IIS 7.0 和更新版本的預設權限和使用者權限
本文說明在特定資料夾和檔案上設定的預設權限和使用者權限。 這些資料夾和檔案會與 Microsoft Internet Information Services (IIS) 7.0 和更新版本一起安裝。
原始產品版本: Internet Information Services 8.0
原始 KB 編號: 981949
IIS 6.0、IIS 7.0 和更新版本中的權限變更
在 IIS 6.0 中,安裝 IIS 時會建立本機帳戶 (IUSR_MachineName)。 帳戶 IUSR_MachineName 是啟用匿名驗證時,IIS 所使用的預設身分識別。 檔案傳輸通訊協定 (FTP) 服務和 HyperText 傳輸通訊協定 (HTTP) 服務都會使用匿名驗證。 IIS 6.0 也包含名為 IIS_WPG 的群組。 IIS_WPG 群組會當做所有應用程式集區身分識別的容器使用。
在 IIS 7.0 和更新版本中,內建帳戶 (IUSR) 會取代 IUSR_MachineName 帳戶。 此外,名為 IIS_IUSRS 的群組會取代 IIS_WPG 群組。 因為 IUSR 帳戶是內建帳戶,所以 IUSR 帳戶不再需要密碼。 IUSR 帳戶類似于網路或本機服務帳戶。 只有在安裝包含在 Windows Server 2008 DVD 上的 FTP 6 伺服器時,才會建立並使用 IUSR_MachineName 帳戶。 如果未安裝 FTP 6 伺服器,則不會建立帳戶。
從 IIS 7.5 開始,新增了稱為應用程式集區身分識別的新安全性功能。 此功能可讓您在唯一的帳戶下執行應用程式集區,而不需要建立和管理網域或本機帳戶。 應用程式集區帳戶的名稱會對應至應用程式集區的名稱。
如需 IIS 7.0 帳戶和群組的詳細資訊,請造訪 瞭解 IIS 7 中的內建使用者和群組帳戶。
如需應用程式集區身分識別的詳細資訊,請瀏覽 應用程式集區身分識別。
預設 NTFS 檔案系統權限
本節中的資料表列出指派給特定資料夾和檔案的預設新技術檔案系統 (NTFS) 權限。 這些資料夾和檔案會與 IIS 7.0、IIS 7.5、IIS 8.0、IIS 8.5 和 IIS 10.0 一起安裝。
\inetpub
| 使用者 / 群組 |
允許的權限 |
註解 |
| CREATOR OWNER |
特殊權限 |
相當於完全控制。 僅適用於子資料夾和檔案。 |
| SYSTEM |
完全控制 |
|
| 系統管理員 |
完全控制 |
|
| 使用者 |
讀 & 執行 清單資料夾內容 讀取 |
|
| TrustedInstaller |
完全控制 |
|
\inetpub\AdminScripts
| 使用者 / 群組 |
允許的權限 |
註解 |
| CREATOR OWNER |
特殊權限 |
相當於完全控制。 僅適用於子資料夾和檔案。 |
| SYSTEM |
完全控制 |
|
| 系統管理員 |
完全控制 |
|
| 使用者 |
讀 & 執行 清單資料夾內容 讀取 |
|
| TrustedInstaller |
完全控制 |
|
\inetpub\AdminScripts\0409
| 使用者 / 群組 |
允許的權限 |
註解 |
| CREATOR OWNER |
特殊權限 |
相當於完全控制。 僅適用於子資料夾和檔案。 繼承自 \inetpub\AdminScripts。 |
| SYSTEM |
完全控制 |
從 \inetpub\AdminScripts 繼承而來。 |
| 系統管理員 |
完全控制 |
從 \inetpub\AdminScripts 繼承而來。 |
| 使用者 |
讀 & 執行 清單資料夾內容 讀取 |
從 \inetpub\AdminScripts 繼承而來。 |
| TrustedInstaller |
完全控制 |
從 \inetpub\AdminScripts 繼承而來。 |
\inetpub\custerr
| 使用者 / 群組 |
允許的權限 |
註解 |
| CREATOR OWNER |
特殊權限 |
相當於完全控制。 僅適用於子資料夾和檔案。 繼承自 \inetpub。 |
| SYSTEM |
完全控制 特殊許可權 |
完整控制項繼承自 \inetpub。 特殊許可權相當於完全控制。 僅適用於此資料夾。 |
| 系統管理員 |
完全控制 特殊許可權 |
完整控制項繼承自 \inetpub。 相當於完全控制。 僅適用於此資料夾。 |
| 使用者 |
讀取 & 執行 清單資料夾內容 讀 取特殊許可權 |
權限繼承自 \inetpub,但特殊權限除外。 特殊權限僅適用於此資料夾,並包含下列專案:- 周遊資料夾 / 執行檔案
- 清單資料夾 / 讀取資料
- 讀取屬性
- 讀取擴充屬性
- 讀取權限
|
| TrustedInstaller |
完全控制 |
從 \inetpub 繼承而來。 |
\inetpub\custerr\en-us
| 使用者 / 群組 |
允許的權限 |
註解 |
| CREATOR OWNER |
特殊權限 |
相當於完全控制。 僅適用於子資料夾和檔案。 繼承自 \inetpub。 |
| SYSTEM |
完全控制 |
從 \inetpub 繼承而來。 |
| 系統管理員 |
完全控制 |
從 \inetpub 繼承而來。 |
| 使用者 |
讀 & 執行 清單資料夾內容 讀取 |
從 \inetpub 繼承而來。 |
| TrustedInstaller |
完全控制 |
從 \inetpub 繼承而來。 |
\inetpub\ftproot
| 使用者 / 群組 |
允許的權限 |
註解 |
| CREATOR OWNER |
特殊權限 |
相當於完全控制。 僅適用於子資料夾和檔案。 繼承自 \inetpub。 |
| SYSTEM |
完全控制 |
從 \inetpub 繼承而來。 |
| 系統管理員 |
完全控制 |
從 \inetpub 繼承而來。 |
| 使用者 |
讀 & 執行 清單資料夾內容 讀取 |
從 \inetpub 繼承而來。 |
| TrustedInstaller |
完全控制 |
從 \inetpub 繼承而來。 |
\inetpub\history 和子資料夾
| 使用者 / 群組 |
允許的權限 |
註解 |
| SYSTEM |
完全控制 |
|
| 系統管理員 |
完全控制 |
|
\inetpub\logs
| 使用者 / 群組 |
允許的權限 |
註解 |
| CREATOR OWNER |
特殊權限 |
相當於完全控制。 僅適用於子資料夾和檔案。 繼承自 \inetpub。 |
| SYSTEM |
完全控制 |
從 \inetpub 繼承而來。 |
| 系統管理員 |
完全控制 |
從 \inetpub 繼承而來。 |
| 使用者 |
讀 & 執行 清單資料夾內容 讀取 |
從 \inetpub 繼承而來。 |
| WMSVC |
列出資料夾內容 |
|
| TrustedInstaller |
完全控制 |
從 \inetpub 繼承而來。 |
\inetpub\logs\FailedReqLogFiles
| 使用者 / 群組 |
允許的權限 |
註解 |
| IIS_IUSRS |
特殊權限 |
特殊權限包括:- 清單資料夾 / 讀取資料
- 建立檔案 / 寫入資料
- 建立資料夾 / 附加資料
- 寫入屬性
- 寫入擴充屬性
- 刪除子資料夾和檔案
- 刪除
|
| SYSTEM |
完全控制 |
|
| 系統管理員 |
完全控制 |
|
\inetpub\logs\wmsvc
| 使用者 / 群組 |
允許的權限 |
註解 |
| CREATOR OWNER |
特殊權限 |
相當於完全控制。 僅適用於子資料夾和檔案。 繼承自 \inetpub。 |
| SYSTEM |
完全控制 |
從 \inetpub 繼承而來。 |
| 系統管理員 |
完全控制 |
從 \inetpub 繼承而來。 |
| 使用者 |
讀 & 執行 清單資料夾內容 讀取 |
從 \inetpub 繼承而來。 |
| WMSVC |
修改 讀取 & 執行 清單資料夾內容 讀 取寫入 |
清單資料夾內容權限繼承自 \inetpub\logs。 |
| TrustedInstaller |
完全控制 |
從 \inetpub 繼承而來。 |
\inetpub\temp
| 使用者 / 群組 |
允許的權限 |
註解 |
| CREATOR OWNER |
特殊權限 |
相當於完全控制。 僅適用於子資料夾和檔案。 繼承自 \inetpub。 |
| SYSTEM |
完全控制 |
從 \inetpub 繼承而來。 |
| 系統管理員 |
完全控制 |
從 \inetpub 繼承而來。 |
| 使用者 |
讀 & 執行 清單資料夾內容 讀取 |
從 \inetpub 繼承而來。 |
| TrustedInstaller |
完全控制 |
從 \inetpub 繼承而來。 |
\inetpub\temp\appPools
| 使用者 / 群組 |
允許的權限 |
註解 |
| CREATOR OWNER |
特殊權限 |
相當於完全控制。 僅適用於子資料夾和檔案。 |
| SYSTEM |
完全控制 |
|
| 系統管理員 |
完全控制 |
|
| IIS_IUSRS |
讀取與執行 |
從 \inetpub 繼承而來。 |
\inetpub\temp\ASP 編譯的範本
| 使用者 / 群組 |
允許的權限 |
註解 |
| 預設情況下,不會將任何權限指派給此資料夾。 |
|
|
\inetpub\temp\IIS 暫存壓縮檔案
| 使用者 / 群組 |
允許的權限 |
註解 |
| SYSTEM |
完全控制 |
|
| 系統管理員 |
完全控制 |
|
| IIS_IUSRS |
完全控制 |
|
\inetpub\wwwroot
| 使用者 / 群組 |
允許的權限 |
註解 |
| CREATOR OWNER |
特殊權限 |
相當於完全控制。 僅適用於子資料夾和檔案。 繼承自 \inetpub。 |
| SYSTEM |
完全控制 |
從 \inetpub 繼承而來。 |
| 系統管理員 |
完全控制 |
從 \inetpub 繼承而來。 |
| 使用者 |
讀 & 執行 清單資料夾內容 讀取 |
從 \inetpub 繼承而來。 |
| IIS_IUSRS |
讀取與執行 |
|
| TrustedInstaller |
完全控制 |
從 \inetpub 繼承而來。 |
\inetpub\wwwroot\aspnet_client
| 使用者 / 群組 |
允許的權限 |
註解 |
| 所有人 |
讀取 |
|
| SYSTEM |
完全控制 |
|
| 系統管理員 |
完全控制 |
|
| 使用者 |
讀 & 執行 清單資料夾內容 讀取 |
|
%Windir%\System32\inetsrv\config\
| 使用者 / 群組 |
允許的權限 |
註解 |
| CREATOR OWNER |
特殊權限 |
相當於完全控制。 僅適用於子資料夾和檔案。 |
| SYSTEM |
特殊權限 |
此資料夾的 SYSTEM 帳戶所允許的特殊權限只包含下列項目:- 周遊資料夾 / 執行檔案
- 清單資料夾 / 讀取資料
- 讀取屬性
- 讀取擴充屬性
- 建立檔案 / 寫入資料
- 建立資料夾 / 附加資料
- 寫入屬性
- 寫入擴充屬性
- 刪除
- 讀取權限
子資料夾和檔案的SYSTEM所允許的特殊許可權,相當於完全控制。 |
| 系統管理員 |
特殊權限 |
此資料夾的系統管理員群組所允許的特殊權限只包含下列項目:- 周遊資料夾 / 執行檔案
- 清單資料夾 / 讀取資料
- 讀取屬性
- 讀取擴充屬性
- 建立檔案 / 寫入資料
- 建立資料夾 / 附加資料
- 寫入屬性
- 寫入擴充屬性
- 刪除
- 讀取權限
子資料夾和檔案的Administrators群組所允許的特殊許可權僅相當於完全控制。 |
| 使用者 |
讀 & 執行 清單資料夾內容 讀取 |
|
| TrustedInstaller |
特殊權限 |
權限相當於完整控制,並套用至此資料夾和子資料夾。 |
%windir%\System32\inetsrv\0409
| 使用者 / 群組 |
允許的權限 |
註解 |
| CREATOR OWNER |
特殊權限 |
相當於完全控制。 僅適用於子資料夾和檔案。 繼承自 %windir%\System32\inetsrv。 |
| SYSTEM |
完全控制 |
從 %windir%\System32\inetsrv 繼承而來。 |
| 系統管理員 |
完全控制 |
從 %windir%\System32\inetsrv 繼承而來。 |
| 使用者 |
讀 & 執行 清單資料夾內容 讀取 |
從 %windir%\System32\inetsrv 繼承而來。 |
| TrustedInstaller |
特殊權限 |
相當於完全控制。 僅適用於子資料夾和檔案。 繼承自 %windir%\System32\inetsrv |
%windir%\System32\inetsrv\config
| 使用者 / 群組 |
允許的權限 |
註解 |
| CREATOR OWNER |
特殊權限 |
相當於完全控制。 僅適用於子資料夾和檔案。 |
| SYSTEM |
完全控制 |
|
| 系統管理員 |
完全控制 |
|
| 使用者 |
讀 & 執行 清單資料夾內容 讀取 |
|
| TrustedInstaller |
完全控制 |
|
| WMSVC |
讀取 |
|
%windir%\System32\inetsrv\config\Export
| 使用者 / 群組 |
允許的權限 |
註解 |
| CREATOR OWNER |
特殊權限 |
相當於完全控制。 僅適用於子資料夾和檔案。 |
| SYSTEM |
完全控制 |
|
| 系統管理員 |
完全控制 |
|
| TrustedInstaller |
完全控制 |
|
%windir%\System32\inetsrv\config\schema
| 使用者 / 群組 |
允許的權限 |
註解 |
| CREATOR OWNER |
特殊權限 |
相當於完全控制。 僅適用於子資料夾和檔案。 |
| SYSTEM |
特殊權限 |
此資料夾的 SYSTEM 帳戶所允許的特殊權限只包含下列項目:- 周遊資料夾 / 執行檔案
- 清單資料夾 / 讀取資料
- 讀取屬性
- 讀取擴充屬性
- 建立檔案 / 寫入資料
- 建立資料夾 / 附加資料
- 寫入屬性
- 寫入擴充屬性
- 刪除
- 讀取權限
針對子資料夾和檔案所允許的 SYSTEM 特殊權限,相當於完全控制。 |
| 系統管理員 |
特殊權限 |
此資料夾的系統管理員群組所允許的特殊權限只包含下列項目:- 周遊資料夾 / 執行檔案
- 清單資料夾 / 讀取資料
- 讀取屬性
- 讀取擴充屬性
- 建立檔案 / 寫入資料
- 建立資料夾 / 附加資料
- 寫入屬性
- 寫入擴充屬性
- 刪除
- 讀取權限
子資料夾和檔案的系統管理員群組所允許的特殊權限僅相當於完全控制。 |
| 使用者 |
讀 & 執行 清單資料夾內容 讀取 |
|
| TrustedInstaller |
特殊權限 |
相當於完全控制。 適用於此資料夾和子資料夾。 |
%windir%\System32\inetsrv\en-us
| 使用者 / 群組 |
允許的權限 |
註解 |
| CREATOR OWNER |
特殊權限 |
相當於完全控制。 僅適用於子資料夾和檔案。 |
| SYSTEM |
特殊權限 |
此資料夾的 SYSTEM 帳戶所允許的特殊權限只包含下列項目:- 周遊資料夾 / 執行檔案
- 清單資料夾 / 讀取資料
- 讀取屬性
- 讀取擴充屬性
- 建立檔案 / 寫入資料
- 建立資料夾 / 附加資料
- 寫入屬性
- 寫入擴充屬性
- 刪除
- 讀取權限
針對子資料夾和檔案所允許的 SYSTEM 特殊權限,相當於完全控制。 |
| 系統管理員 |
特殊權限 |
此資料夾的系統管理員群組所允許的特殊權限只包含下列項目:- 周遊資料夾 / 執行檔案
- 清單資料夾 / 讀取資料
- 讀取屬性
- 讀取擴充屬性
- 建立檔案 / 寫入資料
- 建立資料夾 / 附加資料
- 寫入屬性
- 寫入擴充屬性
- 刪除
- 讀取權限
子資料夾和檔案的系統管理員群組所允許的特殊權限僅相當於完全控制。 |
| 使用者 |
讀 & 執行 清單資料夾內容 讀取 |
|
| TrustedInstaller |
列出資料夾內容 特殊許可權 |
相當於完全控制。 適用於此資料夾和子資料夾。 |
%windir%\System32\inetsrv\History
| 使用者 / 群組 |
允許的權限 |
註解 |
| 系統管理員 |
完全控制 |
|
| SYSTEM |
完全控制 |
|
| 使用者 / 群組 |
允許的權限 |
註解 |
| 系統管理員 |
完全控制 |
|
| SYSTEM |
完全控制 |
|
預設登錄權限
本節中的資料表列出安裝 IIS 7.0、IIS 7.5、IIS 8.0 或 IIS 8.5 時所指派的預設登錄權限。 當使用者列出讀取權限時,會包含下列權限:
HKEY_LOCAL_MACHINE\Software\Microsoft\Inetmgr
| 使用者 / 群組 |
允許的權限 |
註解 |
| CREATOR OWNER |
特殊權限 |
相當於完全控制。 僅適用於子機碼。 |
| SYSTEM |
完全控制 |
|
| 系統管理員 |
完全控制 |
|
| 使用者 |
讀取 |
|
HKEY_LOCAL_MACHINE\Software\Microsoft\InetStp
| 使用者 / 群組 |
允許的權限 |
註解 |
| CREATOR OWNER |
特殊權限 |
相當於完全控制。 僅適用於子機碼。 |
| SYSTEM |
完全控制 |
|
| 系統管理員 |
完全控制 |
|
| 使用者 |
讀取 |
|
HKEY_LOCAL_MACHINE\Software\Microsoft\W3SVC
| 使用者 / 群組 |
允許的權限 |
註解 |
| CREATOR OWNER |
特殊權限 |
相當於完全控制。 僅適用於子機碼。 |
| SYSTEM |
完全控制 |
|
| 系統管理員 |
完全控制 |
|
| 使用者 |
讀取 |
|
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ASP
| 使用者 / 群組 |
允許的權限 |
註解 |
| CREATOR OWNER |
特殊權限 |
相當於完全控制。 僅適用於子機碼。 |
| SYSTEM |
完全控制 |
|
| 系統管理員 |
完全控制 |
|
| 使用者 |
讀取 |
|
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ASP.NET
| 使用者 / 群組 |
允許的權限 |
註解 |
| CREATOR OWNER |
特殊權限 |
相當於完全控制。 僅適用於子機碼。 |
| SYSTEM |
完全控制 |
|
| 系統管理員 |
完全控制 |
|
| 使用者 |
讀取 |
|
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ASP.NET_2.0.50727
| 使用者 / 群組 |
允許的權限 |
註解 |
| CREATOR OWNER |
特殊權限 |
相當於完全控制。 僅適用於子機碼。 |
| SYSTEM |
完全控制 |
|
| 系統管理員 |
完全控制 |
|
| 使用者 |
讀取 |
|
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\aspnet_state
| 使用者 / 群組 |
允許的權限 |
註解 |
| CREATOR OWNER |
特殊權限 |
相當於完全控制。 僅適用於子機碼。 |
| SYSTEM |
完全控制 |
|
| 系統管理員 |
完全控制 |
|
| 使用者 |
讀取 |
|
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP
| 使用者 / 群組 |
允許的權限 |
註解 |
| CREATOR OWNER |
特殊權限 |
相當於完全控制。 僅適用於子機碼。 |
| SYSTEM |
完全控制 |
|
| 系統管理員 |
完全控制 |
|
| 使用者 |
讀取 |
|
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\IISAdmin
| 使用者 / 群組 |
允許的權限 |
註解 |
| CREATOR OWNER |
特殊權限 |
相當於完全控制。 僅適用於子機碼。 |
| SYSTEM |
完全控制 |
|
| 系統管理員 |
完全控制 |
|
| 使用者 |
讀取 |
|
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\W3SVC
| 使用者 / 群組 |
允許的權限 |
註解 |
| CREATOR OWNER |
特殊權限 |
相當於完全控制。 僅適用於子機碼。 |
| SYSTEM |
完全控制 |
|
| 系統管理員 |
完全控制 |
|
| 使用者 |
讀取 |
|
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WAS
| 使用者 / 群組 |
允許的權限 |
註解 |
| CREATOR OWNER |
特殊權限 |
相當於完全控制。 僅適用於子機碼。 |
| SYSTEM |
完全控制 |
|
| 系統管理員 |
完全控制 |
|
| 使用者 |
讀取 |
|
注意事項
WAS 金鑰適用於 Windows 進程啟用服務。 這是必要的相依性,並且會與 IIS 一起安裝。
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WMsvc
| 使用者 / 群組 |
允許的權限 |
註解 |
| CREATOR OWNER |
特殊權限 |
相當於完全控制。 僅適用於子機碼。 |
| SYSTEM |
完全控制 |
|
| 系統管理員 |
完全控制 |
|
| 使用者 |
讀取 |
|
預設 Windows 使用者權限指派
安裝 IIS 7.0、IIS 7.5、IIS 8.0 或 IIS 8.5 時,本節中的表格列出預設本機安全性原則以及指派給原則的使用者、群組或使用者和群組。
由本機安全性原則所指派的 Windows 使用者權限
| 允許的權限 |
使用者 / 群組 |
| 從網路存取這部電腦 |
所有人 系統管理員 用戶 備份操作員 |
| 調整進程的記憶體配額 |
LOCAL SERVICE NETWORK SERVICE Administrators ApplicationPoolIdentity |
| 允許在本機登入 |
系統管理員 使用者 備份操作員 |
| 略過周遊檢查 |
Everyone LOCAL SERVICE NETWORK SERVICE Administrators Users Backup operators |
| 產生安全性稽核 |
ApplicationPoolIdentity |
| 在驗證後模擬用戶端 |
LOCAL SERVICE NETWORK SERVICE AdministratorsIIS_IUSRS SERVICE |
| 以批次作業權限登入 |
系統管理員 備份操作員 效能記錄使用者IIS_IUSRS |
| 以服務方式登入 |
ApplicationPoolIdentity |
| 取代處理常式層級權杖 |
LOCAL SERVICE NETWORK SERVICE ApplicationPoolIdentity |