Ako nastaviť minimálne povolenia NTFS a používateľské práva pre IIS verzie 5.x alebo IIS 6.0

Tento článok popisuje, ako nastaviť minimálne povolenia, ktoré sú potrebné pre vyhradené Internet Information Services (IIS) 5.0, IIS 5.1 alebo IIS 6.0 webový server.

Obmedzenie pre tento článok

Upozornenie: Tento článok platí len pre vyhradené servery, používajúce základnú funkčnosť IIS, ako napríklad doručovanie obsahu HTML statické obsah alebo jednoduché stránky ASP (Active Server). Povolenie požiadavky, ktoré sú popísané v tomto článku sa vzťahujú iba na základné povolenia pre Vyhradený serverom so systémom IIS 5. x alebo IIS 6.0. Tento článok sa nepovažuje iných Microsoft a produktmi iných výrobcov môžu vyžadovať rôzne povolenia. Si môžete prezrieť server a aplikácie dokumentácii špecifických bezpečnostných požiadaviek. Odporúčame Skontrolujte súvisiace články ktoré sú špecifické pre roly webového servera.

Testovacie kroky pred povolenia konfigurácie v produkčnom prostredí

Skôr, než zmeníte povolenia na výrobu webového servera, odporúčame vykonať nasledujúce kroky:

  1. Spustiť najaktuálnejšiu verziu nástroja IIS Lockdown. Tieto programy a služby nainštalované ako súčasť balíka test použitý na testovanie servera po vydaní povolenia, ktoré sú uvedené v tomto článku:

    • Index služby

    • Terminálové služby

    • Nástroj na ladenie skriptov

    • SLUŽBA IIS

      • Spoločné súbory

      • Dokumentácia

      • Rozšírenia servera FrontPage 2000

      • Správca internetových služieb (HTML)

      • WWW

      • FTP

  2. Vykonajte nasledujúce testy funkčnosti:

    • Hypertextových dokumentov (HTML)

    • Active Server Pages (ASP)

    • Rozšírenia servera FrontPage, pripojenie, úprava a ukladanie, ak FPSE zapnuté pri používaní nástroja uzamknutie

    • Secure Socket vrstvy pripojenia (SSL).

Grant vlastníctva a povolenie správcu a systém

Postupujte podľa nasledujúcich krokov:

  1. Otvorte program Windows Prieskumník. Chcete urobiť, kliknite na tlačidlo Štartprogramy, a potom kliknite na Program Windows Prieskumník.

  2. Rozbaľte môj počítač.

  3. Kliknite pravým tlačidlom myši systémovej jednotky (obvykle je to jednotka C) a potom kliknite na položku Vlastnosti.

  4. Kliknite na kartu zabezpečenie a kliknite na tlačidlo Spresniť otvorte dialógové okno Nastavenia riadenia prístupu na lokálny Disk .

  5. Kliknite na kartu vlastník , začiarknite políčko Nahradiť vlastníka Sub kontajnerov a objektov a kliknite na tlačidlo Apply. Ak sa zobrazí chybové hlásenie, kliknite na tlačidlo pokračovať:

    Vyskytla sa chyba uplatňovania bezpečnostných informácií o %systemdrive%\Pagefile.sys

  6. Ak sa zobrazí chybové hlásenie, kliknite na tlačidlo Áno:

    Nemáte povolenie na čítanie obsahu adresára %systemdrive%\System Volume Information - chcete nahradiť povolenia adresár - všetky povolenia bude nahradený úplný prístup

  7. Kliknite na tlačidlo OK zatvorte dialógové okno.

  8. Kliknite na tlačidlo Pridať.

  9. Pridať týchto používateľov, a potom im povolenia na úplné ovládanie NTFS:

    • Správca

    • Systém

    • Creator Owner

  10. Po pridaní tieto povolenia NTFS, kliknite na položku Rozšírené, kliknite na políčko Vynulovať povolenia pre všetky podradené objekty a zapnúť šírenie dedičných povolení a kliknite na tlačidlo Apply.

  11. Ak sa zobrazí chybové hlásenie, kliknite na tlačidlo pokračovať:

    Vyskytla sa chyba uplatňovania bezpečnostných informácií o %systemdrive%\Pagefile.sys

  12. Po obnovení povolenia NTFS, kliknite na tlačidlo OK.

  13. Kliknite na skupinu Everyone , kliknite na položku odstrániťa kliknite na tlačidlo OK.

  14. Otvorte vlastnosti priečinka Program Files %systemdrive%\Program a kliknite na tlačidlo zabezpečenia kreslenie pridať konto používané pre anonymný prístup. Toto je predvolene IUSR_ < MachineName > konto. Pridajte skupiny Users. Uistite sa, že sú vybraté iba nasledovné:

    • Čítať a vykonávať

    • Obsah priečinka

    • Čítanie

  15. Otvorte vlastnosti pre koreňový adresár obsahujúci webového obsahu. Toto je predvolene priečinku %systemdrive%\Inetpub\Wwwroot. Kliknite na kartu zabezpečenie , pridať IUSR_ < MachineName > konto a skupiny používateľov a uistite sa, že sú vybraté iba nasledovné:

    • Čítať a vykonávať

    • Obsah priečinka

    • Čítanie

  16. Ak chcete udeliť písať NTFS povolenie forInetpub\FTProot alebo cestu k adresáru pre vaše FTP miesto alebo miesta, opakujte krok 15. Poznámka: Neodporúčame, že povolenia NTFS zapisovať anonymný konto v žiadnych adresárov, vrátane adresárov používa FTP služba využíva. Môže to spôsobiť nepotrebné údaje na odovzdanie na webovom serveri.

Vypnúť dedičnosť systémových adresárov

Postupujte podľa nasledujúcich krokov:

  1. %Systemroot%\System32 priečinok, vyberte všetky priečinky okrem nasledujúcich:

    • Inetsrv

    • Certsrv (ak existujú)

    • COM

  2. Kliknite pravým tlačidlom myši na zostávajúce priečinky kliknite na položku Vlastnostia potom kliknite na kartu zabezpečenie .

  3. Kliknutím zrušte začiarknutie políčka Povoliť dedičné povolenia , Kopírovať, a kliknite na tlačidlo OK.

  4. V priečinku % systemroot %, vyberte všetky priečinky okrem nasledujúcich:

    • Zhromaždenie (ak existujú)

    • Prevzaté programové súbory

    • pomoc

    • Microsoft.NET (ak existujú)

    • Webové stránky v režime offline

    • System32

    • Úlohy

    • Temp

    • Web

  5. Kliknite pravým tlačidlom myši na zostávajúce priečinky kliknite na položku Vlastnostia potom kliknite na kartu zabezpečenie .

  6. Kliknutím zrušte začiarknutie políčka Povoliť dedičné povolenia , Kopírovať, a kliknite na tlačidlo OK.

  7. Prideliť povolenia takto:

    1. Otvorte vlastnosti priečinku % systemroot %, kliknite na kartu zabezpečenie , pridať IUSR_ < MachineName > a < MachineName > IWAM_ účty a skupiny používateľov a uistite sa, či sú len vybraté:

      • Čítať a vykonávať

      • Obsah priečinka

      • Čítanie

    2. Otvorte vlastnosti priečinku %systemroot%\Temp < MachineName > IUSR_ účet (Toto konto je už prítomný pretože dedí z priečinku Winnt) a kliknite na políčko Upraviť . Zopakujte tento krok pre IWAM_ < MachineName > konto a Skupina users .

    3. Ak FrontPage Server Extension klientov, ako sa používajú FrontPage alebo Microsoft angličtine, otvorte vlastnosti priečinku %systemdrive%\Inetpub\Wwwroot, vyberte skupina Authenticated Users , vyberte a kliknite na tlačidlo OK :

      • Upraviť

      • Čítať a vykonávať

      • Obsah priečinka

      • Čítanie

      • Zápis

Povolenia NTFS

Nasledujúca tabuľka obsahuje povolenia, ktoré sa použije po vykonaní krokov v časti "Vypnúť dedičnosť systémových adresárov". Táto tabuľka je len na referenčné účely. Ak chcete použiť povolenia v nasledujúcej tabuľke, postupujte nasledovne:

  1. Otvorte program Windows Prieskumník. Chcete urobiť, kliknite na tlačidlo Štart, programy, príslušenstvoa kliknite na tlačidlo Windows Explorer.

  2. Rozbaľte môj počítač.

  3. Kliknite pravým tlačidlom myši na priečinok % systemroot %a potom kliknite na položku Vlastnosti.

  4. Kliknite na kartu zabezpečenie a kliknite na položku Rozšírené.

  5. Dvakrát kliknite na položku povoleniaa vyberte príslušné nastavenie v zozname Použiť na .

Poznámka:  V "vzťahuje na" stĺpec, termín predvolené odkazuje na "Tento priečinok, podpriečinky a súbory."

Adresár

Users\Groups

Povolenia

Použite

%systemroot%\ (c:\winnt)

Správca

Úplné ovládanie

Predvolené

Systém

Úplné ovládanie

Predvolené

Používatelia

Prečítajte si, realizovať

Predvolené

%systemroot%\system32

Správcovia

Úplné ovládanie

Predvolené

Systém

Úplné ovládanie

Predvolené

Používatelia

Prečítajte si, realizovať

Predvolené

%systemroot%\system32\inetsrv

Správcovia

Úplné ovládanie

Predvolené

Systém

Úplné ovládanie

Predvolené

Používatelia

Prečítajte si, realizovať

Predvolené

Inetpub\adminscripts

Správcovia

Úplné ovládanie

Predvolené

Inetpub\urlscan (ak existujú)

Správcovia

Úplné ovládanie

Predvolené

Systém

Úplné ovládanie

Predvolené

%systemroot%\system32\inetsrv\metaback

Správcovia

Úplné ovládanie

Predvolené

Systém

Úplné ovládanie

Predvolené

%systemroot%\help\iishelp\common

Správcovia

Úplné ovládanie

Tento priečinok a súbory

Systém

Úplné ovládanie

Tento priečinok a súbory

IWAM_<Machinename>

Prečítajte si, realizovať

Tento priečinok a súbory

Sieť

Úplné ovládanie

Tento priečinok a súbory

Služba

Tento priečinok a súbory

Používatelia

Prečítajte si, realizovať

Tento priečinok a súbory

Inetpub\wwwroot (alebo obsah adresára)

Správcovia

Úplné ovládanie

Tento priečinok a súbory

Systém

Úplné ovládanie

Tento priečinok a súbory

IWAM_<MachineName>

Prečítajte si, realizovať

Tento priečinok a súbory

Služba

Prečítajte si, realizovať

Tento priečinok a súbory

Sieť

Prečítajte si, realizovať

Tento priečinok a súbory

Optional**:

Používatelia

Prečítajte si, realizovať

Tento priečinok a súbory

Poznámka: Ak používate rozšírenia servera FrontPage, Authenticated Users alebo skupiny používateľov musíte mať povolenie na zmenu NTFS na vytvorenie, premenovanie, písať alebo poskytovať funkcie, ktoré Vývojár môže mať z FrontPage-typ klienta, ako Angličtine 6.0 alebo FrontPage 2002.

Udelenie povolení databázy registry

  1. Kliknite na tlačidlo Štart, kliknite na tlačidlo Spustiť, typu regedt32a kliknite na tlačidlo OK. Nepoužívajte Editor databázy Registry, pretože to neumožňuje zmeniť povolenia v systéme Windows 2000.

  2. V editore databázy Registry vyhľadajte a vyberte HKEY_LOCAL_MACHINE.

  3. Rozbaľte systém, rozbaľte položku CurrentControlSeta rozbaľte služby.

  4. Vyberte IISADMIN kľúč, kliknite na tlačidlo zabezpečenia (alebo stlačte kombináciu klávesov ALT + S) a vyberte Povolenia (alebo stlačte kláves P).

  5. Kliknutím zrušte začiarknutie políčka Povoliť dedičné povolenia od nadradeného na podradené objekty , Kopírovať, a potom odstráňte všetkých používateľov okrem:

    • Správcovia (povoliť čítanie a úplné ovládanie)

    • Systém (povoliť čítanie a úplné ovládanie)

  6. Kliknite na tlačidlo OK.

  7. Opakujte kroky MSFTPSVC kľúča.

  8. Vyberte kľúč W3SVC , kliknitea kliknite na položku povolenia.

  9. Zrušte začiarknutie políčka Povoliť dedičné povolenia od nadradeného na podradené objekty , a potom odstráňte všetky položky okrem:

    • Správcovia (povoliť čítanie a úplné ovládanie)

    • Systém (povoliť čítanie a úplné ovládanie)

    • Siete (čítanie)

    • Služba (čítať)

    • IWAM_ < MachineName > (čítať)

  10. Kliknite na tlačidlo OK.

Databázy Registry

Nasledujúca tabuľka obsahuje povolenia, ktoré sa použije po vykonaní krokov v časti "Udelenie povolení databázy registry". Táto tabuľka je len na referenčné účely. Poznámka: Skratka HKLM znamená HKEY_LOCAL_MACHINE.

Umiestnenie

Users\Groups

Povolenia

HKLM\System\CurrentControlSet\Services\IISAdmin

Správcovia

Úplné ovládanie

Systém

Úplné ovládanie

HKLM\System\CurrentControlSet\Services\MsFtpSvc

Správcovia

Úplné ovládanie

Systém

Úplné ovládanie

HKLM\System\CurrentControlSet\Services\w3svc

Správcovia

Úplné ovládanie

Systém

Úplné ovládanie

IWAM_<MachineName>

Čítanie

Udelenie práv v lokálnej politiky zabezpečenia

  1. Kliknite na tlačidlo Štart, kliknite na položku Nastaveniea kliknite na položku Ovládací Panel.

  2. Dvakrát kliknite na položku Nástroje na správua potom dvakrát kliknite na Lokálna politika zabezpečenia.

  3. V dialógovom okne Miestne nastavenia zabezpečenia , rozbaľte Lokálne politikya kliknite na tlačidlo Priradenie práv používateľov.

  4. Úpravy príslušnej politiky:

    1. Dvakrát kliknite na politiku.

    2. Vyberte a kliknite na položku odstrániť používateľ, ktorý nie je uvedený v tabuľke.

    3. Pridať používateľa, ktorý nie je uvedený. Chcete urobiť, kliknite na tlačidlo Pridať, a potom vyberte používateľa v dialógovom okne Výber používateľov a skupín .

Všimnite si, že pretože politiky radiča domény prepíše lokálnej politiky, musíte sa uistiť, že efektívne politiky farbám Miestne nastavenie politiky.

Podmienky

Nasledujúca tabuľka obsahuje povolenia, ktoré sa použije po vykonaní krokov v časti "Udelenie práva v lokálnej politike zabezpečenia".

Politika

Používatelia

Prihlásiť sa lokálne

Správcovia

IUSR_ < MachineName > (anonymný)

Používateľom (vyžaduje sa overenie)

Prístup k tomuto počítaču zo siete

Správcovia

ASPNet (.NET Framework)

IUSR_ < MachineName > (anonymný)

IWAM_<MachineName>

Používatelia

Prihláste sa ako dávkové úlohy

ASPNet

Sieť

IUSR_<MachineName>

IWAM_<MachineName>

Služba

Prihlásenie ako služba

ASPNet

Sieť

Obísť kontrolu prechádzania

Správcovia

IUSR_ < MachineName > (anonymný)

Používatelia (Basic, integrované, súhrn)

IWAM_<MachineName>

Odkazy

Ďalšie informácie o tom, ako obnoviť predvolené povolenia NTFS pre systém Windows 2000, po kliknutí na nasledovné číslo článku publikovaného v databáze Microsoft Knowledge Base:

266118 ako obnoviť predvolené povolenia NTFS pre systém Windows 2000

260985 minimálne povolenia NTFS vyžadované na používanie CDONTS

324068 ako nastaviť IIS povolenia pre konkrétne objekty

815153 ako nakonfigurovať povolenia NTFS súbor zabezpečenia technológie ASP.NET aplikácií Ďalšie informácie o požadovaných povoleniach pre IIS 6.0, po kliknutí na nasledovné číslo článku publikovaného v databáze Microsoft Knowledge Base:

812614 predvolené povolenia a používateľské práva pre IIS 6.0

Ďalšie informácie

Tento článok sa nezaoberá niektorý z osobitných bezpečnostných požiadaviek nasledujúce roly servera alebo aplikácie:

  • Radič domény systému Windows 2000

  • Microsoft Exchange 5.5 alebo Microsoft Exchange 2000 Outlook Web Access

  • Microsoft Small Business Server 2000

  • Microsoft SharePoint Portal alebo Team Services

  • Microsoft Commerce Server 2000 alebo Microsoft Commerce Server 2002

  • Microsoft BizTalk Server 2000 alebo Microsoft BizTalk Server 2002

  • Microsoft Content Management Server 2000 alebo Microsoft Content Management Server 2002

  • Microsoft Application Center 2000

  • Aplikácie tretej strany, ktoré závisia od ďalšie povolenia

Potrebujete ďalšiu pomoc?

Rozšírte svoje zručnosti
Preskúmať školenie
Buďte medzi prvými, ktorí získajú nové funkcie
Pripojiť k Microsoft insiderov chcú

Považujete poskytnuté informácie za užitočné?

Ďakujem za vaše pripomienky!

Ďakujeme vám za pripomienky. Pravdepodobne vám pomôže, ak vás spojíme s pracovníkom podpory pre Office.

×