บทความนี้อธิบายวิธีการตั้งค่าสิทธิ์ขั้นต่ำที่จำเป็นสำหรับเฉพาะ Internet Information Services (IIS) 5.0, IIS 5.1 หรือ IIS 6.0 เว็บเซิร์ฟเวอร์
ข้อจำกัดของบทความนี้
คำเตือน บทความนี้จะถูกต้องสำหรับเว็บเซิร์ฟเวอร์โดยเฉพาะที่ใช้ฟังก์ชัน IIS พื้นฐาน เช่นเนื้อหา HTML แบบสแตติกอย่างง่าย หรือเนื้อหา Active Server Page (ASP) ทำหน้าที่ เท่านั้น ข้อกำหนดสิทธิ์ที่อธิบายไว้ในบทความนี้มีเฉพาะเมื่อต้องการสิทธิ์สำหรับเฉพาะเว็บเซิร์ฟเวอร์ที่กำลังเรียกใช้ IIS 5 พื้นฐานเท่านั้น xหรือIIS 6.0 บทความนี้ไม่ถือว่าMicrosoft อื่นและผลิตภัณฑ์อื่น ๆที่อาจจำเป็นต้องมีสิทธิ์ที่แตกต่างกัน คุณสามารถตรวจทานเอกสารเซิร์ฟเวอร์และแอพลิเคชันสำหรับความต้องการด้านความปลอดภัยที่เฉพาะเจาะจง เราขอแนะนำให้คุณตรวจทานบทความที่เกี่ยวข้องที่ระบุเฉพาะสำหรับบทบาทของเว็บเซิร์ฟเวอร์ของคุณ
การทดสอบขั้นตอนก่อนการกำหนดค่าสิทธิ์ในสภาพแวดล้อมการผลิต
ก่อนที่คุณเปลี่ยนแปลงสิทธิ์บนเว็บเซิร์ฟเวอร์ที่ผลิต เราขอแนะนำให้ คุณทำขั้นตอนต่อไปนี้:
-
เรียกใช้เวอร์ชันล่าสุดของ IIS Lockdown Tool โปรแกรมและบริการต่อไปนี้ถูกติดตั้งเป็นส่วนหนึ่งของชุดการทดสอบที่ถูกใช้เพื่อทดสอบความปลอดภัยเซิร์ฟเวอร์หลังจากสิทธิอธิบายไว้ในบทความนี้:
-
บริการการทำดัชนี
-
บริการเทอร์มินัล
-
ดีบักเกอร์สคริปต์
-
IIS
-
ไฟล์ทั่วไป
-
เอกสารประกอบ
-
ส่วนขยายเซิร์ฟเวอร์ของ FrontPage 2000
-
โปรแกรมจัดการบริการทางอินเทอร์เน็ต (HTML)
-
เว็บไซต์
-
FTP
-
-
-
ทำการทดสอบการทำงานต่อไปนี้:
-
เอกสารข้อความหลายมิติ (HTML)
-
เพจที่ใช้งานเซิร์ฟเวอร์ (ASP)
-
FrontPage Server Extensions เช่นการเชื่อมต่อ แก้ไข หรือ การ บันทึก ถ้าเปิดใช้งาน FPSE ในขณะที่คุณใช้เครื่องมือ Lockdown
-
การรักษาความปลอดภัยให้กับการเชื่อมต่อซ็อกเก็ตชั้น (SSL)
-
ความเป็นเจ้าของเงินช่วยเหลือและสิทธิ์ใน การดูแล และระบบ
โดยทำตามขั้นตอนต่อไปนี้:
-
เปิด Windows Explorer การทำเช่นนี้ คลิกเริ่มคลิกโปรแกรมแล้ว คลิก Windows Explorer
-
ขยายคอมพิวเตอร์ของฉัน
-
คลิกขวาไดรฟ์ระบบ (ซึ่งปกติจะเป็นไดรฟ์ C), แล้ว คลิ กคุณสมบัติ
-
คลิกแท็บความปลอดภัยและจากนั้น คลิกขั้นสูงเพื่อเปิดกล่องโต้ตอบการตั้งค่าการควบคุมการเข้าถึงสำหรับดิสก์ภายในเครื่อง
-
คลิกที่แท็บเจ้าของคลิกเพื่อเลือกกล่องกาเครื่องหมายแทนที่เจ้าของบนคอนเทนเนอร์ย่อยและวัตถุแล้ว คลิ กนำไปใช้ ถ้าคุณได้รับข้อความแสดงข้อผิดพลาดต่อไปนี้ คลิกดำเนินการต่อ:
เกิดข้อผิดพลาดนำข้อมูลความปลอดภัยกับ %systemdrive%\Pagefile.sys
-
หากคุณได้รับข้อความแสดงข้อผิดพลาดต่อไปนี้ คลิกYes:
คุณไม่มีสิทธิ์ในการอ่านเนื้อหาของไดเรกทอรี %systemdrive%\System มูลไดรฟ์ - คุณต้องการแทนที่สิทธิ์ไดเรกทอรี - สิทธิ์ทั้งหมดจะถูกแทนในการอนุญาตให้คุณควบคุมทั้งหมด
-
คลิกตกลงเพื่อปิดกล่องโต้ตอบ
-
คลิก เพิ่ม
-
เพิ่มผู้ใช้ต่อไปนี้ และจากนั้น ให้สิทธิแบบ NTFS การควบคุมแบบเต็ม:
-
ผู้ดูแล
-
ระบบ
-
เจ้าของผู้สร้าง
-
-
หลังจากที่คุณได้เพิ่มสิทธิ์เหล่านี้ NTFS คลิกขั้นสูงคลิกเพื่อเลือกกล่องกาเครื่องหมายการตั้งค่าสิทธิ์บนวัตถุลูกทั้งหมด และเปิดใช้งานการแพร่กระจายของสิทธิ์ที่สามารถสืบทอดได้และจากนั้น คลิกนำไปใช้
-
ถ้าคุณได้รับข้อความแสดงข้อผิดพลาดต่อไปนี้ คลิกดำเนินการต่อ:
เกิดข้อผิดพลาดนำข้อมูลความปลอดภัยกับ %systemdrive%\Pagefile.sys
-
หลังจากที่คุณได้ตั้งค่าการอนุญาต NTFS คลิกตกลง
-
คลิกกลุ่มทุกคนคลิกเอาออกและจากนั้น คลิกตกลง
-
เปิดคุณสมบัติสำหรับโฟลเดอร์แฟ้ม Files\Common %systemdrive%\Program และจากนั้น คลิกแท็บความปลอดภัยเพิ่มบัญชีที่ใช้สำหรับการเข้าถึงแบบไม่ระบุชื่อ โดยค่าเริ่มต้น นี่คือบัญชี IUSR_ < MachineName > เพิ่มกลุ่มผู้ใช้แล้ว ตรวจสอบให้แน่ใจว่า มีเลือกเฉพาะต่อไปนี้:
-
อ่าน และปฏิบัติการ
-
แสดงเนื้อหาโฟลเดอร์
-
อ่าน
-
-
เปิดคุณสมบัติสำหรับไดเรกทอรีรากที่จัดเก็บเนื้อหาเว็บของคุณ โดยค่าเริ่มต้น นี่คือโฟลเดอร์ %systemdrive%\Inetpub\Wwwroot คลิกแท็บความปลอดภัยเพิ่ม IUSR_ < MachineName > บัญชีและกลุ่มผู้ใช้ และตรวจสอบให้แน่ใจว่า มีเลือกเฉพาะต่อไปนี้:
-
อ่าน และปฏิบัติการ
-
แสดงเนื้อหาโฟลเดอร์
-
อ่าน
-
-
ถ้าคุณต้องการให้สิทธิ์ในการเขียน NTFS สำหรับ Inetpub\FTProot หรือพาธไดเรกทอรีสำหรับ FTP ไซต์หรือไซต์ของคุณ ทำซ้ำขั้นตอนที่ 15 หมายเหตุ เราไม่แนะนำว่า คุณให้สิทธิ์ NTFS เขียนไปยังบัญชีที่ไม่ระบุชื่อในไดเรกทอรีใด ๆ รวมถึงไดเรกทอรีที่ใช้งาน โดยการใช้บริการ FTP ซึ่งสามารถทำให้ข้อมูลที่ไม่จำเป็นจะถูกอัปโหลดไปยังเว็บเซิร์ฟเวอร์ของคุณ
ปิดใช้งานการสืบทอดในไดเรกทอรีระบบ
โดยทำตามขั้นตอนต่อไปนี้:
-
ในโฟลเดอร์ %systemroot%\System32 เลือกโฟลเดอร์ทั้งหมดยกเว้นต่อไปนี้:
-
Inetsrv
-
Certsrv (ถ้ามี)
-
COM
-
-
คลิกขวาที่โฟลเดอร์ที่เหลือ คลิกคุณสมบัติและจากนั้น คลิกแท็บความปลอดภัย
-
คลิ กเพื่อยกเลิกเลือกกล่องกาเครื่องหมายอนุญาตให้สิทธิ์ที่สามารถสืบทอดได้คลิกคัดลอกแล้ว คลิกตกลง
-
ในโฟลเดอร์% systemroot % เลือกโฟลเดอร์ทั้งหมดยกเว้นต่อไปนี้:
-
แอสเซมบลี (ถ้ามี)
-
แฟ้มโปรแกรมที่ดาวน์โหลดมา
-
วิธีใช้
-
Microsoft.NET (ถ้ามี)
-
เว็บเพจออฟไลน์
-
System32
-
งาน
-
ชั่วคราว
-
เว็บ
-
-
คลิกขวาที่โฟลเดอร์ที่เหลือ คลิกคุณสมบัติและจากนั้น คลิกแท็บความปลอดภัย
-
คลิ กเพื่อยกเลิกเลือกกล่องกาเครื่องหมายอนุญาตให้สิทธิ์ที่สามารถสืบทอดได้คลิกคัดลอกแล้ว คลิกตกลง
-
ใช้สิทธิ์ต่อไปนี้:
-
เปิดคุณสมบัติสำหรับโฟลเดอร์% systemroot % คลิกแท็บความปลอดภัยเพิ่มIUSR_ < MachineName >และ< MachineName > IWAM_บัญชีและกลุ่มผู้ใช้และตรวจสอบให้แน่ใจว่า เฉพาะต่อไปนี้ เลือก:
-
อ่าน และปฏิบัติการ
-
แสดงเนื้อหาโฟลเดอร์
-
อ่าน
-
-
เปิดคุณสมบัติสำหรับโฟลเดอร์ %systemroot%\Temp เลือกบัญชีIUSR_ < MachineName > (บัญชีผู้ใช้นี้อยู่แล้วเนื่องจากสืบทอดจากโฟลเดอร์ Winnt), และจากนั้น คลิกเพื่อเลือกกล่องกาเครื่องหมายปรับเปลี่ยน ทำซ้ำขั้นตอนนี้สำหรับบัญชีIWAM_ < MachineName >และ กลุ่มผู้ใช้
-
ถ้าไคลเอ็นต์ส่วนขยายเซิร์ฟเวอร์ของ FrontPage เช่น FrontPage หรือ Microsoft Visual InterDev ใช้ เปิดคุณสมบัติสำหรับโฟลเดอร์ %systemdrive%\Inetpub\Wwwroot เลือกกลุ่มผู้ใช้ที่รับรองความถูกต้องเลือกต่อไปนี้ และจากนั้น คลิกตกลง:
-
ปรับเปลี่ยน
-
อ่าน และปฏิบัติการ
-
แสดงเนื้อหาโฟลเดอร์
-
อ่าน
-
เขียน
-
-
การอนุญาต NTFS
ตารางต่อไปนี้แสดงรายการสิทธิ์ที่จะใช้เมื่อคุณทำตามขั้นตอนในส่วน "ปิดใช้งานการสืบทอดในไดเรกทอรีระบบ" ตารางนี้มีไว้สำหรับอ้างอิงเท่านั้น เมื่อต้องการใช้สิทธิ์ที่อยู่ในตารางต่อไปนี้ ให้ทำตามขั้นตอนเหล่านี้:
-
เปิด Windows Explorer การทำเช่นนี้ คลิกเริ่มคลิกโปรแกรมคลิกเบ็ดเตล็ดแล้ว คลิกWindows Explorer
-
ขยายคอมพิวเตอร์ของฉัน
-
คลิกขวาที่% systemroot %และจากนั้น คลิกคุณสมบัติ
-
คลิกแท็บความปลอดภัยและจากนั้น คลิกขั้นสูง
-
คลิกสองครั้งที่สิทธิ์แล้ว เลือกการตั้งค่าที่เหมาะสมจากรายการใช้ไป
หมายเหตุ คอลัมน์ในการ "นำไปใช้กับ" คำเริ่มต้นหมายถึง "นี้โฟลเดอร์ โฟลเดอร์ย่อย และแฟ้ม"
ไดเรกทอรี |
Users\Groups |
สิทธิ์ |
นำไปใช้กับ |
---|---|---|---|
%systemroot%\ (c:\winnt) |
ผู้ดูแล |
ควบคุมทั้งหมด |
ค่าเริ่มต้น |
ระบบ |
ควบคุมทั้งหมด |
ค่าเริ่มต้น |
|
ผู้ใช้ |
อ่าน ดำเนินการ |
ค่าเริ่มต้น |
|
%systemroot%\system32 |
ผู้ดูแล |
ควบคุมทั้งหมด |
ค่าเริ่มต้น |
ระบบ |
ควบคุมทั้งหมด |
ค่าเริ่มต้น |
|
ผู้ใช้ |
อ่าน ดำเนินการ |
ค่าเริ่มต้น |
|
%systemroot%\system32\inetsrv |
ผู้ดูแล |
ควบคุมทั้งหมด |
ค่าเริ่มต้น |
ระบบ |
ควบคุมทั้งหมด |
ค่าเริ่มต้น |
|
ผู้ใช้ |
อ่าน ดำเนินการ |
ค่าเริ่มต้น |
|
Inetpub\adminscripts |
ผู้ดูแล |
ควบคุมทั้งหมด |
ค่าเริ่มต้น |
Inetpub\urlscan (ถ้ามี) |
ผู้ดูแล |
ควบคุมทั้งหมด |
ค่าเริ่มต้น |
ระบบ |
ควบคุมทั้งหมด |
ค่าเริ่มต้น |
|
%systemroot%\system32\inetsrv\metaback |
ผู้ดูแล |
ควบคุมทั้งหมด |
ค่าเริ่มต้น |
ระบบ |
ควบคุมทั้งหมด |
ค่าเริ่มต้น |
|
%systemroot%\help\iishelp\common |
ผู้ดูแล |
ควบคุมทั้งหมด |
โฟลเดอร์และแฟ้มนี้ |
ระบบ |
ควบคุมทั้งหมด |
โฟลเดอร์และแฟ้มนี้ |
|
IWAM_<Machinename> |
อ่าน ดำเนินการ |
โฟลเดอร์และแฟ้มนี้ |
|
เครือข่าย |
ควบคุมทั้งหมด |
โฟลเดอร์และแฟ้มนี้ |
|
การบริการ |
โฟลเดอร์และแฟ้มนี้ |
||
ผู้ใช้ |
อ่าน ดำเนินการ |
โฟลเดอร์และแฟ้มนี้ |
|
Inetpub\wwwroot (หรือไดเรกทอรีเนื้อหา) |
ผู้ดูแล |
ควบคุมทั้งหมด |
โฟลเดอร์และแฟ้มนี้ |
ระบบ |
ควบคุมทั้งหมด |
โฟลเดอร์และแฟ้มนี้ |
|
IWAM_<MachineName> |
อ่าน ดำเนินการ |
โฟลเดอร์และแฟ้มนี้ |
|
การบริการ |
อ่าน ดำเนินการ |
โฟลเดอร์และแฟ้มนี้ |
|
เครือข่าย |
อ่าน ดำเนินการ |
โฟลเดอร์และแฟ้มนี้ |
|
Optional**: |
ผู้ใช้ |
อ่าน ดำเนินการ |
โฟลเดอร์และแฟ้มนี้ |
หมายเหตุ ถ้าคุณกำลังใช้ FrontPage Server Extensions พิสูจน์ตัวจริงของผู้ใช้หรือกลุ่มผู้ใช้ต้องมีสิทธิ์ในการเปลี่ยนแปลง NTFS เพื่อสร้าง เปลี่ยนชื่อ เขียน หรือ เพื่อให้ฟังก์ชันการทำงานที่นักพัฒนาอาจจำเป็นต้องมีจาก FrontPage-ชนิดของไคลเอนต์ เช่น Visual InterDev 6.0 หรือ FrontPage 2002
ให้สิทธิ์ในรีจิสทรี
-
คลิกเริ่มคลิกเรียกใช้พิมพ์regedt32แล้ว คลิ กตกลง ใช้ตัวแก้ไขรีจิสทรีได้เนื่องจากจะอนุญาตให้คุณเปลี่ยนแปลงสิทธิ์ใน Windows 2000
-
ใน Registry Editor ค้นหา และเลือกHKEY_LOCAL_MACHINE
-
ขยายระบบขยายขึ้นกับและจากนั้น ขยายบริการ
-
เลือกคีย์IISADMINคลิกความปลอดภัย(หรือกด ALT + S), และจากนั้น เลือก สิทธิ์ (หรือกด P)
-
คลิ กเพื่อยกเลิกเลือกกล่องกาเครื่องหมายอนุญาตให้สิทธิ์ที่สามารถสืบทอดได้จากแม่เพื่อเผยแพร่สู่วัตถุนี้คลิกคัดลอกแล้ว เอาออกทั้งหมดผู้ใช้ยกเว้น:
-
ผู้ดูแลระบบ (อนุญาตให้อ่านและควบคุมทั้งหมด)
-
ระบบ (อนุญาตให้อ่านและควบคุมทั้งหมด)
-
-
คลิก ตกลง
-
ทำซ้ำขั้นตอนสำหรับคีย์MSFTPSVC
-
เลือกคีย์W3SVCคลิกความปลอดภัยและจากนั้น คลิกสิทธิ์
-
คลิกเพื่อล้างกล่องกาเครื่องหมายอนุญาตให้สิทธิ์ที่สามารถสืบทอดได้จากแม่เพื่อเผยแพร่สู่วัตถุนี้และเอาออกทั้งหมดรายการยกเว้นแล้ว:
-
ผู้ดูแลระบบ (อนุญาตให้อ่านและควบคุมทั้งหมด)
-
ระบบ (อนุญาตให้อ่านและควบคุมทั้งหมด)
-
เครือข่าย (อ่าน)
-
การบริการ (อ่าน)
-
IWAM_ < MachineName > (อ่าน)
-
-
คลิก ตกลง
รีจิสทรี
ตารางต่อไปนี้แสดงรายการสิทธิ์ที่จะใช้เมื่อคุณทำตามขั้นตอนในส่วน "เงินช่วยเหลือสิทธิ์ในรีจิสทรี" ตารางนี้มีไว้สำหรับอ้างอิงเท่านั้น หมายเหตุ คำย่อของ HKLM หมายถึงสำหรับ HKEY_LOCAL_MACHINE
ตำแหน่ง |
Users\Groups |
สิทธิ์ |
---|---|---|
HKLM\System\CurrentControlSet\Services\IISAdmin |
ผู้ดูแล |
ควบคุมทั้งหมด |
ระบบ |
ควบคุมทั้งหมด |
|
HKLM\System\CurrentControlSet\Services\MsFtpSvc |
ผู้ดูแล |
ควบคุมทั้งหมด |
ระบบ |
ควบคุมทั้งหมด |
|
HKLM\System\CurrentControlSet\Services\w3svc |
ผู้ดูแล |
ควบคุมทั้งหมด |
ระบบ |
ควบคุมทั้งหมด |
|
IWAM_<MachineName> |
อ่าน |
เงินช่วยเหลือสิทธิ์ในนโยบายความปลอดภัยท้องถิ่น
-
คลิกเริ่มคลิกการตั้งค่าและจากนั้น คลิก'แผงควบคุม'
-
คลิกสองครั้งที่เครื่องมือการจัดการและจากนั้น คลิกสองครั้งที่นโยบายความปลอดภัยท้องถิ่น
-
ในกล่องโต้ตอบการตั้งค่าความปลอดภัยท้องถิ่นขยายนโยบายท้องถิ่นและจากนั้น คลิกกำหนดสิทธิ์ของผู้ใช้
-
ปรับเปลี่ยนนโยบายที่เหมาะสม:
-
คลิกสองครั้งที่นโยบาย
-
เลือก และจากนั้น คลิกเอาออกสำหรับผู้ใช้ใด ๆ ที่จะไม่แสดงในตาราง
-
เพิ่มผู้ใช้ที่ไม่มีอยู่ เมื่อต้องการทำเช่นนี้ ให้คลิก เพิ่มจากนั้นเลือกผู้ใช้ในกล่องโต้ตอบการเลือกผู้ใช้หรือกลุ่ม
-
โปรดสังเกตว่า เนื่องจากนโยบายตัวควบคุมโดเมนแทนนโยบายท้องถิ่น คุณต้องแน่ใจว่าการตั้งค่านโยบายมีผลบังคับใช้ให้ตรงกับการตั้งค่านโยบายภายในเครื่อง
นโยบาย
ตารางต่อไปนี้แสดงรายการสิทธิ์ที่จะใช้เมื่อคุณทำตามขั้นตอนในส่วน "เงินช่วยเหลือสิทธิ์ในนโยบายความปลอดภัยท้องถิ่น"
นโยบาย |
ผู้ใช้ |
---|---|
เข้าสู่ระบบแบบท้องถิ่น |
ผู้ดูแล |
IUSR_ < MachineName > (แบบไม่ระบุชื่อ) |
|
ผู้ใช้ (จำเป็นต้องใช้การรับรองความถูกต้อง) |
|
การเข้าถึงคอมพิวเตอร์เครื่องนี้จากเครือข่าย |
ผู้ดูแล |
ASPNet (.NET Framework) |
|
IUSR_ < MachineName > (แบบไม่ระบุชื่อ) |
|
IWAM_<MachineName> |
|
ผู้ใช้ |
|
เข้าสู่ระบบเป็นชุดงาน |
ASPNet |
เครือข่าย |
|
IUSR_<MachineName> |
|
IWAM_<MachineName> |
|
การบริการ |
|
เข้าสู่ระบบเป็นการบริการ |
ASPNet |
เครือข่าย |
|
ข้ามการตรวจสอบละเอียด |
ผู้ดูแล |
IUSR_ < MachineName > (แบบไม่ระบุชื่อ) |
|
ผู้ใช้ (Basic รวม แยกย่อย) |
|
IWAM_<MachineName> |
อ้างอิง
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการคืนค่าเริ่มต้นการอนุญาต NTFS สำหรับ Windows 2000 คลิกหมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:
266118วิธีคืนค่าสิทธิ์เริ่มต้น NTFS สำหรับ Windows 2000
260985สิทธิ NTFS ขั้นต่ำที่จำเป็นต้องใช้ CDONTS
วิธีการ324068การตั้งค่าการอนุญาต IIS สำหรับวัตถุที่ระบุ
815153วิธีการกำหนดค่าสิทธิ์ของแฟ้ม NTFS เพื่อความปลอดภัยของโปรแกรมประยุกต์ ASP.NET สำหรับข้อมูลเพิ่มเติมเกี่ยวกับสิทธิ์ที่จำเป็นสำหรับ IIS 6.0 คลิกหมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:
เริ่มต้นสิทธิ์และสิทธิ์ของผู้ใช้สำหรับ IIS 6.0 812614
ข้อมูลเพิ่มเติม
บทความนี้ที่อยู่หนึ่งของความต้องการด้านความปลอดภัยเฉพาะของโปรแกรมประยุกต์หรือบทบาทเซิร์ฟเวอร์ต่อไปนี้:
-
ตัวควบคุมโดเมนของ Windows 2000
-
Microsoft Exchange 5.5 หรือ Microsoft Exchange 2000 Outlook Web Access
-
เซิร์ฟเวอร์ธุรกิจขนาดเล็ก Microsoft 2000
-
เว็บไซต์ Microsoft SharePoint หรือบริการทีม
-
เซิร์ฟเวอร์ Microsoft Commerce 2000 หรือ Microsoft Commerce เซิร์ฟเวอร์ 2002
-
Microsoft BizTalk Server 2000 หรือ Microsoft BizTalk Server 2002
-
เซิร์ฟเวอร์การจัดการเนื้อหา Microsoft 2000 หรือเซิร์ฟเวอร์การจัดการเนื้อหา Microsoft 2002
-
2000 ศูนย์แอพลิเคชัน Microsoft
-
แอพลิเคชันของบุคคลที่สามที่ขึ้นอยู่กับสิทธิ์เพิ่มเติม