Przejdź do głównej zawartości
Pomoc techniczna
Zaloguj się
Zaloguj się przy użyciu konta Microsoft
Zaloguj się lub utwórz konto.
Witaj,
Wybierz inne konto.
Masz wiele kont
Wybierz konto, za pomocą którego chcesz się zalogować.

W tym artykule opisano jak ustawić minimalne uprawnienia, które są wymagane przez protokół dedykowany Internet Information Services (IIS) w wersji 5.0, IIS 5.1 lub serwera sieci Web usług IIS w wersji 6.0.

Ograniczenia dla tego artykułu

Ostrzeżenie: W tym artykule jest prawidłowa tylko dla dedykowanym serwerze sieci Web, które używają podstawowe funkcje usług IIS, takie jak obsługujących zawartości HTML statycznych treści lub proste Active Server Pages (ASP). Wymagania dotyczące uprawnień, które są opisane w tym artykule dotyczą tylko podstawowe uprawnienia na dedykowanym serwerze sieci Web, w którym działa IIS 5. x lub usług IIS w wersji 6.0. W tym artykule nie należy wziąć pod uwagę inne firmy Microsoft i produkty innych firm może wymagać różnych uprawnień. Możesz przejrzeć dokumentację serwera i aplikacji na specyficzne wymagania zabezpieczeń. Zalecamy, aby przeglądać artykuły pokrewne specyficznymi dla ról serwera sieci Web.

Kroki przed konfiguracje uprawnienia testowania w środowisku produkcyjnym

Przed wprowadzeniem zmian uprawnień na serwerze sieci Web produkcji, firma Microsoft zaleca, należy wykonać następujące czynności:

  1. Uruchom najnowszą wersję narzędzie blokowania usług IIS. Następujące programy i usługi zostały zainstalowane jako część zestawu testów, który został użyty do testowania zabezpieczeń serwera po udzielanie uprawnień określonych w niniejszym artykule:

    • Indeks usługi

    • Usługi terminalowe

    • Debuger skryptów

    • USŁUGI IIS

      • Wspólne pliki

      • Dokumentacja

      • Rozszerzenia serwera programu FrontPage 2000

      • Menedżer usług internetowych (HTML)

      • WWW

      • FTP

  2. Należy przeprowadzić następujące badania funkcjonalności:

    • Dokumentów hipertekstowych (HTML)

    • Active Server Pages (ASP)

    • Rozszerzenia serwera programu FrontPage, takie jak łączenie, edytowanie i zapisywanie, jeśli FPSE jest włączony podczas korzystania z narzędzia do blokowania

    • Warstwy-Secure Socket połączenia (SSL)

Udziel własnością i uprawnieniami administratora i do systemu

Aby to zrobić, wykonaj następujące czynności:

  1. Otwórz program Eksplorator Windows. Aby to zrobić, kliknij przycisk Start, kliknij polecenie Programy, a następnie kliknij przycisk W Eksploratorze Windows.

  2. Rozwiń węzeł Mój komputer.

  3. Kliknij prawym przyciskiem myszy dysk systemowy (zwykle jest to dysk C), a następnie kliknij polecenie Właściwości.

  4. Kliknij kartę Zabezpieczenia , a następnie kliknij przycisk Zaawansowane , aby otworzyć okno dialogowe Ustawienia kontroli dostępu dla dysku lokalnego .

  5. Kliknij kartę właściciel , kliknij, aby zaznaczyć pole wyboru Zamień właściciela dla kontenerów podrzędnych i obiektów , a następnie kliknij przycisk Zastosuj. Jeśli zostanie wyświetlony następujący komunikat o błędzie, kliknij przycisk Kontynuuj:

    Wystąpił błąd zabezpieczeń informacji do %systemdrive%\Pagefile.sys

  6. Jeśli zostanie wyświetlony następujący komunikat o błędzie, kliknij przycisk Tak:

    Nie masz uprawnień do odczytu zawartości %systemdrive%\System Volume Information - Czy chcesz zastąpić uprawnienia katalogu - Wszystkie uprawnienia zostaną zamienione dając pełną kontrolę

  7. Kliknij przycisk OK , aby zamknąć okno dialogowe.

  8. Kliknij pozycję Dodaj.

  9. Dodaj następujący użytkownicy, a następnie przyznać im uprawnienia NTFS Pełna kontrola:

    • Administrator

    • System

    • Twórca-właściciel

  10. Po dodaniu tych uprawnień systemu plików NTFS, kliknij przycisk Zaawansowane, kliknij, aby zaznaczyć pole wyboru Resetuj uprawnienia na wszystkich obiektach podrzędnych i włącz propagację uprawnień dziedzicznych i kliknij przycisk Zastosuj.

  11. Jeśli zostanie wyświetlony następujący komunikat o błędzie, kliknij przycisk Kontynuuj:

    Wystąpił błąd zabezpieczeń informacji do %systemdrive%\Pagefile.sys

  12. Po zresetowaniu uprawnienia systemu plików NTFS, kliknij przycisk OK.

  13. Kliknij grupę Wszyscy , kliknij przycisk Usuń, a następnie kliknij OK.

  14. Otwórz właściwości folderu %systemdrive%\Program Files\Common Files, a następnie kliknij kartę Zabezpieczenia , Dodaj konto, które jest używane do anonimowego dostępu. Domyślnie jest to konto IUSR_<NazwaKomputera>. Następnie należy dodać do grupy Użytkownicy. Upewnij się, że zaznaczone są tylko następujące:

    • Odczyt i wykonanie

    • Wyświetlanie zawartości folderu

    • Odczyt

  15. Otwórz właściwości dla katalogu głównego, który przechowuje zawartości sieci Web. Domyślnie jest to folder %systemdrive%\Inetpub\Wwwroot. Kliknij kartę Zabezpieczenia , Dodaj konto IUSR_<NazwaKomputera> i grupie Użytkownicy i następnie upewnij się, że zaznaczone są wyłącznie następujące:

    • Odczyt i wykonanie

    • Wyświetlanie zawartości folderu

    • Odczyt

  16. Jeśli chcesz udzielić uprawnienia NTFS forinetpub\ftproot lub ścieżkę katalogu dla witryny FTP lub witryn, powtarzaj krok 15. Uwaga Nie zaleca się udzielanie uprawnień NTFS zapisu konta anonimowego w wszelkich katalogów, łącznie z katalogów używanych przez używane przez usługę FTP. Może to spowodować niepotrzebne dane mają być przesłane do serwera sieci Web.

Wyłączyć dziedziczenie w katalogach systemu

Aby to zrobić, wykonaj następujące czynności:

  1. W folderze %systemroot%\System32 wybierz wszystkie foldery, z wyjątkiem następujących:

    • Inetsrv

    • Polecenie CertSrv (jeśli istnieją)

    • COM

  2. Pozostałych folderów kliknij prawym przyciskiem myszy, kliknij polecenie Właściwości, a następnie kliknij kartę Zabezpieczenia .

  3. Kliknij, aby wyczyścić pole wyboru Zezwalaj dziedziczonych uprawnień , kliknij przycisk Kopiuj, a następnie kliknij OK.

  4. W folderze % systemroot % wybierz wszystkie foldery, z wyjątkiem następujących:

    • Montaż (jeśli istnieją)

    • Pobrane pliki programów

    • Pomoc

    • Microsoft.NET (jeśli istnieją)

    • Strony sieci Web trybu offline

    • System32

    • Zadania

    • Temp

    • W sieci Web

  5. Pozostałych folderów kliknij prawym przyciskiem myszy, kliknij polecenie Właściwości, a następnie kliknij kartę Zabezpieczenia .

  6. Kliknij, aby wyczyścić pole wyboru Zezwalaj dziedziczonych uprawnień , kliknij przycisk Kopiuj, a następnie kliknij OK.

  7. Udziel uprawnień do następującego:

    1. Otwórz okno właściwości dla folderu % systemroot %, kliknij kartę Zabezpieczenia , dodawać konta IUSR_ < nazwa_komputera > i IWAM_ < NazwaKomputera > i grupy użytkowników i następnie upewnij się, że są tylko następujące wybrane:

      • Odczyt i wykonanie

      • Wyświetlanie zawartości folderu

      • Odczyt

    2. Otwórz właściwości folderu %systemroot%\Temp, wybierz konto IUSR_<NazwaKomputera> (to konto już istnieje ponieważ dziedziczy po folderze Winnt) i kliknij, aby zaznaczyć pole wyboru Modyfikuj . Powtórz ten krok dla konta IWAM_ < NazwaKomputera > i Grupa użytkowników .

    3. Jeśli klienci rozszerzenia serwera programu FrontPage, takich jak FrontPage lub Microsoft Visual InterDev są używane, otwórz właściwości folderu %systemdrive%\Inetpub\Wwwroot, wybierz grupę Użytkownicy uwierzytelnieni , zaznacz następujące opcje, a następnie kliknij OK :

      • Modyfikowanie

      • Odczyt i wykonanie

      • Wyświetlanie zawartości folderu

      • Odczyt

      • Napisz

Uprawnienia systemu plików NTFS

Poniższa tabela zawiera listę uprawnień, które będą stosowane podczas wykonaj kroki opisane w sekcji "Wyłączenie dziedziczenia w katalogach systemu". Ta tabela jest tylko w celach informacyjnych. Aby zastosować uprawnienia w poniższej tabeli, wykonaj następujące kroki:

  1. Otwórz program Eksplorator Windows. Aby to zrobić, kliknij przycisk Start, kliknij polecenie Programy, kliknij polecenie Akcesoriai kliknij polecenie Eksplorator Windows.

  2. Rozwiń węzeł Mój komputer.

  3. Kliknij prawym przyciskiem myszy % systemroot %, a następnie kliknij polecenie Właściwości.

  4. Kliknij kartę Zabezpieczenia , a następnie kliknij przycisk Zaawansowane.

  5. Kliknij dwukrotnie uprawnienie, a następnie wybierz odpowiednie ustawienie z listy Zastosuj .

Uwaga W "stosuje się do" kolumnę, określenie domyślnego odnosi się do "Ten folder, podfoldery i pliki."

Katalog

Users\Groups

Uprawnienia

Zastosuj do

%systemroot%\ (c:\winnt)

Administrator

Pełna kontrola

Domyślne

System

Pełna kontrola

Domyślne

Użytkownicy

Odczyt, wykonanie

Domyślne

%systemroot%\system32

Administratorzy

Pełna kontrola

Domyślne

System

Pełna kontrola

Domyślne

Użytkownicy

Odczyt, wykonanie

Domyślne

%systemroot%\system32\inetsrv

Administratorzy

Pełna kontrola

Domyślne

System

Pełna kontrola

Domyślne

Użytkownicy

Odczyt, wykonanie

Domyślne

Inetpub\adminscripts

Administratorzy

Pełna kontrola

Domyślne

Inetpub\urlscan (jeśli istnieją)

Administratorzy

Pełna kontrola

Domyślne

System

Pełna kontrola

Domyślne

%systemroot%\system32\inetsrv\metaback

Administratorzy

Pełna kontrola

Domyślne

System

Pełna kontrola

Domyślne

%systemroot%\help\iishelp\common

Administratorzy

Pełna kontrola

Ten folder i pliki

System

Pełna kontrola

Ten folder i pliki

IWAM_<Machinename>

Odczyt, wykonanie

Ten folder i pliki

Sieci

Pełna kontrola

Ten folder i pliki

Usługi

Ten folder i pliki

Użytkownicy

Odczyt, wykonanie

Ten folder i pliki

Inetpub\Wwwroot (lub katalogi z zawartością)

Administratorzy

Pełna kontrola

Ten folder i pliki

System

Pełna kontrola

Ten folder i pliki

IWAM_<MachineName>

Odczyt, wykonanie

Ten folder i pliki

Usługi

Odczyt, wykonanie

Ten folder i pliki

Sieci

Odczyt, wykonanie

Ten folder i pliki

Optional**:

Użytkownicy

Odczyt, wykonanie

Ten folder i pliki

Uwaga Jeśli używane są rozszerzenia serwera programu FrontPage, użytkownicy uwierzytelnieni lub grupie Użytkownicy musi mieć uprawnienia NTFS zmiany, aby utworzyć, zmienić, zapisać lub aby zapewnić funkcje, których programista może okazać się mieć od typu programu FrontPage klienta, takie jak Program Visual InterDev 6.0 lub FrontPage 2002.

Udziel uprawnień w rejestrze

  1. Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz polecenie regedt32, a następnie kliknij przycisk OK. Nie należy używać Edytora rejestru, ponieważ nie pozwalają zmienić uprawnienia w systemie Windows 2000.

  2. W Edytorze rejestru zlokalizuj i zaznacz HKEY_LOCAL_MACHINE.

  3. Rozwiń gałąź System, rozwiń węzeł CurrentControlSet, a następnie rozwiń węzeł usługi.

  4. Wybierz klucz IISADMIN , kliknij opcję Zabezpieczenia (lub naciśnij klawisze ALT + S), a następnie wybierz Uprawnienia (lub naciśnij klawisz P).

  5. Kliknij, aby wyczyścić pole wyboru Zezwalaj na propagowanie dziedzicznych uprawnień z obiektu nadrzędnego do tego obiektu , kliknij Kopiuj, a następnie usuń wszystkich użytkowników z wyjątkiem:

    • Administratorzy (Zezwalaj na odczyt i Pełna kontrola)

    • System (Zezwalaj na odczyt i Pełna kontrola)

  6. Kliknij przycisk OK.

  7. Powtórz kroki dla klucza MSFTPSVC .

  8. Umożliwia wybranie klucza W3SVC , kliknij kartę Zabezpieczenia, a następnie kliknij uprawnienia.

  9. Kliknij, aby wyczyścić pole wyboru Zezwalaj na propagowanie dziedzicznych uprawnień z obiektu nadrzędnego do tego obiektu , a następnie usuń wszystkie wpisy z wyjątkiem:

    • Administratorzy (Zezwalaj na odczyt i Pełna kontrola)

    • System (Zezwalaj na odczyt i Pełna kontrola)

    • Sieć (odczyt)

    • Usługi (odczyt)

    • IWAM_ < NazwaKomputera > (odczyt)

  10. Kliknij przycisk OK.

Rejestr

Poniższa tabela zawiera listę uprawnień, które będą stosowane podczas wykonaj kroki opisane w sekcji "Udziel uprawnień w rejestrze". Ta tabela jest tylko w celach informacyjnych. Uwaga Skrót oznacza HKLM dla klucza HKEY_LOCAL_MACHINE.

Lokalizacja

Users\Groups

Uprawnienia

HKLM\System\CurrentControlSet\Services\IISAdmin

Administratorzy

Pełna kontrola

System

Pełna kontrola

HKLM\System\CurrentControlSet\Services\MsFtpSvc

Administratorzy

Pełna kontrola

System

Pełna kontrola

HKLM\System\CurrentControlSet\Services\w3svc

Administratorzy

Pełna kontrola

System

Pełna kontrola

IWAM_<MachineName>

Odczyt

Udziel praw w zasadach zabezpieczeń lokalnych

  1. Kliknij przycisk Start, kliknij przycisk Ustawienia, a następnie kliknij polecenie Panel sterowania.

  2. Kliknij dwukrotnie ikonę Narzędzia administracyjne, a następnie kliknij dwukrotnie ikonę Zasady zabezpieczeń lokalnych.

  3. W oknie dialogowym Ustawienia zabezpieczeń lokalnych rozwiń węzeł Zasady lokalne, a następnie kliknij Przypisywanie praw użytkownika.

  4. Zmodyfikuj odpowiednie zasady:

    1. Kliknij dwukrotnie zasadę.

    2. Wybierz, a następnie kliknij przycisk Usuń dla każdego użytkownika, który jest nie wymienionych w tabeli.

    3. Dodaj każdy użytkownik, który nie ma na liście. Aby to zrobić, kliknij przycisk Dodaj, a następnie wybierz użytkownika w oknie dialogowym Wybieranie użytkowników lub grup .

Należy zauważyć, że ponieważ zasady kontrolera domeny zastępują zasady lokalne, należy się upewnić, że Skuteczne ustawienie zasad pasuje Ustawianie zasad lokalnych.

Zasady

Poniższa tabela zawiera listę uprawnień, które będą stosowane podczas wykonaj kroki opisane w sekcji "Udziel praw w lokalnych zasadach zabezpieczeń".

Zasady

Użytkownicy

Logowanie lokalne

Administratorzy

Konto IUSR_ < nazwa_komputera > (anonimowy)

Użytkownicy (wymagane uwierzytelnienie)

Dostęp do tego komputera z sieci

Administratorzy

ASPNet (.NET Framework)

Konto IUSR_ < nazwa_komputera > (anonimowy)

IWAM_<MachineName>

Użytkownicy

Logowanie jako zadanie wsadowe

ASPNet

Sieci

IUSR_<MachineName>

IWAM_<MachineName>

Usługi

Logowanie w trybie usługi

ASPNet

Sieci

Pomijanie sprawdzania przy przechodzeniu przez folder

Administratorzy

Konto IUSR_ < nazwa_komputera > (anonimowy)

Użytkownicy (podstawowe, zintegrowane, szyfrowane)

IWAM_<MachineName>

Informacje

Aby uzyskać więcej informacji dotyczących sposobu przywracania domyślnych uprawnień NTFS w systemie Windows 2000 kliknij następujące numery artykułów w celu wyświetlenia tych artykułów z bazy wiedzy Microsoft Knowledge Base:

266118 jak przywrócić domyślne uprawnienia systemu plików NTFS w systemie Windows 2000

260985 minimalne uprawnienia NTFS wymagane do korzystania z CDONTS

324068 Ustawianie uprawnień programu IIS dla konkretnych obiektów

815153 jak skonfigurować uprawnienia plików systemu NTFS dla zabezpieczeń aplikacji ASP.NET Aby uzyskać więcej informacji dotyczących wymaganych uprawnień dla usług IIS 6.0 kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:

812614 Domyślne uprawnienia i prawa użytkowników dla programu IIS 6.0

Więcej informacji

Ten artykuł nie dotyczy jednego z wymogów zabezpieczeń następujących ról serwera lub aplikacji:

  • System Windows 2000 Kontroler domeny

  • Program Microsoft Exchange 5.5 lub Microsoft Exchange 2000 Outlook Web Access

  • Microsoft Small Business Server 2000

  • Team Services lub Microsoft SharePoint Portal

  • Microsoft Commerce Server 2000 lub Microsoft Commerce Server 2002

  • Program Microsoft BizTalk Server 2000 lub Microsoft BizTalk Server 2002

  • Microsoft Content Management Server 2000 lub Microsoft Content Management Server 2002

  • Program Microsoft Application Center 2000

  • Aplikacje innych firm, które zależą od dodatkowych uprawnień

Facebook LinkedIn Adres e-mail
ZASUBSKRYBUJ KANAŁY INFORMACYJNE RSS

Potrzebujesz dalszej pomocy?

Chcesz uzyskać więcej opcji?

Odkryj Społeczność

Poznaj korzyści z subskrypcji, przeglądaj kursy szkoleniowe, dowiedz się, jak zabezpieczyć urządzenie i nie tylko.

Korzyści z subskrypcji platformy Microsoft 365

Szkolenia dotyczące platformy Microsoft 365

Rozwiązania dotyczące zabezpieczeń firmy Microsoft

Centrum ułatwień dostępu

Społeczności pomagają zadawać i odpowiadać na pytania, przekazywać opinie i słuchać ekspertów z bogatą wiedzą.

Zapytaj społeczność firmy Microsoft

Społeczność techniczna firmy Microsoft

Niejawny program testów systemu Windows

Microsoft 365 Insiders

Czy te informacje były pomocne?

Jaka jest jakość języka?
Co wpłynęło na Twoje wrażenia?
Jeśli naciśniesz pozycję „Wyślij”, Twoja opinia zostanie użyta do ulepszania produktów i usług firmy Microsoft. Twój administrator IT będzie mógł gromadzić te dane. Oświadczenie o ochronie prywatności.

Dziękujemy za opinię!

×