您目前已離線,請等候您的網際網路重新連線

如何在 Windows Server 2003 中設定 IIS 網站驗證

Windows Server 2003 的支援已於 2015 年 7 月 14 日結束

Microsoft 已於 2015 年 7 月 14 日結束對 Windows Server 2003 的支援。此變更已影響您的軟體更新和安全性選項。 瞭解這對您的意義為何且如何持續受保護。

如需本文的 Microsoft Windows 2000 版本,請參閱 310344

本文內容

結論
本文將告訴您,如何在 Windows Server 2003 中設定 Microsoft Internet Information Services (IIS) 網站驗證。您可以對 IIS 進行設定,以便在允許使用者存取網站、網站中的資料夾或甚至網站中資料夾中的特定文件之前,對該使用者進行驗證。IIS 中的驗證可用於加強一般公用使用者不能檢視的網站、資料夾和文件的安全性等級。

如果不打算供匿名使用者或公用使用者存取資源,而已核准的使用者必須能夠透過網際網路存取 Web 伺服器,則 IIS 中的驗證便十分重要。需要驗證存取控制的網站應用程式範例包括 Microsoft Outlook Web Access (OWA) 和 Microsoft 終端機服務進階用戶端。

回到頁首

如何在 IIS 中設定驗證

  1. 啟動 [IIS 管理員] 或開啟 IIS 嵌入式管理單元。
  2. 展開 Server_name,其中 Server_name 是伺服器的名稱,然後展開 [網站]
  3. 在主控台樹狀目錄中,用滑鼠右鍵按一下要設定驗證的網站、虛擬目錄或檔案,然後按一下 [內容]
  4. 按一下 [目錄安全設定][檔案安全設定] 索引標籤 (選擇適當的),然後在 [驗證及存取控制] 下,按一下 [編輯]
  5. 按一下以選取要使用的驗證方法旁邊的核取方塊,然後按一下 [確定]

    根據預設所設定的驗證方法為 [啓用匿名存取][整合式 Windows 驗證]
    • 啓用匿名存取:啓用匿名存取時,不需要已驗證的使用者憑證即可存取網站。當您想要授予不需要安全性的資訊的公開存取權時,這個選項最適用。當使用者嘗試連線至您的網站時,IIS 會將連線指派給 IUSER_ComputerName 帳戶,其中 ComputerName 是正在執行 IIS 的伺服器的名稱。根據預設,IUSER_ComputerName 帳戶是 Guests 群組的成員。這個群組具有由 NTFS 檔案系統權限所設定的安全性限制,這些限制指定存取權層級以及可提供給公用使用者的內容的類型。如果要編輯用於匿名存取的 Windows 帳戶,請按一下 [啓用匿名存取] 方塊中的 [瀏覽]

      重要:如果您啓用匿名存取,即使您啓用其他的驗證方法,IIS 還是一定會先嘗試使用匿名驗證來驗證使用者。
    • 整合式 Windows 驗證:之前名為 NTLMWindows NT 挑戰/回應驗證,這個方法會透過網路傳送使用者驗證資訊做為 Kerberos 票證,並提供高安全性等級。Windows 整合式驗證是使用 Kerberos 版本 5 和 NTLM 驗證。如果要使用這種方法,用戶端必須使用 Microsoft Internet Explorer 2.0 或更新版本。此外,不支援透過 HTTP Proxy 連線進行 Windows 整合式驗證。如果內部網路中的使用者和 Web 伺服器電腦都位在相同的網域中,且系統管理員可以確定所有使用者都是使用 Internet Explorer 2.0 或更新版本,使用這個選項是最適合的。

      注意:如果選取多個驗證選項,IIS 會嘗試交涉最安全的方法,然後它依照可用的驗證通訊協定清單的向下逐個試用其他協定,直到找到用戶端和伺服器都支援的共同驗證通訊協定。
    • 摘要式 Windows 網域伺服器驗證:摘要式驗證需要使用者 ID 和密碼,可提供中級的安全性等級,如果您想要授予從公用網路的安全性資訊存取權,則可以使用這種方法。這種方法提供了和基本驗證相同的功能。然而,這種方法會將使用者憑證做為 MD5 雜湊資料或訊息摘要在網路中進行傳輸,這樣就無法從雜湊資料對原始的使用者名稱和密碼進行解碼。如果要使用這種方法,用戶端必須使用 Microsoft Internet Explorer 5.0 或更新版本,且 Web 用戶端和 Web 伺服器必須是相同網域的成員或是受相同網域的信任。

      如果您啟用摘要式驗證,請在 [範圍] 方塊中輸入領域名稱。
    • 基本驗證 (使用純文字方式傳送密碼):基本驗證需要使用者 ID 和密碼,並提供低等級的安全性等級。使用者憑證會以純文字方式在網路上傳送。這種格式提供的安全性等級較低,因為幾乎所有的通訊協定解析程式都可以讀取密碼。然而,它與大多數的 Web 用戶端相容。當您想要授予幾乎沒有或不需要隱私的資訊的存取權時,使用這個選項最合適。

      如果您啟用基本驗證,請在 [預設網域] 方塊中輸入要使用的網域名稱。您也可以選擇在 [範圍] 方塊中輸入值。
    • .NET Passport 驗證:.NET Passport 驗證提供單一登入安全性,為使用者提供對網際網路上不同服務的存取權。當您選取這個選項時,對 IIS 的要求必須在查詢字串上或 Cookie 中包含有效的 .NET Passport 憑證。如果 IIS 沒有偵測到 .NET Passport 憑證,便會將要求重新導向至 .NET Passport 登入頁面。

      注意:當您選取這個選項時,所有其他的驗證方法都會無法使用 (顯示為暗灰色)。
  6. 另一種類型的驗證是以要求主機而不是使用者憑證為基礎。您可以根據來源 IP 位址、來源網路 ID 或來源網路識別碼來限制存取權。如果要設定這種類型的驗證,請依照下列步驟執行:
    1. [IP 位址及網域名稱限制] 下,按一下 [編輯]
    2. 請執行下列其中一項操作:
      • 如果要拒絕存取,按一下 [授予存取權],然後按一下 [新增]。在出現的 [拒絕存取] 對話方塊中,指定您要的選項,然後按一下 [確定]

        您指定的電腦、電腦群組或網域會新增到清單中。

        - 或 -
      • 如果要授予存取權,按一下 [拒絕存取],然後按一下 [新增]。在出現的 [授予存取] 對話方塊中,選取您要的選項,然後按一下 [確定]

        您選取的電腦、電腦群組或網域會新增到清單中。
    3. 按一下 [確定]
  7. 按一下 [確定],然後結束 IIS 管理員或關閉 IIS 嵌入式管理單元。
回到頁首

疑難排解

  • 您可能會看到提示,要求您套用您對現有網站所做的變更。如果您希望驗證變更套用到其他內容上,請按一下子節點清單中的內容,然後按一下 [確定]。如果您不希望將變更套用至任何子節點上,請不要選取清單上任何項目,然後按一下 [確定]
  • 在 IIS 中,您可以在網站、目錄或檔案層級設定驗證選項。本文中所介紹的原則亦適用於每種情況。
回到頁首
kbiis600 kbappsvc
內容

文章識別碼:324274 - 最後檢閱時間:09/06/2006 10:07:56 - 修訂: 6.4

Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Web Edition, Microsoft Windows Server 2003, 64-Bit Datacenter Edition, Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Internet Information Services 6.0

  • kbwebservices kbappservices kbhowto kbhowtomaster KB324274
意見反應