Права пользователей и разрешения, устанавливаемые по умолчанию для служб IIS 6.0

Заявление об отказе от обязательств для неподдерживаемых продуктов

Эта статья содержит сведения о продуктах, поддержка которых корпорацией Майкрософт прекращена. Поэтому она предлагается «как есть» и обновляться не будет.

ВВЕДЕНИЕ

В статье описываются права пользователей и разрешения, устанавливаемые по умолчанию на сервере приложений, на котором установлены службы IIS 6.0.

Дополнительная информация

В приведенных ниже таблицах перечислены разрешения файловой системы NTFS, разрешения на доступ к разделам реестра и права пользователей Microsoft Windows. Данная информация относится к системам, в составе которых поставляется Microsoft ASP.NET. В этой статье рассматривается только служба веб-публикации. Другие компоненты (такие как службы FTP, SMTP и серверные расширения Microsoft FrontPage) не рассматриваются.

Примечание. В данном документе в качестве учетной записи, используемой для анонимного входа, рассматривается учетная запись IUSR_имя_компьютера.

Разрешения NTFS

КаталогПользователи и группыРазрешения
%windir%\help\iishelp\commonАдминистраторыПолный доступ
%windir%\help\iishelp\commonСистемаПолный доступ
%windir%\help\iishelp\commonIIS_WPGЧтение, выполнение
%windir%\help\iishelp\commonПользователи (см. примечание 1)Чтение, выполнение
%windir%\IIS Temporary Compressed FilesАдминистраторыПолный доступ
%windir%\IIS Temporary Compressed FilesСистемаПолный доступ
%windir%\IIS Temporary Compressed FilesIIS_WPGПолный доступ
%windir%\IIS Temporary Compressed FilesСоздатель-владелецПолный доступ
%windir%\system32\inetsrvАдминистраторыПолный доступ
%windir%\system32\inetsrvСистемаПолный доступ
%windir%\system32\inetsrvПользователиЧтение, выполнение
%windir%\system32\inetsrv\*.vbsАдминистраторыПолный доступ
%windir%\system32\inetsrv\ASP compiled templatesАдминистраторыПолный доступ
%windir%\system32\inetsrv\ASP compiled templatesIIS_WPGПолный доступ
%windir%\system32\inetsrv\HistoryАдминистраторыПолный доступ
%windir%\system32\inetsrv\HistoryСистемаПолный доступ
%windir%\system32\LogfilesАдминистраторыПолный доступ
%windir%\system32\inetsrv\metabackАдминистраторыПолный доступ
%windir%\system32\inetsrv\metabackСистемаПолный доступ
Inetpub\AdminscriptsАдминистраторыПолный доступ
Inetpub\wwwroot (или каталоги с содержимым)АдминистраторыПолный доступ
Inetpub\wwwroot (или каталоги с содержимым)СистемаПолный доступ
Inetpub\wwwroot (или каталоги с содержимым)IIS_WPGЧтение, выполнение
Inetpub\wwwroot (или каталоги с содержимым)IUSR_имя_компьютераЧтение, выполнение
Inetpub\wwwroot (или каталоги с содержимым)ASPNET (см. примечание 2) Чтение, выполнение

Примечание 1. Доступ к данному каталогу необходим при использовании обычной или встроенной проверки подлинности, а также при создании настраиваемых сообщений об ошибках. Например, при возникновении ошибки 401.1 пользователь увидит подробное ее описание только в том случае, если ему предоставлено разрешение на чтение файла 4011.htm.

Примечание 2. По умолчанию в режиме изоляции служб IIS 5.0 в качестве удостоверения процесса ASP.NET используется ASP.NET. Если ASP.NET переключается в режим изоляции служб IIS 5.0, процессу ASP.NET должен быть предоставлен доступ к папкам с содержимым веб-узла. Сведения об изоляции процесса ASP.NET см. в справке служб IIS. Дополнительные сведения см. на следующем веб-узле корпорации Майкрософт:

Изоляция процесса ASP.NET

Разрешения на доступ к разделам реестра

РасположениеПользователи и группыРазрешения
HKLM\System\CurrentControlSet\Services\ASPАдминистраторыПолный доступ
HKLM\System\CurrentControlSet\Services\ASPСистемаПолный доступ
HKLM\System\CurrentControlSet\Services\ASPIIS_WPGЧтение
HKLM\System\CurrentControlSet\Services\HTTPАдминистраторыПолный доступ
HKLM\System\CurrentControlSet\Services\HTTPСистемаПолный доступ
HKLM\System\CurrentControlSet\Services\HTTPIIS_WPGЧтение
HKLM\System\CurrentControlSet\Services\IISAdminАдминистраторыПолный доступ
HKLM\System\CurrentControlSet\Services\IISAdminСистемаПолный доступ
HKLM\System\CurrentControlSet\Services\IISAdminIIS_WPGЧтение
HKLM\System\CurrentControlSet\Services\w3svcАдминистраторыПолный доступ
HKLM\System\CurrentControlSet\Services\w3svcСистемаПолный доступ
HKLM\System\CurrentControlSet\Services\w3svcIIS_WPGЧтение

Права пользователей Windows

ПолитикаПользователи
Доступ к компьютеру из сетиАдминистраторы
Доступ к компьютеру из сетиASPNET
Доступ к компьютеру из сетиIUSR_имя_компьютера
Доступ к компьютеру из сетиIWAM_имя_компьютера
Доступ к компьютеру из сетиПользователи
Настройка квот памяти для процессаАдминистраторы
Настройка квот памяти для процессаIWAM_имя_компьютера
Настройка квот памяти для процессаЛокальная служба
Настройка квот памяти для процессаСетевая служба
Обход перекрестной проверкиIIS_WPG
Локальный вход в систему (см. примечание)Администраторы
Локальный вход в систему (см. примечание)IUSR_имя_компьютера
Отклонить локальный входASPNET
Олицетворять клиента после проверки подлинностиАдминистраторы
Олицетворять клиента после проверки подлинностиASPNET
Олицетворять клиента после проверки подлинностиIIS_WPG
Олицетворять клиента после проверки подлинностиСлужба
Вход в качестве пакетного заданияASPNET
Вход в качестве пакетного заданияIIS_WPG
Вход в качестве пакетного заданияIUSR_имя_компьютера
Вход в качестве пакетного заданияIWAM_имя_компьютера
Вход в качестве пакетного заданияЛокальная служба
Вход в качестве службыASPNET
Вход в качестве службыСетевая служба
Замена маркера уровня процессаIWAM_имя_компьютера
Замена маркера уровня процессаЛокальная служба
Замена маркера уровня процессаСетевая служба

Примечание. По умолчанию при установке новой копии Microsoft Windows Server 2003 со службами IIS 6.0 группам «Пользователи» и «Все» предоставляется разрешение «Обход перекрестной проверки». Удостоверение рабочего процесса наследует данное право благодаря принадлежности к одной из этих групп. Если разрешение «Обход перекрестной проверки» не предоставлено ни одной из этих групп и удостоверение рабочего процесса не наследует данное разрешение от других объектов, то рабочий процесс не запустится. Если необходимо лишить группы «Пользователи» и «Все» разрешения «Обход перекрестной проверки», то для обеспечения работоспособности служб IIS предоставьте данное разрешение группе IIS_WPG.

Примечание. Если в параметрах служб IIS 6.0 предусмотрено использование обычной проверки подлинности, то в метабазе свойство LogonMethod принимает значение NETWORK_CLEARTEXT. При использовании метода входа в систему NETWORK_CLEARTEXT право «Локальный вход в систему» не требуется. Кроме того, данное право не требуется при использовании анонимной проверки подлинности. Дополнительные сведения см. в разделе «Вход с обычной проверкой подлинности» справки IIS или на следующем веб-узле корпорации Майкрософт:

Обычная проверка подлинности

Ссылки

Дополнительные сведения о внедрении системы безопасности служб IIS и управлению ею см. на следующем веб-узле корпорации Майкрософт:

Руководство по безопасности Windows Server 2003 TechNetРесурсы по обеспечению безопасностиПовышение безопасности веб-приложений: угрозы и меры противодействия
Свойства

Номер статьи: 812614 — последний просмотр: 20 марта 2007 г. — редакция: 1

Отзывы и предложения