengan izin dasar untuk sebuah Web server yang menjalankan IIS 5. x atau IIS 6.0. Artikel ini tidak menganggap Microsoft dan produk pihak ketiga lainnya yang memerlukan izin yang berbeda. Anda dapat memeriksa dokumentasi server dan aplikasi untuk persyaratan keamanan yang spesifik. Kami menyarankan Anda mengkaji artikel terkait yang khusus untuk peran server Web Anda.

Pengujian langkah sebelumnya konfigurasi izin di lingkungan produksi

Sebelum Anda mengubah izin pada server Web produksi, kami sarankan Anda melakukan langkah-langkah berikut ini:

  1. Menjalankan versi terbaru dari alat penguncian IIS. Program dan layanan berikut ini diinstal sebagai bagian dari suite uji yang digunakan untuk menguji keamanan server setelah memberikan izin yang diuraikan dalam artikel ini:

    • Layanan indeks

    • Layanan Terminal

    • Script Debugger

    • IIS

      • File Umum

      • Dokumentasi

      • Ekstensi FrontPage Server 2000

      • Manajer Layanan Internet (HTML)

      • WWW

      • FTP

  2. Lakukan tes fungsional berikut ini:

    • Dokumen hypertext (HTML)

    • Active Server Pages (ASP)

    • Ekstensi Server FrontPage, seperti menyambung, mengedit, dan menyimpan, jika FPSE diaktifkan saat Anda menggunakan penguncian alat

    • Lapisan soket aman (SSL) sambungan

Memberikan kepemilikan dan izin administrator dan sistem

Untuk melakukannya, ikuti langkah-langkah berikut ini:

  1. Buka Windows Explorer. Untuk melakukannya, klik mulai, klik program, dan kemudian klik Windows Explorer.

  2. Memperluas Komputer Saya.

  3. Klik kanan kandar sistem (hal ini biasanya kandar C), dan kemudian klik properti.

  4. Klik tab keamanan , dan kemudian klik lanjut untuk membuka kotak dialog Pengaturan kontrol akses untuk Disk lokal .

  5. Klik tab pemilik , klik untuk memilih kotak centang Ganti pemilik pada kontainer Sub dan objek , dan kemudian klik Terapkan. Jika Anda menerima pesan galat berikut ini, klik Lanjutkan:

    Telah terjadi galat menerapkan informasi keamanan untuk %systemdrive%\Pagefile.sys

  6. Jika Anda menerima pesan galat berikut ini, klik ya:

    Anda tidak memiliki izin untuk membaca isi direktori %systemdrive%\System Volume informasi - apakah Anda ingin mengganti izin direktori - semua izin akan diganti dengan memberikan Anda kontrol penuh

  7. Klik OK untuk menutup kotak dialog.

  8. Klik Tambahkan.

  9. Menambahkan pengguna berikut, dan kemudian memberi izin NTFS kontrol penuh:

    • Administrator

    • Sistem

    • Pemilik Creator

  10. Setelah Anda menambahkan izin NTFS ini, klik lanjut, klik untuk memilih kotak centang mereset izin di semua objek anak-anak dan mengaktifkan penyebaran diwariskan izin , dan kemudian klik Terapkan.

  11. Jika Anda menerima pesan galat berikut ini, klik Lanjutkan:

    Telah terjadi galat menerapkan informasi keamanan untuk %systemdrive%\Pagefile.sys

  12. Setelah Anda me-reset izin NTFS, klik OK.

  13. Klik Grup siapa saja , klik Hapus, dan kemudian klik OK.

  14. Buka properti untuk map berkas Files\Common %systemdrive%\Program, dan kemudian klik keamanan tab. Tambah akun yang digunakan untuk akses anonim. Secara asali, ini adalah account IUSR_ < MachineName >. Kemudian, tambahkan grup pengguna. Pastikan bahwa hanya berikut telah dipilih:

    • Baca & eksekusi

    • Buat Daftar Isi Map

    • Baca

  15. Buka properti untuk direktori root yang memegang konten Web Anda. Secara asali, ini adalah %systemdrive%\Inetpub\Wwwroot folder. Klik tab keamanan , tambahkan akun IUSR_ < MachineName > dan grup pengguna, dan kemudian pastikan bahwa hanya berikut telah dipilih:

    • Baca & eksekusi

    • Buat Daftar Isi Map

    • Baca

  16. Jika Anda ingin memberikan izin NTFS menulis Inetpub\FTProot atau jalur direktori situs FTP atau situs, ulangi langkah 15. Catatan Kami tidak menyarankan Anda memberi izin NTFS menulis ke akun anonim di direktori apa pun, termasuk direktori yang digunakan oleh menggunakan layanan FTP. Ini dapat menyebabkan data yang tidak perlu upload ke server Web Anda.

Nonaktifkan warisan dalam direktori sistem

Untuk melakukannya&comma; ikuti langkah-langkah berikut ini&colon;

  1. Di %systemroot%\System32 folder, pilih semua map kecuali berikut ini:

    • Inetsrv

    • Certsrv (jika ada)

    • COM

  2. Klik kanan folder yang tersisa, klik properti, dan kemudian klik tab keamanan .

  3. Klik untuk mengosongkan kotak centang Bolehkan diwariskan izin , klik Salindan kemudian klik OK.

  4. Dalam map % systemroot %, pilih semua map kecuali berikut ini:

    • Rakitan (jika ada)

    • Berkas Program yang diunduh

    • Tolong

    • Microsoft.NET (jika ada)

    • Halaman Web offline

    • System32

    • Tugas

    • Temp

    • Web

  5. Klik kanan folder yang tersisa, klik properti, dan kemudian klik tab keamanan .

  6. Klik untuk mengosongkan kotak centang Bolehkan diwariskan izin , klik Salindan kemudian klik OK.

  7. Menerapkan izin berikut ini:

    1. Buka properti untuk map % systemroot %, klik tab keamanan , tambahkan akun IUSR_ < MachineName > dan IWAM_ < MachineName > dan grup pengguna , dan kemudian pastikan bahwa hanya berikut ini adalah dipilih:

      • Baca & eksekusi

      • Buat Daftar Isi Map

      • Baca

    2. Buka properti folder %systemroot%\Temp, pilih akun IUSR_ < MachineName > (akun ini sudah ada karena mewarisi dari Winnt folder), dan kemudian klik untuk memilih kotak centang modifikasi . Ulangi langkah ini untuk account IWAM_ < MachineName > dan Grup pengguna .

    3. Jika klien perluasan Server FrontPage seperti FrontPage atau Microsoft Visual InterDev yang sedang digunakan, buka properti folder %systemdrive%\Inetpub\Wwwroot, pilih kelompok Pengguna yang diotentikasi , pilih berikut ini, dan kemudian klik OK :

      • Mengubah

      • Baca & eksekusi

      • Buat Daftar Isi Map

      • Baca

      • Tulis

Izin NTFS

Tabel berikut mencantumkan izin yang akan diterapkan ketika Anda mengikuti langkah-langkah di bagian "Nonaktifkan warisan dalam direktori sistem". Tabel ini adalah untuk referensi saja. Untuk menerapkan izin pada tabel berikut ini, ikuti langkah-langkah berikut:

  1. Buka Windows Explorer. Untuk melakukannya, klik mulai, klik program, klik aksesori, dan kemudian klik Windows Explorer.

  2. Memperluas Komputer Saya.

  3. Klik kanan % systemroot %, dan kemudian klik properti.

  4. Klik tab keamanan , dan kemudian klik lanjut.

  5. Klik dua kali izin, dan kemudian pilih pengaturan yang sesuai dari Menerapkan ke daftar.

Catatan Kolom di "berlaku untuk", istilah Default merujuk ke "Folder, subfolder, dan file."

Direktori

Users\Groups

Izin

Berlaku untuk

%systemroot%\ (c:\winnt)

Administrator

Kontrol penuh

Default

Sistem

Kontrol penuh

Default

Pengguna

Membaca, eksekusi

Default

%systemroot%\system32

Administrator

Kontrol penuh

Default

Sistem

Kontrol penuh

Default

Pengguna

Membaca, eksekusi

Default

%systemroot%\system32\inetsrv

Administrator

Kontrol penuh

Default

Sistem

Kontrol penuh

Default

Pengguna

Membaca, eksekusi

Default

Inetpub\adminscripts

Administrator

Kontrol penuh

Default

Inetpub\urlscan (jika ada)

Administrator

Kontrol penuh

Default

Sistem

Kontrol penuh

Default

%systemroot%\system32\inetsrv\metaback

Administrator

Kontrol penuh

Default

Sistem

Kontrol penuh

Default

%systemroot%\help\iishelp\common

Administrator

Kontrol penuh

Map dan berkas

Sistem

Kontrol penuh

Map dan berkas

IWAM_<Machinename>

Membaca, eksekusi

Map dan berkas

Jaringan

Kontrol penuh

Map dan berkas

Layanan

Map dan berkas

Pengguna

Membaca, eksekusi

Map dan berkas

Inetpub\wwwroot (atau direktori konten)

Administrator

Kontrol penuh

Map dan berkas

Sistem

Kontrol penuh

Map dan berkas

IWAM_<MachineName>

Membaca, eksekusi

Map dan berkas

Layanan

Membaca, eksekusi

Map dan berkas

Jaringan

Membaca, eksekusi

Map dan berkas

Optional**:

Pengguna

Membaca, eksekusi

Map dan berkas

Catatan Jika Anda menggunakan ekstensi Server FrontPage, diotentikasi pengguna atau grup pengguna harus memiliki izin NTFS perubahan membuat, mengubah nama, menulis, atau menyediakan fungsionalitas yang pengembang mungkin harus memiliki dari jenis FrontPage klien, seperti Visual InterDev 6.0 atau FrontPage 2002.

Berikan izin pada registri

  1. Klik mulai, klik Jalankan, ketik regedt32, dan kemudian klik OK. Jangan menggunakan Penyunting registri karena tidak mengizinkan Anda mengubah izin pada Windows 2000.

  2. Di Penyunting registri, Cari dan pilih HKEY_LOCAL_MACHINE.

  3. Memperluas sistem, luaskan CurrentControlSet, dan kemudian rentangkan Layanan.

  4. Pilih kunci IISADMIN , klik keamanan (atau tekan ALT + S), kemudian pilih Izin (atau tekan P).

  5. Klik untuk mengosongkan kotak centang Bolehkan diwariskan izin dari orang tua untuk dialihkan ke objek ini , klik Salindan kemudian Hapus semua pengguna kecuali:

    • Administrator (memungkinkan membaca dan kontrol penuh)

    • Sistem (memungkinkan membaca dan kontrol penuh)

  6. Klik OK.

  7. Ulangi langkah-langkah untuk kunci MSFTPSVC .

  8. Pilih kunci W3SVC , klik keamanan, dan kemudian klik izin.

  9. Klik untuk mengosongkan kotak centang Bolehkan diwariskan izin dari orang tua untuk dialihkan ke objek ini , dan kemudian Hapus semua entri kecuali:

    • Administrator (memungkinkan membaca dan kontrol penuh)

    • Sistem (memungkinkan membaca dan kontrol penuh)

    • Jaringan (Baca)

    • Layanan (Baca)

    • IWAM_ < MachineName > (Baca)

  10. Klik OK.

Registri

Tabel berikut mencantumkan izin yang akan diterapkan ketika Anda mengikuti langkah-langkah di bagian "Pemberian izin di registri". Tabel ini adalah untuk referensi saja. Catatan Akronim HKLM singkatan HKEY_LOCAL_MACHINE.

Lokasi

Users\Groups

Izin

HKLM\System\CurrentControlSet\Services\IISAdmin

Administrator

Kontrol penuh

Sistem

Kontrol penuh

HKLM\System\CurrentControlSet\Services\MsFtpSvc

Administrator

Kontrol penuh

Sistem

Kontrol penuh

HKLM\System\CurrentControlSet\Services\w3svc

Administrator

Kontrol penuh

Sistem

Kontrol penuh

IWAM_<MachineName>

Baca

Grant hak dalam kebijakan keamanan lokal

  1. Klik mulai, klik pengaturan, dan kemudian klik Panel kontrol.

  2. Klik dua kali Alat administratif, dan kemudian klik dua kali Kebijakan keamanan lokal.

  3. Di kotak dialog Tataan keamanan lokal , memperluas Kebijakan lokal, dan kemudian klik Penetapan hak pengguna.

  4. Mengubah kebijakan yang sesuai:

    1. Klik dua kali kebijakan.

    2. Pilih dan kemudian klik Hapus untuk setiap pengguna yang tidak tercantum dalam tabel.

    3. Tambahkan pengguna yang tidak terdaftar. Untuk melakukannya, klik Tambah, dan kemudian pilih pengguna di kotak dialog pilih pengguna atau grup .

Perhatikan bahwa karena kebijakan pengontrol domain mengesampingkan kebijakan lokal, Anda harus memastikan bahwa Setelan kebijakan efektif sesuai dengan Pengaturan kebijakan lokal.

Kebijakan

Tabel berikut mencantumkan izin yang akan diterapkan ketika Anda mengikuti langkah-langkah di bagian "Hibah hak dalam kebijakan keamanan lokal".

Kebijakan

Pengguna

Log masuk secara lokal

Administrator

IUSR_ < MachineName > (anonim)

Pengguna (otentikasi)

Mengakses komputer ini dari jaringan

Administrator

ASPNet (.NET Framework)

IUSR_ < MachineName > (anonim)

IWAM_<MachineName>

Pengguna

Log on sebagai pekerjaan Batch

ASPNet

Jaringan

IUSR_<MachineName>

IWAM_<MachineName>

Layanan

Logon sebagai layanan

ASPNet

Jaringan

Bypass melewati pemeriksaan

Administrator

IUSR_ < MachineName > (anonim)

Pengguna (dasar, terpadu, ringkasan)

IWAM_<MachineName>

Referensi

Untuk informasi selengkapnya tentang cara memulihkan izin NTFS asali untuk Windows 2000, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:

266118 cara memulihkan izin NTFS asali untuk Windows 2000

260985 izin minimum NTFS yang diperlukan untuk menggunakan CDONTS

324068 cara menetapkan izin IIS untuk objek tertentu

815153 cara mengkonfigurasi izin berkas NTFS keamanan aplikasi ASP.NET Untuk informasi lebih lanjut tentang izin yang diperlukan untuk IIS 6.0, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:

812614 default izin dan hak pengguna untuk IIS 6.0

Informasi Selengkapnya

Artikel ini tidak menjawab salah satu dari persyaratan keamanan yang spesifik berikut ini peran server atau aplikasi:

  • Pengontrol Domain Windows 2000

  • Microsoft Exchange 5.5 atau Microsoft Exchange 2000 Outlook Web Access

  • Microsoft Small Business Server 2000

  • Microsoft SharePoint Portal atau tim layanan

  • Microsoft Commerce Server 2000 atau Microsoft Commerce Server 2002

  • Microsoft BizTalk Server 2000 atau Microsoft BizTalk Server 2002

  • Konten Microsoft Management Server 2000 atau konten Microsoft Management Server 2002

  • Microsoft aplikasi pusat 2000

  • Aplikasi pihak ketiga yang tergantung pada izin tambahan

Perlu bantuan lainnya?

Kembangkan keterampilan Anda
Jelajahi pelatihan
Dapatkan fitur baru terlebih dahulu
Gabung Microsoft Insider

Apakah informasi ini bermanfaat?

Terima kasih atas umpan balik Anda!

Terima kasih atas umpan balik Anda! Sepertinya menghubungkan Anda ke salah satu agen dukungan Office kami akan sangat membantu.

×