Šiame straipsnyje aprašoma, kaip nustatyti minimalias teises, kurių reikia skirta interneto informacijos tarnybos (IIS) 5.0, IIS 5.1 arba IIS 6.0 versijos žiniatinklio serverį.
Apribojimų pagal šį straipsnį
Įspėjimas. Šis straipsnis galioja tik interneto serveriuose, naudoti pagrindinio IIS funkcijas, pvz., aptarnaujantį HTML statinio turinio ar paprastas aktyviųjų serverio puslapių (ASP) turinio. Teisės reikalavimus, aprašytus šiame straipsnyje nurodytos tik skirta žiniatinklio serverio, kuriame veikia IIS 5 pagrindinio teises. x arba IIS 6.0. Šiame straipsnyje mano kitų "Microsoft" ir trečiųjų šalių produktus , gali reikėti skirtingas teises. Galite peržiūrėti serverio ir paraiškos dokumentų specialius apsaugos reikalavimus. Rekomenduojame Peržiūrėti susiję straipsniai kad yra specifiniai jūsų tinklo serverio vaidmenys.
Tyrimų etapai, kol teises konfigūracijų gamybos aplinkoje
Prieš atlikdami teisių pakeitimai gamybos žiniatinklio serveryje, rekomenduojame atlikti šiuos veiksmus:
-
Paleisti IIS blokavimo įrankis naujausią versiją. Šių programų ir paslaugų, buvo įdiegta kaip bandymų rinkinys, kuris buvo naudojamas serverio saugumo suteikus teises šiame straipsnyje:
-
Indeksas paslaugų
-
Terminalų tarnybų
-
Scenarijų derintuvę
-
IIS
-
Bendrieji failai
-
Dokumentacija
-
FrontPage serverio plėtiniai 2000
-
Interneto paslaugų tvarkytuvo (HTML)
-
WWW
-
FTP
-
-
-
Atlikti šie funkciniai bandymai:
-
Hiperteksto dokumentus (HTML)
-
Aktyvieji serverio puslapiai (ASP)
-
FrontPage serverio plėtiniai, pvz., prisijungimas, redaguoti ir įrašyti, jei FPSE yra įjungtas nors naudojate blokavimo įrankis
-
Saugiųjų jungčių lygmenys (SSL) ryšiai
-
Suteikti nuosavybės ir leidimo administratoriaus ir sistemos
Norėdami tai atlikti, vykdykite toliau nurodytus veiksmus.
-
Atidarykite „Windows Explorer“. Norėdami tai padaryti, spustelėkite pradėti, spustelėkite programosir tada spustelėkite "Windows Explorer".
-
Išplėsti aplanką mano kompiuteris.
-
Dešiniuoju pelės mygtuku spustelėkite sistemos diską (tai paprastai diskas C), o tada spustelėkite Ypatybės.
-
Spustelėkite skirtuką Sauga , ir spustelėkite Išsamiau Norėdami atidaryti dialogo langą Prieigos kontrolės parametrus vietiniame diske .
-
Spustelėkite skirtuką savininkas , spustelėdami pažymėkite žymės langelį Sub konteinerių ir objektų savininką pakeisti , ir tada spustelėkite taikyti. Jei gaunate šį klaidos pranešimą, spustelėkite tęsti:
Saugumo informaciją ir %systemdrive%\Pagefile.sys įvyko klaida
-
Jei gaunate šį klaidos pranešimą, spustelėkite taip:
Jūs neturite leidimo skaityti katalogo %systemdrive%\System Volume Information - turinį norite pakeisti katalogo leidimo - visi leidimas bus pakeistas suteikti visas teises
-
Spustelėkite gerai , kad uždarytumėte dialogo langą.
-
Spustelėkite pridėti.
-
Pridėti šiuos vartotojus, ir tada suteikti visas valdymo NTFS teisės:
-
Administratorius
-
Kompiuterio modelis
-
Kūrėjas savininkas
-
-
Įtraukę šias NTFS teises, spustelėkite Išsamiau, spustelėkite norėdami pažymėti žymės langelį iš naujo nustatyti antrinių objektų teises ir įgalinti paveldimų teisių , ir spustelėkite taikyti.
-
Jei gaunate šį klaidos pranešimą, spustelėkite tęsti:
Saugumo informaciją ir %systemdrive%\Pagefile.sys įvyko klaida
-
Atkūrę NTFS teises, spustelėkite gerai.
-
Spustelėkite Visi grupę, spustelėkite pašalinti, ir tada spustelėkite gerai.
-
Atidaryti aplanko %systemdrive%\Program Program Files ypatybes, ir tada spustelėkite skirtuką saugos pridėti abonementą, kurį naudoja anoniminės prieigos. Pagal numatytuosius nustatymus tai IUSR_ < MachineName > abonementas. Tada pridėti vartotojų grupei. Įsitikinkite, kad pasirenkami tik tokie:
-
Skaityti ir vykdyti
-
Peržiūrėti aplanko turinį
-
Skaityti
-
-
Atidaryti šakniniame kataloge, kuriame yra žiniatinklio turinio ypatybes. Pagal numatytuosius nustatymus, tai %systemdrive%\Inetpub\Wwwroot aplankas. Spustelėkite skirtuką Sauga , pridėti < MachineName > IUSR_ sąskaitos ir vartotojų grupė, ir tada įsitikinkite, kad pasirenkami tik tokie:
-
Skaityti ir vykdyti
-
Peržiūrėti aplanko turinį
-
Skaityti
-
-
Jei norite rašyti NTFS leidimo forInetpub\FTProot arba katalogo kelias jūsų FTP svetainę ar svetaines, pakartokite 15. Pastaba. Tačiau rekomenduojame, kad suteikiate NTFS rašymo teisės anoniminio abonemento ir visus aplankus, įskaitant naudojamus FTP paslaugos paskirtis katalogus. Tai gali sukelti nereikalingų duomenų būti įkeltas į žiniatinklio serverį.
Išjunkite paveldimumas sistemos kataloguose
Norėdami tai atlikti, vykdykite toliau nurodytus veiksmus.
-
%Systemroot%\System32 aplanke, pasirinkite visus aplankus, išskyrus šiuos veiksmus:
-
Inetsrv
-
Certsrv (jei yra)
-
COM
-
-
Dešiniuoju pelės mygtuku spustelėkite likusias aplankus, spustelėkite Ypatybės, ir tada spustelėkite skirtuką Sauga .
-
Spustelėdami išvalykite žymės langelį leisti paveldimų teisių , spustelėkite Kopijuotiir tada spustelėkite gerai.
-
% Systemroot % aplanke, pasirinkite visus aplankus, išskyrus šiuos veiksmus:
-
Rinkinio (jei yra)
-
Atsisiųstų programų failai
-
pagalba
-
Microsoft.NET (jei yra)
-
Autonominiai tinklalapiai
-
System32
-
Užduotys
-
Temp
-
Žiniatinklio
-
-
Dešiniuoju pelės mygtuku spustelėkite likusias aplankus, spustelėkite Ypatybės, ir tada spustelėkite skirtuką Sauga .
-
Spustelėdami išvalykite žymės langelį leisti paveldimų teisių , spustelėkite Kopijuotiir tada spustelėkite gerai.
-
Taikyti teises į šiuos veiksmus:
-
Atidarykite aplanką % systemroot % ypatybes, spustelėkite skirtuką Sauga , pridėti < MachineName > IUSR_ ir IWAM_ < MachineName > ir vartotojų grupės ir tada patikrinkite, ar tik pažymėtas:
-
Skaityti ir vykdyti
-
Peržiūrėti aplanko turinį
-
Skaityti
-
-
Atidarykite aplanką %systemroot%\Temp ypatybes, pasirinkite < MachineName > IUSR_ sąskaitos (Šis abonementas jau yra nes jis paveldi iš Winnt aplanko), ir tada spustelėdami pažymėkite žymės langelį keisti . Kartokite šį veiksmą < MachineName > IWAM_ sąskaitos ir Vartotojų grupė.
-
Jei FrontPage serverio išplėtimas klientams kaip FrontPage ar Microsoft Visual InterDev yra naudojami, atidarykite aplanką %systemdrive%\Inetpub\Wwwroot ypatybes, pasirinkite Autentifikuotų vartotojų grupė, pasirinkite toliau, ir spustelėkite gerai :
-
Keisti
-
Skaityti ir vykdyti
-
Peržiūrėti aplanko turinį
-
Skaityti
-
Rašyti
-
-
NTFS teisės
Toliau pateiktoje lentelėje išvardyti teises, kai atlikdami veiksmus, nurodytus skyriuje "Išjungti paveldėjimo sistemos kataloguose". Šioje lentelėje yra tik informaciniais tikslais. Norėdami taikyti teises šioje lentelėje, atlikite šiuos veiksmus:
-
Atidarykite „Windows Explorer“. Norėdami tai padaryti, spustelėkite pradėti, spustelėkite programos, priedai, ir tada spustelėkite "Windows Explorer".
-
Išplėsti aplanką mano kompiuteris.
-
Dešiniuoju pelės mygtuku spustelėkite % systemroot %, o tada spustelėkite Ypatybės.
-
Spustelėkite skirtuką Sauga , ir tada spustelėkite Išsamiau.
-
Du kartus spustelėkite leidimo, ir pasirinkite atitinkamą parametrą Taikyti į sąrašą.
Pastaba. Sistemose su "taikyti" skiltyje, terminas numatytąjį reiškia "Šio aplanko poaplankius ir failus."
Katalogas |
Users\Groups |
Teisės |
Taikoma |
---|---|---|---|
%systemroot%\ (c:\winnt) |
Administratorius |
Visos teisės |
Numatytasis |
Kompiuterio modelis |
Visos teisės |
Numatytasis |
|
Vartotojai |
Visiška kontrolė |
Numatytasis |
|
%systemroot%\system32 |
Administratoriai |
Visos teisės |
Numatytasis |
Kompiuterio modelis |
Visos teisės |
Numatytasis |
|
Vartotojai |
Visiška kontrolė |
Numatytasis |
|
%systemroot%\system32\inetsrv |
Administratoriai |
Visos teisės |
Numatytasis |
Kompiuterio modelis |
Visos teisės |
Numatytasis |
|
Vartotojai |
Visiška kontrolė |
Numatytasis |
|
Inetpub\adminscripts |
Administratoriai |
Visos teisės |
Numatytasis |
Inetpub\urlscan (jei yra) |
Administratoriai |
Visos teisės |
Numatytasis |
Kompiuterio modelis |
Visos teisės |
Numatytasis |
|
%systemroot%\system32\inetsrv\metaback |
Administratoriai |
Visos teisės |
Numatytasis |
Kompiuterio modelis |
Visos teisės |
Numatytasis |
|
%systemroot%\help\iishelp\common |
Administratoriai |
Visos teisės |
Šį aplanką ir failus |
Kompiuterio modelis |
Visos teisės |
Šį aplanką ir failus |
|
IWAM_<Machinename> |
Visiška kontrolė |
Šį aplanką ir failus |
|
Tinklo |
Visos teisės |
Šį aplanką ir failus |
|
Tarnyba |
Šį aplanką ir failus |
||
Vartotojai |
Visiška kontrolė |
Šį aplanką ir failus |
|
Inetpub\wwwroot (arba turinio katalogus) |
Administratoriai |
Visos teisės |
Šį aplanką ir failus |
Kompiuterio modelis |
Visos teisės |
Šį aplanką ir failus |
|
IWAM_<MachineName> |
Visiška kontrolė |
Šį aplanką ir failus |
|
Tarnyba |
Visiška kontrolė |
Šį aplanką ir failus |
|
Tinklo |
Visiška kontrolė |
Šį aplanką ir failus |
|
Optional**: |
Vartotojai |
Visiška kontrolė |
Šį aplanką ir failus |
Pastaba. Jei naudojate FrontPage serverio plėtiniai, autentifikuoti vartotojai ir vartotojų grupės turi būti keisti NTFS teisių kurti, pervardyti, rašyti arba funkcionalumą, kad kūrėjas gali būti, kad FrontPage rūšies kliento, pvz. Visual InterDev 6.0 arba FrontPage 2002.
Suteikti teises registre
-
Spustelėkite pradėti, spustelėkite vykdyti, įveskite regedt32, ir tada spustelėkite gerai. Negalima naudoti registro redaktorių, nes jis neleidžia jums pakeisti teises Windows 2000.
-
Registro rengyklėje raskite ir pasirinkite HKEY_LOCAL_MACHINE.
-
Išplėskite sistemos, išplėskite CurrentControlSetir tada išplėskite tarnybos.
-
Pasirinkite IISADMIN raktą, spustelėkite Sauga (arba paspauskite ALT + S), tada pasirinkite Teisės (arba paspauskite P).
-
Spustelėdami išvalykite žymės langelį leisti lygio teises iš pirminio platinti šio objekto , spustelėkite Kopijuotiir tada pašalinti visi vartotojai išskyrus:
-
Administratoriai (galima skaityti ir visiška kontrolė)
-
Sistema (galima skaityti ir visiška kontrolė)
-
-
Spustelėkite Gerai.
-
Pakartokite veiksmus MSFTPSVCraktas .
-
Pasirinkite W3SVC raktą, spustelėkite Sauga, ir spustelėkite teisės.
-
Spustelėdami išvalykite žymės langelį leisti lygio teises iš pirminio platinti šio objekto , ir tada pašalinti visi įrašai išskyrus:
-
Administratoriai (galima skaityti ir visiška kontrolė)
-
Sistema (galima skaityti ir visiška kontrolė)
-
Tinklo (skaityti)
-
Tarnybos (skaityti)
-
IWAM_ < MachineName > (skaityti)
-
-
Spustelėkite Gerai.
Registro
Toliau pateiktoje lentelėje išvardyti teises, kai atlikdami veiksmus, nurodytus skyriuje "Registro teisių suteikimas". Šioje lentelėje yra tik informaciniais tikslais. Pastaba. Santrumpa HKLM reiškia HKEY_LOCAL_MACHINE.
Vieta |
Users\Groups |
Teisės |
---|---|---|
HKLM\System\CurrentControlSet\Services\IISAdmin |
Administratoriai |
Visos teisės |
Kompiuterio modelis |
Visos teisės |
|
HKLM\System\CurrentControlSet\Services\MsFtpSvc |
Administratoriai |
Visos teisės |
Kompiuterio modelis |
Visos teisės |
|
HKLM\System\CurrentControlSet\Services\w3svc |
Administratoriai |
Visos teisės |
Kompiuterio modelis |
Visos teisės |
|
IWAM_<MachineName> |
Skaityti |
Vietinės saugos strategijos suteikia teises
-
Spustelėkite pradėti, spustelėkite Parametrai, ir tada spustelėkite Valdymo skydas.
-
Dukart spustelėkite Administravimo įrankiai, o tada dukart spustelėkite Vietinės saugos strategijos.
-
Vietinių saugos parametrų dialogo lange, padidinkite Vietos, ir tada spustelėkite Vartotojo teisių priskyrimas.
-
Modifikuoti tinkama politika:
-
Dukart spustelėkite strategiją.
-
Pasirinkite ir spustelėkite pašalinti bet kuriam vartotojui, kuris nėra lentelėje.
-
Pridėti bet kuriam vartotojui, kuris nėra. Norėdami tai padaryti, spustelėkite Pridėtiir pasirinkite vartotojo dialogo lange pasirinkti vartotojus ar grupes .
-
Atkreipkite dėmesį, kad dėl to, kad domeno valdiklis politiką pakeičia vietos politikos, turite būti tikri, kad Veiksmingas politikos nustatymas atitinka Vietos strategijos parametrą.
Strategijos
Toliau pateiktoje lentelėje išvardyti teises, kai atlikdami veiksmus, nurodytus skyriuje "Suteikia teises vietos saugumo politikos".
Strategija |
Vartotojai |
---|---|
Įėję į vietinį kompiuterį |
Administratoriai |
IUSR_ < MachineName > (anoniminis) |
|
Vartotojai (reikia autentifikavimo) |
|
Pasiekti šį kompiuterį iš tinklo |
Administratoriai |
ASPNet (".NET Framework") |
|
IUSR_ < MachineName > (anoniminis) |
|
IWAM_<MachineName> |
|
Vartotojai |
|
Įeikite kaip paketinė užduotis |
ASPNet |
Tinklo |
|
IUSR_<MachineName> |
|
IWAM_<MachineName> |
|
Tarnyba |
|
Įėjimas kaip paslauga |
ASPNet |
Tinklo |
|
Apeiti feed tikrinimas |
Administratoriai |
IUSR_ < MachineName > (anoniminis) |
|
Vartotojai (Basic, integruota, suvestinė) |
|
IWAM_<MachineName> |
Nuorodos
Jei norite gauti daugiau informacijos apie tai, kaip atkurti numatytąsias NTFS teises Windows 2000, spustelėkite šiuos straipsnių numerius ir peržiūrėkite straipsnius Microsoft žinių bazėje:
266118 kaip atkurti numatytąsias NTFS teises Windows 2000
260985 minimalus NTFS leidimų, reikalingų naudoti CDONTS
324068 kaip sukonfigūruoti IIS teises objektams
815153 kaip sukonfigūruoti NTFS rinkmenų leidimų saugumo ASP.NET paraiškų Jei norite gauti daugiau informacijos apie IIS 6.0 reikalaujama teises, spustelėkite toliau straipsnio numerį ir peržiūrėkite straipsnį Microsoft žinių bazėje:
812614 Numatytosios IIS 6.0 teisės ir vartotojo teisės
Daugiau informacijos
Šis straipsnis neapima bet kurios iš šių serverio funkcijas arba programas specialius apsaugos reikalavimus:
-
Windows 2000 domeno valdiklis
-
"Microsoft" Exchange 5.5 "arba" Microsoft Exchange 2000 Outlook Web Access
-
Microsoft Small Business Server 2000
-
Microsoft SharePoint Portal arba komandos paslaugos
-
"Microsoft" Commerce Server 2000 arba Microsoft Commerce Server 2002
-
"Microsoft BizTalk Server 2000" arba "Microsoft BizTalk Server 2002"
-
Microsoft Content Management Server 2000 arba Microsoft Content Management Server 2002
-
Microsoft taikymo centras 2000
-
Trečiosios šalies programos, kurios priklauso nuo papildomų teisių