Přihlásit se pomocí účtu Microsoft
Přihlaste se nebo si vytvořte účet.
Dobrý den,
Vyberte jiný účet.
Máte více účtů.
Zvolte účet, pomocí kterého se chcete přihlásit.

Tento článek popisuje, jak nastavit minimální oprávnění, které jsou požadovány pro vyhrazená Internetová informační služba (IIS) 5.0, IIS 5.1 nebo IIS 6.0 webového serveru.

Omezení pro tento článek

Upozornění: V tomto článku platí pouze pro vyhrazenými webovými servery, které používají základní funkce služby IIS, jako je například funkce obsahu HTML statického obsahu nebo jednoduché stránky ASP (Active Server). Požadavky oprávnění, které jsou popsány v tomto článku jsou určeny pouze pro základní oprávnění pro vyhrazený webový server se službou IIS 5. x nebo IIS 6.0. V tomto článku nebere v úvahu ostatní společnosti Microsoft a produkty jiných výrobců , které mohou vyžadovat jiné oprávnění. Můžete zkontrolovat dokumentaci k serveru a aplikace pro specifické požadavky na zabezpečení. Doporučujeme Zkontrolovat související články , které jsou specifické pro role webového serveru.

Kroky před konfigurací oprávnění při testování ve výrobním prostředí

Než změníte oprávnění na provozním webovém serveru, doporučujeme provést následující kroky:

  1. Spusťte poslední verzi nástroje IIS Lockdown. Následující programy a služby byly nainstalovány jako součást sady test, který byl použit pro testování zabezpečení serveru po udělení oprávnění uvedených v tomto článku:

    • Rejstřík služeb

    • Terminálové služby

    • Ladicí prostředek skriptů

    • SLUŽBA IIS

      • Společné soubory

      • Dokumentace

      • Rozšíření FrontPage Server Extensions 2000

      • Správce služeb sítě Internet (HTML)

      • WWW

      • FTP

  2. Proveďte následující funkční testy:

    • Dokumenty Hypertext (HTML)

    • Active Server Pages (ASP)

    • Rozšíření FrontPage Server Extensions, například připojení, úpravy a ukládání, pokud je povoleno rozšíření FPSE, při použití nástroje Lockdown

    • Zabezpečená připojení soketu vrstvy (SSL)

Přidělit vlastnictví a oprávnění správce a systému

Postupujte takto:

  1. Spusťte Průzkumníka Windows. Klepněte na tlačítko Start, přejděte na příkaz programya potom klepněte na tlačítko V programu Průzkumník Windows.

  2. Rozbalte položku Tento počítač.

  3. Klepněte pravým tlačítkem myši systémové jednotky (obvykle je to jednotka C) a potom klepněte na příkaz Vlastnosti.

  4. Klepněte na kartu zabezpečení a potom klepněte na tlačítko Upřesnit otevřete dialogové okno Nastavení řízení přístupu pro místní Disk .

  5. Klepněte na kartu vlastník , zaškrtněte políčko Nahradit vlastníka v dílčích kontejnerech a objektech a potom klepněte na tlačítko použít. Pokud se zobrazí následující chybová zpráva, klepněte na tlačítko pokračovat:

    Došlo k chybě použít zabezpečovací informace pro %systemdrive%\Pagefile.sys

  6. Pokud se zobrazí následující chybová zpráva, klepněte na tlačítko Ano:

    Nemáte oprávnění ke čtení obsahu adresáře %systemdrive%\System Volume Information - chcete nahradit oprávnění k adresáři - budou nahrazena všechna oprávnění přidělit oprávnění Úplné řízení

  7. Klepnutím na tlačítko OK zavřete dialogové okno.

  8. Klepněte na tlačítko Přidat.

  9. Přidat tyto uživatele a udělit jim oprávnění systému NTFS k úplnému řízení:

    • Správce

    • Systém

    • Creator Owner

  10. Po přidání těchto oprávnění systému souborů NTFS, klepněte na tlačítko Upřesnit, zaškrtněte políčko obnovit oprávnění pro všechny podřízené objekty a povolit šíření dědičných oprávnění a potom klepněte na tlačítko použít.

  11. Pokud se zobrazí následující chybová zpráva, klepněte na tlačítko pokračovat:

    Došlo k chybě použít zabezpečovací informace pro %systemdrive%\Pagefile.sys

  12. Poté, co nastavíte oprávnění systému souborů NTFS, klepněte na tlačítko OK.

  13. Klepněte na skupinu Everyone , klepněte na tlačítko Odebrata potom klepněte na tlačítko OK.

  14. Otevřít vlastnosti pro složku %systemdrive%\Program Files\Common Files a potom klepněte na kartu zabezpečení , přidejte účet používaný pro anonymní přístup. Ve výchozím nastavení toto je účet IUSR_ < název_počítače >. Pak přidejte skupiny uživatelů. Ujistěte se, zda jsou vybrány pouze následující:

    • Číst a spouštět

    • Zobrazovat obsah složky

    • Pro čtení

  15. Otevřete vlastnosti pro kořenový adresář, který obsahuje obsahu webu. Ve výchozím nastavení toto je složce %systemdrive%\Inetpub\Wwwroot. Klepněte na kartu zabezpečení , přidejte účet IUSR_ < název_počítače > a skupiny uživatelů a ujistěte se, zda jsou vybrány pouze následující:

    • Číst a spouštět

    • Zobrazovat obsah složky

    • Pro čtení

  16. Pokud chcete udělit oprávnění Zápis NTFS \Inetpub\Ftproot nebo cestu k adresáři serveru FTP nebo weby, opakujte krok 15. Poznámka: Společnost Microsoft nedoporučuje, že udělíte oprávnění k zápisu souborů NTFS pro anonymní účet ve všech adresářích, včetně adresářů používaných FTP služba používá. To může způsobit zbytečné data, která mají být odeslány na webový server.

Zakázat dědičnost v systémových adresářů

Postupujte takto:

  1. Ve složce %systemroot%\System32 vyberete všechny složky kromě následujících:

    • Inetsrv

    • Certsrv (pokud existuje)

    • CZ

  2. Zbývajících složek klepněte pravým tlačítkem myši, klepněte na příkaz Vlastnostia potom klepněte na kartu zabezpečení .

  3. Klepnutím zrušte zaškrtnutí políčka Povolit přenesení dědičných oprávnění , klepněte na tlačítko Kopírovata potom klepněte na tlačítko OK.

  4. Ve složce % systemroot % vyberte všechny složky kromě následujících:

    • Sestavení (pokud existuje)

    • Stažené soubory programů

    • Pomoc

    • Microsoft.NET (pokud existuje)

    • Webové stránky offline

    • System32

    • Úkoly

    • Temp

    • Web

  5. Zbývajících složek klepněte pravým tlačítkem myši, klepněte na příkaz Vlastnostia potom klepněte na kartu zabezpečení .

  6. Klepnutím zrušte zaškrtnutí políčka Povolit přenesení dědičných oprávnění , klepněte na tlačítko Kopírovata potom klepněte na tlačítko OK.

  7. Použít následující oprávnění:

    1. Otevřít vlastnosti složky % systemroot %, klepněte na kartu zabezpečení , přidejte < název_počítače > IUSR_ a IWAM_ < název_počítače > účty a skupiny uživatelů a ujistěte se, že jsou pouze následující vybrané:

      • Číst a spouštět

      • Zobrazovat obsah složky

      • Pro čtení

    2. Otevřít vlastnosti pro složku %systemroot%\Temp, vyberte účet IUSR_ < název_počítače > (Tento účet již existuje protože dědí ze složky Winnt) a poté klepnutím vyberte zaškrtávací pole změnit . Opakujte tento krok pro účet IWAM_ < název_počítače > a Skupina uživatelů .

    3. Pokud klienti rozšíření FrontPage Server, jako jsou používány aplikace FrontPage nebo aplikace Microsoft Visual InterDev, otevřete dialogové okno Vlastnosti pro složce %systemdrive%\Inetpub\Wwwroot, vyberte skupinu Authenticated Users , vyberte následující volby a klepněte na tlačítko OK :

      • Upravit

      • Číst a spouštět

      • Zobrazovat obsah složky

      • Pro čtení

      • Zápis

Oprávnění systému souborů NTFS

Následující tabulka obsahuje seznam oprávnění, které budou použity při provedení kroků v části "Zakázat dědičnost v systémových adresářů". Tato tabulka je pouze pro referenci. Chcete-li použít oprávnění v tabulce, postupujte takto:

  1. Spusťte Průzkumníka Windows. Klepněte na tlačítko Start, přejděte na příkaz programy, na položku Příslušenstvía klepněte na položku Průzkumník Windows.

  2. Rozbalte položku Tento počítač.

  3. % Systemroot %klepněte pravým tlačítkem myši a potom klepněte na příkaz Vlastnosti.

  4. Klepněte na kartu zabezpečení a potom klepněte na tlačítko Upřesnit.

  5. Poklepejte na položku oprávněnía potom vyberte příslušné nastavení v seznamu Použít .

Poznámka: V "vztahuje na" sloupec, termín, který odkazuje výchozí "Tato složka, podsložky a soubory."

Adresář

Users\Groups

Oprávnění

Platí pro

%systemroot%\ (c:\winnt)

Správce

Úplné řízení

Výchozí hodnota

Systém

Úplné řízení

Výchozí hodnota

Uživatelé

Čtení, spouštění

Výchozí hodnota

%systemroot%\system32

Správci

Úplné řízení

Výchozí hodnota

Systém

Úplné řízení

Výchozí hodnota

Uživatelé

Čtení, spouštění

Výchozí hodnota

%systemroot%\system32\inetsrv

Správci

Úplné řízení

Výchozí hodnota

Systém

Úplné řízení

Výchozí hodnota

Uživatelé

Čtení, spouštění

Výchozí hodnota

Inetpub\adminscripts

Správci

Úplné řízení

Výchozí hodnota

Inetpub\urlscan (pokud existuje)

Správci

Úplné řízení

Výchozí hodnota

Systém

Úplné řízení

Výchozí hodnota

%systemroot%\system32\inetsrv\metaback

Správci

Úplné řízení

Výchozí hodnota

Systém

Úplné řízení

Výchozí hodnota

%systemroot%\help\iishelp\common

Správci

Úplné řízení

Tato složka a soubory

Systém

Úplné řízení

Tato složka a soubory

IWAM_<Machinename>

Čtení, spouštění

Tato složka a soubory

Sítě

Úplné řízení

Tato složka a soubory

Služby

Tato složka a soubory

Uživatelé

Čtení, spouštění

Tato složka a soubory

Inetpub\Wwwroot (nebo obsahu adresáře)

Správci

Úplné řízení

Tato složka a soubory

Systém

Úplné řízení

Tato složka a soubory

IWAM_<MachineName>

Čtení, spouštění

Tato složka a soubory

Služby

Čtení, spouštění

Tato složka a soubory

Sítě

Čtení, spouštění

Tato složka a soubory

Optional**:

Uživatelé

Čtení, spouštění

Tato složka a soubory

Poznámka: Pokud používáte rozšíření FrontPage Server Extensions, Authenticated Users nebo Users musí mít oprávnění NTFS změnit, vytvořit, přejmenovat, napište nebo poskytují funkce, které vývojář pravděpodobně muset mít z aplikace FrontPage typu klienta, jako je například Visual InterDev 6.0 nebo FrontPage 2002.

Udělit oprávnění v registru

  1. Klepněte na tlačítko Start, klepněte na příkaz Spustit, zadejte příkaz regedt32a klepněte na tlačítko OK. Editor registru nepoužívá, protože to neumožňuje změnit oprávnění v systému Windows 2000.

  2. V editoru registru vyhledejte a vyberte HKEY_LOCAL_MACHINE.

  3. Rozbalte položku systém, rozbalte položku CurrentControlSeta poté rozbalte položku služby.

  4. Vyberte klíč IISADMIN , klepněte na položku zabezpečení (nebo stiskněte klávesy ALT + S) a potom vyberte Oprávnění (nebo stiskněte klávesu P).

  5. Klepnutím zrušte zaškrtnutí políčka Povolit přenesení dědičných oprávnění z nadřazeného objektu na tento objekt , klepněte na tlačítko Kopírovata potom odeberte všechny uživatele s výjimkou:

    • Správci (povolit čtení a úplné řízení)

    • Systém (povolit čtení a úplné řízení)

  6. Klikněte na tlačítko OK.

  7. Opakujte kroky pro klíče MSFTPSVC .

  8. Vyberte klíče W3SVC , klepněte na kartu zabezpečenía potom klepněte na tlačítko oprávnění.

  9. Klepnutím zrušte zaškrtnutí políčka Povolit přenesení dědičných oprávnění z nadřazeného objektu na tento objekt a potom odeberte všechny položky s výjimkou:

    • Správci (povolit čtení a úplné řízení)

    • Systém (povolit čtení a úplné řízení)

    • V síti (čtení)

    • Služby (čtení)

    • IWAM_ < název_počítače > (čtení)

  10. Klikněte na tlačítko OK.

Registr

Následující tabulka obsahuje seznam oprávnění, které budou použity při provedení kroků v části "Udělit oprávnění v registru". Tato tabulka je pouze pro referenci. Poznámka: Zkratka HKLM zastupuje HKEY_LOCAL_MACHINE.

Umístění

Users\Groups

Oprávnění

HKLM\System\CurrentControlSet\Services\IISAdmin

Správci

Úplné řízení

Systém

Úplné řízení

HKLM\System\CurrentControlSet\Services\MsFtpSvc

Správci

Úplné řízení

Systém

Úplné řízení

HKLM\System\CurrentControlSet\Services\w3svc

Správci

Úplné řízení

Systém

Úplné řízení

IWAM_<MachineName>

Pro čtení

Udělit oprávnění v místních zásadách zabezpečení

  1. Klepněte na tlačítko Start, klepněte na tlačítko Nastavenía potom na příkaz Ovládací panely.

  2. Poklepejte na panel Nástroje pro správua potom poklepejte na položku Místní zásady zabezpečení.

  3. V dialogovém okně Místní nastavení zabezpečení rozbalte položku Místní zásadya potom klepněte na tlačítko Přiřazení uživatelských práv.

  4. Upravte příslušnou zásadu:

    1. Poklepejte na zásadu.

    2. Vyberte a klepněte na tlačítko Odebrat pro všechny uživatele, který je v tabulce nejsou uvedeny.

    3. Každý uživatel, který není uveden v seznamu přidáte. Chcete-li to provést, klepněte na tlačítko Přidata vyberte uživatele v dialogovém okně Vyberte uživatele nebo skupiny .

Všimněte si, že vzhledem k tomu, že zásady řadiče domény potlačí místní zásady, ujistěte se, že Efektivní nastavení zásady odpovídá Nastavení místních zásad.

Zásady

Následující tabulka obsahuje seznam oprávnění, které budou použity při provedení kroků v části "Udělit práva místní zásady zabezpečení".

Zásady

Uživatelé

Místní přihlášení

Správci

IUSR_ < název_počítače > (anonymní)

Uživatele (vyžadováno ověření)

Přístup k tomuto počítači ze sítě.

Správci

ASPNet (rozhraní.NET Framework)

IUSR_ < název_počítače > (anonymní)

IWAM_<MachineName>

Uživatelé

Přihlaste se jako dávková úloha

ASPNet

Sítě

IUSR_<MachineName>

IWAM_<MachineName>

Služby

Přihlášení se jako služba

ASPNet

Sítě

Obejít křížovou kontrolu

Správci

IUSR_ < název_počítače > (anonymní)

Uživatelé (Basic, integrovaný, Digest)

IWAM_<MachineName>

Odkazy

Další informace o obnovení výchozích oprávnění systému souborů NTFS v systému Windows 2000 klepněte na následující čísla článku zobrazení v článcích znalostní báze Microsoft Knowledge Base:

Jak 266118 obnovení výchozích oprávnění systému souborů NTFS v systému Windows 2000

260985 minimální NTFS oprávnění požadovaná použití objekty CDONTS

324068 jak nastavit oprávnění služby IIS pro specifické objekty

815153 postup při konfiguraci oprávnění systému souborů NTFS pro zabezpečení aplikací technologie ASP.NET Další informace o požadovaných oprávnění pro službu IIS 6.0 klepněte na následující číslo článku databáze Microsoft Knowledge Base:

812614 Výchozí oprávnění a uživatelská práva pro službu IIS 6.0

Další informace

Tento článek se nezabývá takové zvláštní bezpečnostní požadavky následujících rolí serveru nebo aplikací:

  • Řadič domény Windows 2000

  • Microsoft Exchange 5.5 nebo Microsoft Exchange 2000 Outlook Web Access

  • Microsoft Small Business Server 2000

  • Microsoft SharePoint Portal nebo Team Services

  • Microsoft Commerce Server 2000 nebo Microsoft Commerce Server 2002

  • Microsoft BizTalk Server 2000 nebo Microsoft BizTalk Server 2002

  • Microsoft Content Management Server 2000 nebo serveru Microsoft Content Management Server 2002

  • Microsoft Application Center 2000

  • Aplikace jiných výrobců, které jsou závislé na dalších oprávnění

Facebook LinkedIn E-mail
PŘIHLÁSIT SE K ODBĚRU INFORMAČNÍCH KANÁLŮ RSS

Potřebujete další pomoc?

Chcete další možnosti?

Zjišťování Komunita

Prozkoumejte výhody předplatného, projděte si školicí kurzy, zjistěte, jak zabezpečit své zařízení a mnohem více.

Výhody předplatného Microsoftu 365

Školení k Microsoftu 365

Zabezpečení od Microsoftu

Centrum přístupnosti

Komunity vám pomohou klást otázky a odpovídat na ně, poskytovat zpětnou vazbu a vyslechnout odborníky s bohatými znalostmi.

Zeptejte se v komunitě Microsoftu

Technická komunita Microsoftu

Účastníci programu Windows Insider

Účastníci programu Microsoft 365 Insider

Byly tyto informace užitečné?

Jak jste spokojeni s kvalitou jazyka?
Co ovlivnilo váš názor?
Po stisknutí tlačítka pro odeslání se vaše zpětná vazba použije k vylepšování produktů a služeb Microsoftu. Váš správce IT bude moci tato data shromažďovat. Prohlášení o zásadách ochrany osobních údajů.

Děkujeme vám za zpětnou vazbu.

×