Autorisations et droits d’utilisateur par défaut pour IIS 7.0 et versions ultérieures

  • Article

Cet article décrit les autorisations et les droits d’utilisateur par défaut définis pour certains dossiers et fichiers. Ces dossiers et fichiers sont installés avec Microsoft Internet Information Services (IIS) 7.0 ou version ultérieure.

Version du produit d’origine : Internet Information Services 8.0
Numéro de l’article d’origine dans la base de connaissances : 981949

Modifications apportées aux autorisations dans IIS 6.0, IIS 7.0 et les versions ultérieures

Dans IIS 6.0, un compte local (IUSR_MachineName) est créé lors de l’installation d’IIS. Le compte IUSR_MachineName est l’identité par défaut utilisée par IIS quand l’authentification anonyme est activée. L’authentification anonyme est utilisée par les services FTP (File Transfer Protocol) et HTTP (HyperText Transfer Protocol). IIS 6.0 contient également un groupe nommé IIS_WPG. Le groupe IIS_WPG est utilisé comme conteneur pour toutes les identités du pool d’applications.

Dans IIS 7.0 et les versions ultérieures, un compte intégré (IUSR) remplace le compte IUSR_MachineName. En outre, un groupe nommé IIS_IUSRS remplace le groupe IIS_WPG. Le compte IUSR n’a plus besoin d’un mot de passe, car il est intégré. Le compte IUSR ressemble à un compte de service local ou réseau. Le compte IUSR_MachineName est créé et utilisé uniquement quand le serveur FTP 6 inclus sur le DVD Windows Server 2008 est installé. Ce compte n’est pas créé si le serveur FTP 6 n’est pas installé.

À partir d’IIS 7.5, une nouvelle fonctionnalité de sécurité appelée « identité du pool d’applications » a été ajoutée. Cette fonctionnalité permet d’exécuter des pools d’applications sous un compte unique sans devoir créer et gérer des comptes de domaine ou locaux. Le nom du compte du pool d’applications correspond au nom du pool d’applications.

Pour plus d’informations sur les comptes et les groupes dans IIS 7.0, consultez l’article Understanding Built-In User and Group Accounts in IIS 7 (en anglais uniquement).

Pour plus d’informations sur les identités du pool d’applications, consultez l’article Application Pool Identities (en anglais uniquement).

Autorisations par défaut du système de fichiers NTFS

Les tableaux de cette section répertorient les autorisations NTFS (New Technology File System) par défaut attribuées à certains dossiers et fichiers. Ces dossiers et fichiers sont installés avec IIS 7.0, IIS 7.5, IIS 8.0, IIS 8.5 et IIS 10.0.

\inetpub

Utilisateurs / Groupes Autorisations autorisées Comments
Créateur propriétaire Autorisations spéciales Équivaut à Contrôle total.               
S’applique uniquement aux sous-dossiers et aux fichiers.
SYSTEM Contrôle total
Administrateurs Contrôle total
Utilisateurs Lecture et exécution
Affichage du contenu du dossier
Lecture
TrustedInstaller Contrôle total

\inetpub\AdminScripts

Utilisateurs / Groupes Autorisations autorisées Comments
Créateur propriétaire Autorisations spéciales Équivaut à Contrôle total.               
S’applique uniquement aux sous-dossiers et aux fichiers.
SYSTEM Contrôle total
Administrateurs Contrôle total
Utilisateurs Lecture et exécution
Affichage du contenu du dossier
Lecture
TrustedInstaller Contrôle total

\inetpub\AdminScripts\0409

Utilisateurs / Groupes Autorisations autorisées Comments
Créateur propriétaire Autorisations spéciales Équivaut à Contrôle total.               
S’applique uniquement aux sous-dossiers et aux fichiers.               
Hérité de \inetpub\AdminScripts.
SYSTEM Contrôle total Hérité de \inetpub\AdminScripts.
Administrateurs Contrôle total Hérité de \inetpub\AdminScripts.
Utilisateurs Lecture et exécution
Affichage du contenu du dossier
Lecture		 Hérité de \inetpub\AdminScripts.
TrustedInstaller Contrôle total Hérité de \inetpub\AdminScripts.

\inetpub\custerr

Utilisateurs / Groupes Autorisations autorisées Comments
Créateur propriétaire Autorisations spéciales Équivaut à Contrôle total.               
S’applique uniquement aux sous-dossiers et aux fichiers.               
Hérité de \inetpub.
SYSTEM Contrôle total
Autorisations spéciales		 L’autorisation Contrôle total est héritée de \inetpub.               
Les autorisations spéciales sont équivalentes au contrôle total.               
S’applique uniquement à ce dossier.
Administrateurs Contrôle total
Autorisations spéciales		 L’autorisation Contrôle total est héritée de \inetpub.               
Équivaut à Contrôle total.               
S’applique uniquement à ce dossier.
Utilisateurs Lecture et exécution
Affichage du contenu du dossier
Lecture
Autorisations spéciales		 Les autorisations sont héritées de \inetpub, à l’exception des autorisations spéciales.               
              
Les autorisations spéciales s’appliquent uniquement à ce dossier et incluent les autorisations suivantes :
  • Parcours du dossier/exécution du fichier
  • Liste du dossier/lecture de données
  • Lecture des attributs
  • Lecture des attributs étendus
  • Autorisations en lecture
TrustedInstaller Contrôle total Hérité de \inetpub.

\inetpub\custerr\en-us

Utilisateurs / Groupes Autorisations autorisées Comments
Créateur propriétaire Autorisations spéciales Équivaut à Contrôle total.               
S’applique uniquement aux sous-dossiers et aux fichiers.               
Hérité de \inetpub.
SYSTEM Contrôle total Hérité de \inetpub.
Administrateurs Contrôle total Hérité de \inetpub.
Utilisateurs Lecture et exécution
Affichage du contenu du dossier
Lecture		 Hérité de \inetpub.
TrustedInstaller Contrôle total Hérité de \inetpub.

\inetpub\ftproot

Utilisateurs / Groupes Autorisations autorisées Comments
Créateur propriétaire Autorisations spéciales Équivaut à Contrôle total.               
S’applique uniquement aux sous-dossiers et aux fichiers.               
Hérité de \inetpub.
SYSTEM Contrôle total Hérité de \inetpub.
Administrateurs Contrôle total Hérité de \inetpub.
Utilisateurs Lecture et exécution
Affichage du contenu du dossier
Lecture		 Hérité de \inetpub.
TrustedInstaller Contrôle total Hérité de \inetpub.

\inetpub\history et sous-dossiers

Utilisateurs / Groupes Autorisations autorisées Comments
SYSTEM Contrôle total
Administrateurs Contrôle total

\inetpub\logs

Utilisateurs / Groupes Autorisations autorisées Comments
Créateur propriétaire Autorisations spéciales Équivaut à Contrôle total.               
S’applique uniquement aux sous-dossiers et aux fichiers.               
Hérité de \inetpub.
SYSTEM Contrôle total Hérité de \inetpub.
Administrateurs Contrôle total Hérité de \inetpub.
Utilisateurs Lecture et exécution
Affichage du contenu du dossier
Lecture		 Hérité de \inetpub.
WMSvc Afficher le contenu du dossier
TrustedInstaller Contrôle total Hérité de \inetpub.

\inetpub\logs\FailedReqLogFiles

Utilisateurs / Groupes Autorisations autorisées Comments
IIS_IUSRS Autorisations spéciales Les autorisations spéciales incluent les autorisations suivantes :
  • Liste du dossier/lecture de données
  • Création de fichiers/écriture de données
  • Création de dossiers/ajout de données
  • Écrire des attributs
  • Écriture d’attributs étendus
  • Suppression de sous-dossiers et de fichiers
  • Supprimer
SYSTEM Contrôle total
Administrateurs Contrôle total

\inetpub\logs\wmsvc

Utilisateurs / Groupes Autorisations autorisées Comments
Créateur propriétaire Autorisations spéciales Équivaut à Contrôle total.               
S’applique uniquement aux sous-dossiers et aux fichiers.               
Hérité de \inetpub.
SYSTEM Contrôle total Hérité de \inetpub.
Administrateurs Contrôle total Hérité de \inetpub.
Utilisateurs Lecture et exécution
Affichage du contenu du dossier
Lecture		 Hérité de \inetpub.
WMSvc Modification
Lecture et exécution
Affichage du contenu du dossier
Lecture
Écriture		 L’autorisation Affichage du contenu du dossier est héritée de \inetpub\logs.
TrustedInstaller Contrôle total Hérité de \inetpub.

\inetpub\temp

Utilisateurs / Groupes Autorisations autorisées Comments
Créateur propriétaire Autorisations spéciales Équivaut à Contrôle total.               
S’applique uniquement aux sous-dossiers et aux fichiers.               
Hérité de \inetpub.
SYSTEM Contrôle total Hérité de \inetpub.
Administrateurs Contrôle total Hérité de \inetpub.
Utilisateurs Lecture et exécution
Affichage du contenu du dossier
Lecture		 Hérité de \inetpub.
TrustedInstaller Contrôle total Hérité de \inetpub.

\inetpub\temp\appPools

Utilisateurs / Groupes Autorisations autorisées Comments
Créateur propriétaire Autorisations spéciales Équivaut à Contrôle total.               
S’applique uniquement aux sous-dossiers et aux fichiers.
SYSTEM Contrôle total
Administrateurs Contrôle total
IIS_IUSRS Lecture et exécution Hérité de \inetpub.

\inetpub\temp\ASP Modèles compilés

Utilisateurs / Groupes Autorisations autorisées Comments
Par défaut, aucune autorisation n’est attribuée à ce dossier.

\inetpub\temp\IIS Fichiers compressés temporaires

Utilisateurs / Groupes Autorisations autorisées Comments
SYSTEM Contrôle total
Administrateurs Contrôle total
IIS_IUSRS Contrôle total

\inetpub\wwwroot

Utilisateurs / Groupes Autorisations autorisées Comments
Créateur propriétaire Autorisations spéciales Équivaut à Contrôle total.               
S’applique uniquement aux sous-dossiers et aux fichiers.               
Hérité de \inetpub.
SYSTEM Contrôle total Hérité de \inetpub.
Administrateurs Contrôle total Hérité de \inetpub.
Utilisateurs Lecture et exécution
Affichage du contenu du dossier
Lecture		 Hérité de \inetpub.
IIS_IUSRS Lecture et exécution
TrustedInstaller Contrôle total Hérité de \inetpub.

\inetpub\wwwroot\aspnet_client

Utilisateurs / Groupes Autorisations autorisées Comments
Tout le monde Lecture
SYSTEM Contrôle total
Administrateurs Contrôle total
Utilisateurs Lecture et exécution
Affichage du contenu du dossier
Lecture

%windir%\system32\inetsrv

Utilisateurs / Groupes Autorisations autorisées Comments
Créateur propriétaire Autorisations spéciales Équivaut à Contrôle total.               
S’applique uniquement aux sous-dossiers et aux fichiers.
SYSTEM Autorisations spéciales Les autorisations spéciales autorisées pour le compte SYSTEM pour ce dossier incluent uniquement les éléments suivants :
  • Parcours du dossier/exécution du fichier
  • Liste du dossier/lecture de données
  • Lecture des attributs
  • Lecture des attributs étendus
  • Créer un fichier / écrire des données
  • Création de dossiers/ajout de données
  • Écrire des attributs
  • Écriture d’attributs étendus
  • Supprimer
  • Autorisations en lecture
              
L’autorisation spéciale autorisée pour SYSTEM pour les sous-dossiers et les fichiers équivaut uniquement au contrôle total.
Administrateurs Autorisations spéciales Les autorisations spéciales autorisées pour le groupe Administrateurs pour ce dossier incluent uniquement les éléments suivants :
  • Parcours du dossier/exécution du fichier
  • Liste du dossier/lecture de données
  • Lecture des attributs
  • Lecture des attributs étendus
  • Créer un fichier / écrire des données
  • Création de dossiers/ajout de données
  • Écrire des attributs
  • Écriture d’attributs étendus
  • Supprimer
  • Autorisations en lecture
              
L’autorisation spéciale autorisée pour le groupe Administrateurs pour les sous-dossiers et les fichiers équivaut uniquement au contrôle total.
Utilisateurs Lecture et exécution
Affichage du contenu du dossier
Lecture
TrustedInstaller Autorisations spéciales Les autorisations sont équivalentes au contrôle total et s’appliquent à ce dossier et sous-dossiers.

%windir%\System32\inetsrv\0409

Utilisateurs / Groupes Autorisations autorisées Comments
Créateur propriétaire Autorisations spéciales Équivaut à Contrôle total.               
S’applique uniquement aux sous-dossiers et aux fichiers.               
Hérité de %windir%\System32\inetsrv.
SYSTEM Contrôle total Hérité de %windir%\System32\inetsrv.
Administrateurs Contrôle total Hérité de %windir%\System32\inetsrv.
Utilisateurs Lecture et exécution
Affichage du contenu du dossier
Lecture		 Hérité de %windir%\System32\inetsrv.
TrustedInstaller Autorisations spéciales Équivaut à Contrôle total.               
S’applique uniquement aux sous-dossiers et aux fichiers.               
Hérité de %windir%\System32\inetsrv.

%windir%\System32\inetsrv\config

Utilisateurs / Groupes Autorisations autorisées Comments
Créateur propriétaire Autorisations spéciales Équivaut à Contrôle total.               
S’applique uniquement aux sous-dossiers et aux fichiers.
SYSTEM Contrôle total
Administrateurs Contrôle total
Utilisateurs Lecture et exécution
Affichage du contenu du dossier
Lecture
TrustedInstaller Contrôle total
WMSvc Lecture

%windir%\System32\inetsrv\config\Export

Utilisateurs / Groupes Autorisations autorisées Comments
Créateur propriétaire Autorisations spéciales Équivaut à Contrôle total.               
S’applique uniquement aux sous-dossiers et aux fichiers.
SYSTEM Contrôle total
Administrateurs Contrôle total
TrustedInstaller Contrôle total

%windir%\System32\inetsrv\config\schema

Utilisateurs / Groupes Autorisations autorisées Comments
Créateur propriétaire Autorisations spéciales Équivaut à Contrôle total.               
S’applique uniquement aux sous-dossiers et aux fichiers.
SYSTEM Autorisations spéciales Les autorisations spéciales autorisées pour le compte SYSTEM pour ce dossier incluent uniquement les éléments suivants :
  • Parcours du dossier/exécution du fichier
  • Liste du dossier/lecture de données
  • Lecture des attributs
  • Lecture des attributs étendus
  • Créer un fichier / écrire des données
  • Création de dossiers/ajout de données
  • Écrire des attributs
  • Écriture d’attributs étendus
  • Supprimer
  • Autorisations en lecture

L’autorisation spéciale autorisée pour SYSTEM pour les sous-dossiers et les fichiers équivaut uniquement au contrôle total.
Administrateurs Autorisations spéciales Les autorisations spéciales autorisées pour le groupe Administrateurs pour ce dossier incluent uniquement les éléments suivants :
  • Parcours du dossier/exécution du fichier
  • Liste du dossier/lecture de données
  • Lecture des attributs
  • Lecture des attributs étendus
  • Créer un fichier / écrire des données
  • Création de dossiers/ajout de données
  • Écrire des attributs
  • Écriture d’attributs étendus
  • Supprimer
  • Autorisations en lecture

L’autorisation spéciale autorisée pour le groupe Administrateurs pour les sous-dossiers et les fichiers équivaut uniquement au contrôle total.
Utilisateurs Lecture et exécution
Affichage du contenu du dossier
Lecture
TrustedInstaller Autorisations spéciales Équivaut à Contrôle total.               
S’applique à ce dossier et aux sous-dossiers.

%windir%\System32\inetsrv\en-us

Utilisateurs / Groupes Autorisations autorisées Comments
Créateur propriétaire Autorisations spéciales Équivaut à Contrôle total.               
S’applique uniquement aux sous-dossiers et aux fichiers.
SYSTEM Autorisations spéciales Les autorisations spéciales autorisées pour le compte SYSTEM pour ce dossier incluent uniquement les éléments suivants :
  • Parcours du dossier/exécution du fichier
  • Liste du dossier/lecture de données
  • Lecture des attributs
  • Lecture des attributs étendus
  • Créer un fichier / écrire des données
  • Créer des dossiers / ajouter des données
  • Écrire des attributs
  • Écrire des attributs étendus
  • Supprimer
  • Autorisations en lecture

L’autorisation spéciale autorisée pour SYSTEM pour les sous-dossiers et les fichiers équivaut uniquement au contrôle total.
Administrateurs Autorisations spéciales Les autorisations spéciales autorisées pour le groupe Administrateurs pour ce dossier incluent uniquement les éléments suivants :
  • Parcours du dossier/exécution du fichier
  • Liste du dossier/lecture de données
  • Lecture des attributs
  • Lecture des attributs étendus
  • Créer un fichier / écrire des données
  • Créer des dossiers / ajouter des données
  • Écrire des attributs
  • Écrire des attributs étendus
  • Supprimer
  • Autorisations en lecture

L’autorisation spéciale autorisée pour le groupe Administrateurs pour les sous-dossiers et les fichiers équivaut uniquement au contrôle total.
Utilisateurs Lecture et exécution
Affichage du contenu du dossier
Lecture
TrustedInstaller Affichage du contenu du dossier
Autorisations spéciales		 Équivaut à Contrôle total.               
S’applique à ce dossier et aux sous-dossiers.

%windir%\System32\inetsrv\History

Utilisateurs / Groupes Autorisations autorisées Comments
Administrateurs Contrôle total
SYSTEM Contrôle total

%windir%\System32\inetsrv\MetaBack

Utilisateurs / Groupes Autorisations autorisées Comments
Administrateurs Contrôle total
SYSTEM Contrôle total

Autorisations par défaut relatives au Registre

Les tableaux de cette section répertorient les autorisations par défaut relatives au Registre qui sont attribuées lors de l’installation d’IIS 7.0, IIS 7.5, IIS 8.0 ou IIS 8.5. Quand les autorisations de lecture sont répertoriées pour les utilisateurs, les autorisations suivantes sont incluses :

  • Requête sur une valeur
  • Énumérer les sous-clés
  • Notification
  • Read Control

HKEY_LOCAL_MACHINE\Software\Microsoft\Inetmgr

Utilisateurs / Groupes Autorisations autorisées Comments
Créateur propriétaire Autorisations spéciales Équivaut à Contrôle total.               
S’applique uniquement aux sous-clés.
SYSTEM Contrôle total
Administrateurs Contrôle total
Utilisateurs Lecture

HKEY_LOCAL_MACHINE\Software\Microsoft\InetStp

Utilisateurs / Groupes Autorisations autorisées Comments
Créateur propriétaire Autorisations spéciales Équivaut à Contrôle total.               
S’applique uniquement aux sous-clés.
SYSTEM Contrôle total
Administrateurs Contrôle total
Utilisateurs Lecture

HKEY_LOCAL_MACHINE\Software\Microsoft\W3SVC

Utilisateurs / Groupes Autorisations autorisées Comments
Créateur propriétaire Autorisations spéciales Équivaut à Contrôle total.               
S’applique uniquement aux sous-clés.
SYSTEM Contrôle total
Administrateurs Contrôle total
Utilisateurs Lecture

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ASP

Utilisateurs / Groupes Autorisations autorisées Comments
Créateur propriétaire Autorisations spéciales Équivaut à Contrôle total.               
S’applique uniquement aux sous-clés.
SYSTEM Contrôle total
Administrateurs Contrôle total
Utilisateurs Lecture

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ASP.NET

Utilisateurs / Groupes Autorisations autorisées Comments
Créateur propriétaire Autorisations spéciales Équivaut à Contrôle total.               
S’applique uniquement aux sous-clés.
SYSTEM Contrôle total
Administrateurs Contrôle total
Utilisateurs Lecture

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ASP.NET_2.0.50727

Utilisateurs / Groupes Autorisations autorisées Comments
Créateur propriétaire Autorisations spéciales Équivaut à Contrôle total.               
S’applique uniquement aux sous-clés.
SYSTEM Contrôle total
Administrateurs Contrôle total
Utilisateurs Lecture

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\aspnet_state

Utilisateurs / Groupes Autorisations autorisées Comments
Créateur propriétaire Autorisations spéciales Équivaut à Contrôle total.               
S’applique uniquement aux sous-clés.
SYSTEM Contrôle total
Administrateurs Contrôle total
Utilisateurs Lecture

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP

Utilisateurs / Groupes Autorisations autorisées Comments
Créateur propriétaire Autorisations spéciales Équivaut à Contrôle total.               
S’applique uniquement aux sous-clés.
SYSTEM Contrôle total
Administrateurs Contrôle total
Utilisateurs Lecture

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\IISAdmin

Utilisateurs / Groupes Autorisations autorisées Comments
Créateur propriétaire Autorisations spéciales Équivaut à Contrôle total.               
S’applique uniquement aux sous-clés.
SYSTEM Contrôle total
Administrateurs Contrôle total
Utilisateurs Lecture

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\W3SVC

Utilisateurs / Groupes Autorisations autorisées Comments
Créateur propriétaire Autorisations spéciales Équivaut à Contrôle total.               
S’applique uniquement aux sous-clés.
SYSTEM Contrôle total
Administrateurs Contrôle total
Utilisateurs Lecture

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WAS

Utilisateurs / Groupes Autorisations autorisées Comments
Créateur propriétaire Autorisations spéciales Équivaut à Contrôle total.               
S’applique uniquement aux sous-clés.
SYSTEM Contrôle total
Administrateurs Contrôle total
Utilisateurs Lecture

Remarque

La clé WAS est destinée au service d’activation des processus Windows. Il s’agit d’une dépendance requise installée avec IIS.

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WMsvc

Utilisateurs / Groupes Autorisations autorisées Comments
Créateur propriétaire Autorisations spéciales Équivaut à Contrôle total.               
S’applique uniquement aux sous-clés.
SYSTEM Contrôle total
Administrateurs Contrôle total
Utilisateurs Lecture

Attributions des droits d’utilisateur Windows par défaut

Le tableau de cette section répertorie les stratégies de sécurité locales par défaut, ainsi que les utilisateurs, les groupes ou les utilisateurs et groupes attribués à la stratégie lors de l’installation d’IIS 7.0, IIS 7.5, IIS 8.0 ou IIS 8.5.

Droits d’utilisateur Windows attribués par la stratégie de sécurité locale

Autorisations autorisées Utilisateurs / Groupes
Accéder à cet ordinateur à partir du réseau Tout le monde
Administrateurs
Utilisateurs
Opérateurs de sauvegarde
Ajuster les quotas de mémoire pour un processus SERVICE LOCAL
SERVICE RÉSEAU
Administrateurs
ApplicationPoolIdentity
Permettre l’ouverture d’une session locale Administrateurs
Utilisateurs
Opérateurs de sauvegarde
Contourner la vérification de parcours Tout le monde
SERVICE LOCAL
SERVICE RÉSEAU
Administrateurs
Utilisateurs
Opérateurs de sauvegarde
Générer des audits de sécurité ApplicationPoolIdentity
Emprunter l’identité d’un client après l’authentification SERVICE LOCAL
SERVICE RÉSEAU
Administrateurs
IIS_IUSRS
SERVICE
Ouvrir une session en tant que tâche Administrateurs
Opérateurs de sauvegarde
Utilisateurs du journal des performances
IIS_IUSRS
Ouvrir une session en tant que service ApplicationPoolIdentity
Remplacer un jeton de niveau processus SERVICE LOCAL
SERVICE RÉSEAU
ApplicationPoolIdentity