Bạn hiện đang ngoại tuyến, hãy chờ internet để kết nối lại

Làm thế nào để đặt tối thiểu NTFS cho phép và quyền của người dùng cho IIS 5.x hoặc IIS 6.0

QUAN TRỌNG: Bài viết này được dịch bằng phần mềm dịch thuật của Microsoft và có thể được Cộng đồng Microsoft chỉnh sửa lại thông qua công nghệ CTF thay vì một biên dịch viên chuyên nghiệp. Microsoft cung cấp các bài viết được cả biên dịch viên và phần mềm dịch thuật thực hiện và cộng đồng chỉnh sửa lại để bạn có thể truy cập vào tất cả các bài viết trong Cơ sở Kiến thức của chúng tôi bằng nhiều ngôn ngữ Tuy nhiên, bài viết do máy dịch hoặc thậm chí cộng đồng chỉnh sửa sau không phải lúc nào cũng hoàn hảo. Các bài viết này có thể chứa các sai sót về từ vựng, cú pháp hoặc ngữ pháp, Microsoft không chịu trách nhiệm về bất kỳ sự thiếu chính xác, sai sót hoặc thiệt hại nào do việc dịch sai nội dung hoặc do hoạt động sử dụng của khách hàng gây ra.

Nhấp chuột vào đây để xem bản tiếng Anh của bài viết này: 271071
Bài viết này mô tả làm thế nào để thiết lập các quyền hạn tối thiểu được yêu cầu cho một chuyên dụng Internet Information Services (IIS) 5.0, IIS 5.1 hoặc máy chủ IIS 6.0 Web.
Giới hạn cho bài viết này
Cảnh báo Bài viết này chỉ có hiệu lực chuyên dụng Máy chủ Web sử dụng IIS chức năng cơ bản, chẳng hạn như phục vụ nội dung HTML tĩnh nội dung hoặc đơn giản hoạt động Server trang (ASP). Các yêu cầu sự cho phép được mô tả trong bài viết này được cụ thể chỉ để các quyền cơ bản cho một Máy chủ Web chuyên dụng đang chạy IIS 5.x hoặc IIS 6.0. Bài viết này không xem xét Microsoft và bên thứ ba sản phẩm khác điều đó có thể yêu cầu quyền truy cập khác nhau. Bạn có thể Kiểm điểm tài liệu hệ phục vụ và ứng dụng cho các yêu cầu bảo mật cụ thể. Chúng tôi khuyên bạn nên mà bạn Xem lại các bài viết liên quan đó là cụ thể cho các vai trò của Máy chủ Web của bạn.
Thử nghiệm bước trước khi cấu hình cho phép trong một môi trường sản xuất
Trước khi bạn thực hiện thay đổi quyền trên một Máy chủ Web sản phẩm, chúng tôi đề nghị rằng bạn làm theo các bước sau:
  1. Chạy Các phiên bản mới nhất của công cụ Lockdown IIS. Chương trình và bản ghi dịch vụ sau đã được cài đặt chuyên biệt như một phần của bộ kiểm tra được sử dụng để kiểm tra bảo mật máy chủ sau khi cấp quyền truy cập được nêu trong bài viết này:
    • bản ghi dịch vụ mục chỉ dẫn
    • bản ghi dịch vụ đầu cuối
    • Trình gỡ lỗi Script
    • IIS
      • Phổ biến tập tin
      • Tài liệu
      • Phần mở rộng FrontPage Server 2000
      • Quản lý bản ghi dịch vụ Internet (HTML)
      • WWW
      • FTP
  2. Thực hiện các bài kiểm tra chức năng sau đây:
    • Tài liệu siêu văn bản (HTML)
    • Máy chủ trang hiện hoạt (ASP)
    • Mở rộng máy chủ FrontPage, chẳng hạn như kết nối, chỉnh sửa, andsaving, nếu FPSE được kích hoạt trong khi bạn sử dụng công cụ khoá cứng
    • Các lớp cổng bảo mật (SSL) kết nối
Cấp quyền sở hữu và mức cấp phép cho quản trị và hệ thống
Để thực hiện điều này, hãy làm theo các bước sau:
  1. Mở Window Explorer. Để làm điều này, bấm vàoBắt đầu, bấm vào chương trình, và sau đó bấmWindow Explorer.
  2. Mở rộng Máy tính của tôi.
  3. Bấm chuột phải vào ổ đĩa hệ thống (điều này thường là ổ C), và sau đó bấm thuộc tính.
  4. Nhấp vào tab bảo mật , và sau đó nhấp vàoAdvanced để mở hộp thoại Thiết đặt kiểm soát truy cập cho LocalDisk .
  5. Nhấp vào tab chủ sở hữu , bấm để chọn hộp kiểmThay thế chủ sở hữu tiểu container và các đối tượng , andthen bấm vào áp dụng.

    Nếu bạn nhận được errormessage sau, bấm vào tiếp tục:
    Một hasoccurred lỗi áp dụng bảo mật thông tin to%systemdrive%\Pagefile.sys
  6. Nếu bạn nhận được thông báo lỗi sau, bấm:
    Bạn không có quyền để readthe nội dung của mục tin thư thoại %systemdrive%\System khối lượng thông tin - bạn muốn thay thế quyền mục tin thư thoại - tất cả quyền sẽ là thay thế grantingyou toàn quyền kiểm soát
  7. Nhấp vào OK để đóng hộp thoại.
  8. Bấm vào Thêm.
  9. Thêm người dùng sau, và sau đó cấp cho họ sự FullControl NTFS cho phép:
    • Người quản trị
    • Hệ thống
    • Chủ sở hữu người sáng tạo
  10. Sau khi bạn đã thêm các quyền NTFS, bấmchuyên sâu, bấm để chọn hộp kiểm đặt lại quyền trên các đối tượng allchild và cho phép tuyên truyền của các mức cấp phép có thể thừa kế , và sau đó bấm vào áp dụng.
  11. Nếu bạn nhận được thông báo lỗi sau, bấm vàotiếp tục:
    Lỗi đã xảy ra applyingsecurity thông tin %systemdrive%\Pagefile.sys
  12. Sau khi bạn đã đặt lại quyền truy cập NTFS, bấm vàoOK.
  13. Nhấp vào nhóm tất cả mọi người , bấmhủy bỏ, và sau đó nhấp vào OK.
  14. Mở các thuộc tính cho cặp Tệp %systemdrive%\ProgramFiles\Common, và sau đó nhấp vào Security tab.Thêm tài khoản được sử dụng để truy cập vô danh. theo mặc định, đây là theIUSR_<MachineName> tài khoản. Sau đó, thêm Nhóm người dùng. Làm cho chắc chắn thatonly sau đây được lựa chọn:<b00> </b00> </MachineName>
    • Đọc & thực hiện
    • cặp danh sách nội dung
    • Đọc
  15. Mở các thuộc tính cho mục tin thư thoại gốc chứa nội dung yourWeb. theo mặc định, đây là mục tin thư thoại %systemdrive%\Inetpub\Wwwroot.Nhấp vào Security tab, thêm IUSR_<MachineName>tài khoản và người dùng nhóm, và sau đó hãy chắc chắn rằng chỉ sau areselected:<b00> </b00> </MachineName>
    • Đọc & thực hiện
    • cặp danh sách nội dung
    • Đọc
  16. Nếu bạn muốn cấp viết NTFS cho phép forInetpub\FTProot hoặc đường dẫn mục tin thư thoại cho web site FTP hoặc các web site của bạn, hãy lặp lại step15.

    Lưu ý Chúng tôi không khuyên bạn cấp permissionsto NTFS viết tài khoản chưa xác định người trong mục tin thư thoại bất kỳ, trong đó có mục tin thư thoại được sử dụng bởi việc sử dụng bản ghi dịch vụ FTP. Này cancause không cần thiết dữ liệu được tải lên Máy chủ Web của bạn.
Vô hiệu hóa các thừa kế trong mục tin thư thoại hệ thống
Để thực hiện điều này, hãy làm theo các bước sau:
  1. Trong mục tin thư thoại %systemroot%\System32, chọn allfolders ngoại trừ những điều sau đây:
    • Inetsrv
    • Certsrv (nếu có)
    • COM
  2. Bấm chuột phải vào mục tin thư thoại còn lại, bấmthuộc tính, và sau đó nhấp vào Securitytab.
  3. Nhấp vào Xóa hộp kiểm cho phép inheritablepermissions , bấm saovà sau đó nhấp vàoOK.
  4. Trong % systemroot % cặp, Chọn Tất cả mục tin thư thoại exceptthe sau đây:
    • Lắp ráp (nếu có)
    • Tệp chương trình đã tải xuống
    • Trợ giúp
    • Microsoft.NET (nếu có)
    • web site gián tuyến
    • System32
    • Nhiệm vụ
    • Nhiệt độ
    • Web
  5. Bấm chuột phải vào mục tin thư thoại còn lại, bấmthuộc tính, và sau đó nhấp vào Securitytab.
  6. Nhấp vào Xóa hộp kiểm cho phép inheritablepermissions , bấm saovà sau đó nhấp vàoOK.
  7. Áp dụng các quyền sau đây:
    1. Mở các thuộc tính cho % systemroot % mục tin thư thoại, nhấp vào Security tab, thêm các IUSR_<MachineName> </MachineName> IWAM_<MachineName> </MachineName> tài khoản và người dùng nhóm, và sau đó đảm bảo rằng chỉ những điều sau đây đã được chọn:
      • Đọc & thực hiện
      • cặp danh sách nội dung
      • Đọc
    2. Mở các thuộc tính cho mục tin thư thoại %systemroot%\Temp, chọn các IUSR_<MachineName> </MachineName> tài khoản (tài khoản này đang hiện nay bởi vì nó thừa hưởng từ mục tin thư thoại Winnt), và sau đó bấm vào để chọn hộp kiểm sửa đổi . Lặp lại bước này cho các IWAM_<MachineName> </MachineName> tài khoản và nhóm người dùng .
    3. Nếu khách hàng phần mở rộng FrontPage Server như FrontPage hoặc Microsoft Visual InterDev đang được sử dụng, mở thuộc tính cho mục tin thư thoại %systemdrive%\Inetpub\Wwwroot, chọn nhóm Xác thực người dùng , chọn sau đây, và sau đó bấm OK:
      • Sửa đổi
      • Đọc & thực hiện
      • cặp danh sách nội dung
      • Đọc
      • Viết
Quyền NTFS
Bảng sau liệt kê các quyền hạn sẽ được áp dụng khi bạn làm theo các bước trong phần "Vô hiệu hoá thừa kế trong mục tin thư thoại hệ thống". Bảng này là chỉ để tham khảo.

Để áp dụng các mức cấp phép trong bảng dưới đây, hãy làm theo các bước sau:
  1. Mở Window Explorer. Để làm điều này, bấm vàoBắt đầu, bấm vào chương trình, nhấp vàophụ kiện, và sau đó nhấp vào WindowsExplorer.
  2. Mở rộng Máy tính của tôi.
  3. Bấm chuột phải vào % systemroot %, và sau đó bấmthuộc tính.
  4. Nhấp vào tab bảo mật , và sau đó bấmchuyên sâu.
  5. Nhấp đúp vào sự cho phép, và sau đó selectthe thích hợp thiết lập từ Áp dụng lên danh sách.
Lưu ý:Tại các "áp dụng để" cột, thuật ngữ mặc định dùng để chỉ "Này cặp, cặp con và tệp."
mục tin thư thoạiNgười dùng/NhómQuyềnÁp dụng cho
%SystemRoot%\ (c:\winnt)Người quản trịToàn quyền kiểm soátMặc định
Hệ thốngToàn quyền kiểm soát Mặc định
Người dùngĐọc, thực hiệnMặc định
%SystemRoot%\System32Quản trị viênToàn quyền kiểm soát Mặc định
Hệ thốngToàn quyền kiểm soátMặc định
Người dùngĐọc, thực hiệnMặc định
%SystemRoot%\system32\inetsrvQuản trị viênToàn quyền kiểm soátMặc định
Hệ thốngToàn quyền kiểm soát Mặc định
Người dùngĐọc, thực hiệnMặc định
Inetpub\adminscripts Quản trị viênToàn quyền kiểm soátMặc định
Inetpub\urlscan (nếu có) Quản trị viênToàn quyền kiểm soátMặc định
Hệ thốngToàn quyền kiểm soátMặc định
%SystemRoot%\system32\inetsrv\metabackQuản trị viênToàn quyền kiểm soátMặc định
Hệ thốngToàn quyền kiểm soátMặc định
%SystemRoot%\help\iishelp\commonQuản trị viênToàn quyền kiểm soát Cặp này và các tập tin
Hệ thốngToàn quyền kiểm soátCặp này và các tập tin
IWAM_<Machinename></Machinename>Đọc, thực hiệnCặp này và các tập tin
MạngToàn quyền kiểm soátCặp này và các tập tin
bản ghi dịch vụCặp này và các tập tin
Người dùngĐọc, thực hiệnCặp này và các tập tin
Inetpub\wwwroot (hoặc mục tin thư thoại nội dung)Quản trị viênToàn quyền kiểm soátCặp này và các tập tin
Hệ thốngToàn quyền kiểm soátCặp này và các tập tin
IWAM_<MachineName></MachineName>Đọc, thực hiệnCặp này và các tập tin
bản ghi dịch vụĐọc, thực hiệnCặp này và các tập tin
MạngĐọc, thực hiệnCặp này và các tập tin
Tùy chọn **:Người dùngĐọc, thực hiệnCặp này và các tập tin

Lưu ý: Nếu bạn đang sử dụng phần mở rộng FrontPage Server, xác thực người dùng hoặc Nhóm người dùng phải có sự cho phép thay đổi NTFS để tạo ra, đổi tên, để viết, hoặc cung cấp các chức năng mà một nhà phát triển có thể phải có từ kiểu FrontPage của khách hàng, chẳng hạn như Visual InterDev 6.0 hoặc FrontPage 2002.
Cấp quyền truy cập trong sổ kiểm nhập
  1. Nhấp vào Bắt đầu, bấm chạy, loại Regedt32, và sau đó nhấp vào OK. Không chấp sử dụng ký biên soạn bởi vì nó không cho phép bạn thay đổi quyền inWindows năm 2000.
  2. Trong Registry Editor, xác định vị trí và chọnHKEY_LOCAL_MACHINE.
  3. Mở rộng hệ thống, mở rộngCurrentControlSet, và sau đó mở rộngbản ghi dịch vụ.
  4. Chọn phím IISADMIN , nhấp vàoSecurity (hoặc nhấn ALT + S), và sau đó chọnquyền (hoặc nhấn P).
  5. Bấm vào để xóa hộp kiểm cho phép có thể thừa kế permissionsfrom cha mẹ để truyền cho đối tượng này , bấmsaovà sau đó loại bỏ tất cả người dùng ngoại trừ:
    • Các quản trị viên (cho phép đọc và kiểm soát đầy đủ)
    • Hệ thống (cho phép đọc và kiểm soát đầy đủ)
  6. Nhấp vào OK.
  7. Lặp lại các bước cho chính MSFTPSVC.
  8. Chọn phím W3SVC , nhấp vàobảo mật, và sau đó nhấp vào mức cấp phép.
  9. Bấm để bỏ chọn hộp kiểm cho phép có thể thừa kế permissionsfrom cha mẹ để truyền cho đối tượng này , và sau đó loại bỏ allentries ngoại trừ:
    • Các quản trị viên (cho phép đọc và kiểm soát đầy đủ)
    • Hệ thống (cho phép đọc và kiểm soát đầy đủ)
    • Mạng (đọc)
    • bản ghi dịch vụ (đọc)
    • IWAM_<MachineName> (đọc)</MachineName>
  10. Nhấp vào OK.

kiểm nhập

Bảng sau liệt kê các quyền hạn sẽ được áp dụng khi bạn làm theo các bước trong phần "Cấp quyền trong sổ đăng ký". Bảng này là chỉ để tham khảo.

Lưu ý: Từ viết tắt HKLM viết tắt của HKEY_LOCAL_MACHINE.
Vị tríNgười dùng/NhómQuyền
HKLM\System\CurrentControlSet\Services\IISAdminQuản trị viênToàn quyền kiểm soát
Hệ thốngToàn quyền kiểm soát
HKLM\System\CurrentControlSet\Services\MsFtpSvcQuản trị viênToàn quyền kiểm soát
Hệ thốngToàn quyền kiểm soát
HKLM\System\CurrentControlSet\Services\w3svcQuản trị viênToàn quyền kiểm soát
Hệ thốngToàn quyền kiểm soát
IWAM_<MachineName></MachineName>Đọc
Cấp quyền trong chính sách bảo mật cục bộ
  1. Nhấp vào Bắt đầu, bấm vàocài đặt chuyên biệt, và sau đó nhấp vào ControlPanel.
  2. Nhấp đúp vào Công cụ quản trị, andthen nhấp đúp vào Chính sách bảo mật cục bộ.
  3. Trong hộp thoại Thiết đặt bảo mật cục bộ , mở rộng Chính sách địa phương, và sau đó nhấp vào Người dùng RightsAssignment.
  4. Sửa đổi chính sách thích hợp:
    1. Nhấp đúp vào chính sách.
    2. Chọn và sau đó nhấp vào gỡ bỏ cho bất kỳ người dùng không được liệt kê trong bảng.
    3. Thêm bất kỳ người sử dụng không được liệt kê. Để làm điều này, bấm vào Thêm, và sau đó chọn người dùng trong hộp thoại chọn người dùng hoặc nhóm .
Lưu ý rằng bởi vì một bộ điều khiển tên miền chính sách sẽ thay thế chính sách cục bộ, bạn phải chắc chắn rằng Có hiệu quả các thiết đặt chính sách phù hợp với Thiết đặt chính sách địa phương.

Chính sách

Bảng sau liệt kê các quyền hạn sẽ được áp dụng khi bạn làm theo các bước trong phần "Cấp quyền trong chính sách bảo mật cục bộ".
Chính sáchNgười dùng
kí nhập tại địa phươngQuản trị viên
IUSR_<MachineName> (vô danh)</MachineName>
Người dùng (yêu cầu xác thực)
Truy cập vào máy tính này từ mạngQuản trị viên
ASPNet (Net Framework)
IUSR_<MachineName> (vô danh)</MachineName>
IWAM_<MachineName></MachineName>
Người dùng
kí nhập dưới tên một công việc hàng loạtASPNet
Mạng
IUSR_<MachineName></MachineName>
IWAM_<MachineName></MachineName>
bản ghi dịch vụ
kí nhập dưới tên là một bản ghi dịch vụASPNet
Mạng
Bỏ qua đi qua kiểm traQuản trị viên
IUSR_<MachineName> (vô danh)</MachineName>
Người dùng (Basic, tích hợp, tiêu hóa)
IWAM_<MachineName></MachineName>
Tham khảo
Để biết thêm chi tiết về làm thế nào để khôi phục lại quyền NTFS mặc định cho Windows 2000, nhấp vào số bài viết sau để xem các bài viết trong cơ sở kiến thức Microsoft:
266118 Làm thế nào để khôi phục lại quyền NTFS mặc định cho Windows 2000
260985 Quyền NTFS tối thiểu cần thiết để sử dụng CDONTS
324068 Làm thế nào để đặt IIS quyền cho các đối tượng cụ thể
815153 Làm thế nào để đặt cấu hình quyền hạn tập tin NTFS để bảo mật của ứng dụng ASP.NET

Để biết thêm chi tiết về các quyền cần thiết cho IIS 6.0, nhấp vào số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:
812614 Quyền người dùng và các Quyền Mặc định cho IIS 6.0
Thông tin thêm
Vai trò máy chủ hoặc các ứng dụng không được giải quyết
Bài viết này không giải quyết bất kỳ một trong các yêu cầu bảo mật cụ thể của các vai trò máy chủ sau hoặc các ứng dụng:
  • Bộ kiểm soát miền Windows 2000
  • Microsoft Exchange 5.5 hoặc Microsoft Exchange 2000 OutlookWeb truy cập
  • Microsoft Small Business Server 2000
  • Microsoft SharePoint Portal hoặc nhóm bản ghi dịch vụ
  • Microsoft thương mại Server 2000 hoặc Microsoft thương mại Server2002
  • Microsoft BizTalk Server 2000 hoặc Microsoft BizTalk Server2002
  • Microsoft nội dung quản lý Server 2000 hoặc máy chủ quản lý MicrosoftContent 2002
  • Microsoft ứng dụng trung tâm 2000
  • Các ứng dụng bên thứ ba phụ thuộc vào điều khoản bổ sung
IIS 5 NTFS cho phép quyền bảo mật internet thông tin bản ghi dịch vụ khoá cứng chính sách mẫu

Cảnh báo: Bài viết này được dịch tự động

Thuộc tính

ID Bài viết: 271071 - Xem lại Lần cuối: 04/25/2014 04:40:00 - Bản sửa đổi: 3.0

Microsoft Internet Information Services 5.0, Microsoft Internet Information Services 5.1, Microsoft Internet Information Services 6.0

  • kbhowtomaster kbhowto kbpending kbprb kbquadranttechsupp kbconsumer kbmt KB271071 KbMtvi
Phản hồi
ipt> html>