如何設定最小的 NTFS 權限和使用者權限,iis 5.x 或 IIS 6.0

本文說明如何設定所需的專用網際網路資訊服務 (IIS) 5.0、 IIS 5.1 或 IIS 6.0 Web 伺服器的最小權限。

此發行項的限制

警告本文僅會出現在專屬的 Web 伺服器使用基本的 IIS 功能,例如伺服 HTML 靜態內容] 或 [簡單動態伺服器網頁 (ASP) 的內容。本文所述的權限需求是只針對專屬的 Web 伺服器執行 IIS 5 的基本權限項目。xIIS 6.0。這份文件不會考慮其他的 Microsoft 和協力廠商產品可能會需要不同的權限。您可以檢閱特定安全性需求的伺服器和應用程式文件。我們建議您檢閱相關的文件,都有專用的 Web 伺服器的角色。

在實際執行環境下測試之前的權限設定的步驟

在進行實際執行 Web 伺服器上的權限變更之前,我們建議您下列步驟:

  1. 執行IIS 鎖定工具的最新版本。下列的程式和服務已安裝做為用來測試之後授與本文所描述的權限的伺服器安全性與測試案例組的一部分:

    • 索引服務

    • 終端機服務

    • 指令碼偵錯工具

    • IIS

      • 一般檔案

      • 文件

      • FrontPage 伺服器擴充程式 2000

      • 網際網路服務管理員 」 (HTML)

      • WWW

      • FTP

  2. 執行下列功能測試:

    • 超文字文件 (HTML)

    • 動態伺服器網頁 (ASP)

    • FrontPage 伺服器擴充程式,例如連接、 編輯和儲存,如果您使用鎖定工具時,已啟用 FPSE

    • 安全通訊端層 (SSL) 連線使用。

授與擁有權和權限給系統管理員和系統

如果要執行這項操作,請依照下列步驟執行:

  1. 開啟 [Windows 檔案總管]。若要這樣做,請按一下 [開始],按一下 [程式集],然後按一下 [ Windows 檔案總管] 中。

  2. 展開 [我的電腦]。

  3. 系統磁碟機 (通常是 C 磁碟機),以滑鼠右鍵按一下,然後按一下 [內容

  4. 按一下 [安全性] 索引標籤,然後按一下 [進階],以開啟 [本機磁碟的存取控制設定] 對話方塊。

  5. 按一下 [擁有者] 索引標籤,按一下以選取 [取代子容器及物件的擁有者] 核取方塊,然後按一下 [套用。 如果您收到下列錯誤訊息,請按一下 [繼續]:

    發生安全性資訊套用到 %systemdrive%\Pagefile.sys 錯誤。

  6. 如果您收到下列錯誤訊息,請按一下 []:

    您沒有權限來讀取目錄 %systemdrive%\System 磁碟區資訊-內容是否要取代目錄的使用權限-將取代所有使用權限,授與完全控制

  7. 按一下 [確定] 關閉對話方塊。

  8. 按一下 [新增]

  9. 加入下列的使用者,並再授與完全控制] NTFS 權限:

    • 系統管理員

    • 系統

    • 建立者擁有者

  10. 加入這些 NTFS 權限之後,按一下 [進階],按一下以選取 [重設所有子項物件上的權限,並使傳播可繼承的權限] 核取方塊,然後按一下套用

  11. 如果您收到下列錯誤訊息,請按一下 [繼續]:

    發生安全性資訊套用到 %systemdrive%\Pagefile.sys 錯誤。

  12. 您已重設 NTFS 權限之後,請按一下[確定]

  13. 按一下 [所有人] 群組,按一下 [移除],然後按一下[確定]

  14. 開啟 %systemdrive%\Program 使用的檔案] 資料夾的內容,然後按一下 [安全性] 索引標籤新增用於匿名存取的帳戶。根據預設,這是 IUSR_ < MachineName > 帳戶。然後,新增使用者] 群組。請確定已選取 [只有下列項目:

    • 讀取 & 執行

    • 列出資料夾內容

    • 讀取

  15. 開啟的內容會保留您的 Web 內容的根目錄。根據預設,這是 [%systemdrive%\Inetpub\Wwwroot] 資料夾。按一下 [安全性] 索引標籤,新增 IUSR_ < MachineName > 帳戶和使用者] 群組中,,然後確定已選取 [只有下列:

    • 讀取 & 執行

    • 列出資料夾內容

    • 讀取

  16. 如果您要授與 Inetpub\FTProot 的撰寫的 NTFS 權限或您的 FTP 站台或網站的目錄路徑,請重複步驟 15。 注意我們不建議您授與匿名帳戶,在任何目錄中,包括使用 FTP 服務使用的目錄的 NTFS 寫入權限。這可能會造成不必要的資料上載至您的 Web 伺服器。

停用系統目錄中的繼承

如果要執行這項操作,請依照下列步驟執行:

  1. 在 %systemroot%\System32 資料夾中,選取下列之外所有的資料夾:

    • Inetsrv

    • (如果有的話) 的緣故

    • COM

  2. 剩餘的資料夾上按一下滑鼠右鍵,按一下 [內容],然後按一下 [安全性] 索引標籤。

  3. 按一下以清除 [允許繼承權限] 核取方塊,按一下 [複製],然後按一下[確定]

  4. 在 %systemroot%資料夾中,選取 [除了下列之外所有的資料夾:

    • 組件 (如果有的話)

    • 下載的程式檔

    • 說明

    • Microsoft.NET (如果有的話)

    • 離線網頁

    • System32

    • 工作

    • Temp

    • 網址

  5. 剩餘的資料夾上按一下滑鼠右鍵,按一下 [內容],然後按一下 [安全性] 索引標籤。

  6. 按一下以清除 [允許繼承權限] 核取方塊,按一下 [複製],然後按一下[確定]

  7. 套用權限,如下:

    1. 開啟 %systemroot%資料夾的內容、 按一下 [安全性] 索引標籤、 新增的IUSR_ < MachineName >IWAM_ < MachineName >帳戶與 [使用者] 群組中,以及確定只有以下是選取此項目:

      • 讀取 & 執行

      • 列出資料夾內容

      • 讀取

    2. 開啟 [%systemroot%\Temp] 資料夾的內容,選取IUSR_ < MachineName >帳戶 (這個帳戶目前已因為它繼承從 Winnt 資料夾) 的情況下,,然後按一下以選取 [修改] 核取方塊。重複此步驟, IWAM_ < MachineName >帳戶, 使用者群組。

    3. 如果 FrontPage 伺服器擴充功能的用戶端例如 FrontPage 或 Microsoft Visual asp 網頁正在使用中,開啟 [%systemdrive%\Inetpub\Wwwroot] 資料夾的內容,選取已驗證的使用者群組,選取下列,然後按一下[確定]:

      • 修改

      • 讀取 & 執行

      • 列出資料夾內容

      • 讀取

      • 寫入

NTFS 權限

下表列出當您依照 < 在系統目錄中的停用繼承=""> 一節的步驟,將會套用的權限。此資料表是僅供參考用途。 若要套用下列表格中的權限,請依照下列步驟執行:

  1. 開啟 [Windows 檔案總管]。若要這樣做,請按一下 [開始],按一下 [程式集、 按一下 [附屬應用程式,,然後按一下Windows 檔案總管]

  2. 展開 [我的電腦]。

  3. %,以滑鼠右鍵按一下,然後按一下 [內容

  4. 按一下 [安全性] 索引標籤,然後按一下 [進階]。

  5. 按兩下 [權限,,然後從 [套用在] 清單中選取適當的設定。

注意在 [套用至] 資料行、 預設值是指 「 這個資料夾、 子資料夾及檔案。 」 一詞

目錄

Users\Groups

權限

套用至

%systemroot%\ (c:\winnt)

系統管理員

完全控制

預設值

系統

完全控制

預設值

使用者

讀取、 執行

預設值

%systemroot%\system32

系統管理員

完全控制

預設值

系統

完全控制

預設值

使用者

讀取、 執行

預設值

%systemroot%\system32\inetsrv

系統管理員

完全控制

預設值

系統

完全控制

預設值

使用者

讀取、 執行

預設值

Inetpub\adminscripts

系統管理員

完全控制

預設值

Inetpub\urlscan (如果有的話)

系統管理員

完全控制

預設值

系統

完全控制

預設值

%systemroot%\system32\inetsrv\metaback

系統管理員

完全控制

預設值

系統

完全控制

預設值

%systemroot%\help\iishelp\common

系統管理員

完全控制

這個資料夾及檔案

系統

完全控制

這個資料夾及檔案

IWAM_<Machinename>

讀取、 執行

這個資料夾及檔案

網路

完全控制

這個資料夾及檔案

服務

這個資料夾及檔案

使用者

讀取、 執行

這個資料夾及檔案

Inetpub\wwwroot (或內容的目錄)

系統管理員

完全控制

這個資料夾及檔案

系統

完全控制

這個資料夾及檔案

IWAM_<MachineName>

讀取、 執行

這個資料夾及檔案

服務

讀取、 執行

這個資料夾及檔案

網路

讀取、 執行

這個資料夾及檔案

Optional**:

使用者

讀取、 執行

這個資料夾及檔案

注意如果您使用的 FrontPage 伺服器擴充程式,已驗證的使用者或使用者群組必須變更 NTFS 權限來建立、 重新命名、 寫入,或以提供開發人員可能要有從 FrontPage 型別用戶端,例如使用的功能視覺化的 asp 網頁 6.0 或 FrontPage 2002。

在登錄中授與使用權限

  1. 按一下 [開始],按一下 [執行]、 輸入regedt32,然後按一下[確定]。不要使用登錄編輯程式,因為它不會讓您變更在 Windows 2000 中的權限。

  2. 在 「 登錄編輯器 」 中,找出並選取作用中計

  3. 展開 [系統、 展開CurrentControlSet,然後再展開服務

  4. 選取IISADMIN索引鍵、 按一下 [安全性] (或按 ALT + S 鍵),然後選取 權限(或按下 P 鍵)。

  5. 按一下以清除 [允許從父系傳播到這個物件的繼承權限] 核取方塊,按一下 [複製],然後移除所有使用者除了:

    • 系統管理員 (允許讀取] 和 [完全控制)

    • 系統 (允許讀取] 和 [完全控制)

  6. 按一下 [確定]

  7. MSFTPSVC機碼重複步驟。

  8. 選取的W3SVC機碼,按一下 [安全性],然後按一下權限

  9. 按一下以清除 [允許從父系傳播到這個物件的繼承權限] 核取方塊,然後移除所有項目除外:

    • 系統管理員 (允許讀取] 和 [完全控制)

    • 系統 (允許讀取] 和 [完全控制)

    • 網路 (讀取)

    • 服務 (讀取)

    • IWAM_ < MachineName > (讀取)

  10. 按一下 [確定]

登錄

下表列出當您依照 < 在登錄中的授與權限=""> 一節的步驟,將會套用的權限。此資料表是僅供參考用途。

Need more help?

Expand your skills
Explore Training
Get new features first
Join Microsoft Insiders

Was this information helpful?

Thank you for your feedback!

Thank you for your feedback! It sounds like it might be helpful to connect you to one of our Office support agents.

×