熱點推薦:
您现在的位置: 電腦知識網 >> 編程 >> .NET編程 >> 正文

IIS需要的最小NTFS權限

2013-11-13 09:54:28  來源: .NET編程 
本文介紹了正常運行IIS所需要的最小NTFS權限當IIS不能正常運行或者想嚴格限制權限的時候可以參照此文以下是操作的個步驟
 
  選取整個硬盤System完全控制Administrator完全控制(允許將來自父系的可繼承性權限傳播給對象)
 
  \Program Files\Common FilesEveryone讀取及運行列出文件目錄讀取(允許將來自父系的可繼承性權限傳播給對象)
 
  \Inetpub\wwwroot(可根據需要設計)
 
  IUSR_MACHINE讀取及運行列出文件目錄讀取(允許將來自父系的可繼承性權限傳播給對象)
 
  \Winnt\system選中 InetsrvCertsrv (如果存在)和 Com 之外的其他所有文件夾去除允許將來自父系的可繼承性權限傳播給對象選框復制
 
  \Winnt選中以下文件夾之外的其他所有文件夾Assembly(如果有)Downloaded Program FilesHelpIIS Temporary Compressed FilesMicrosoftNET(如果有)Offline Web PagesSystemTasksTemp 和 Web去除允許將來自父系的可繼承性權限傳播給對象選框復制
 
  \WinntEveryone讀取及運行列出文件目錄讀取(允許將來自父系的可繼承性權限傳播給對象)
 
  \Winnt\Temp(允許訪問數據庫並顯示在ASP頁面上)
 
  Everyone可改(允許將來自父系的可繼承性權限傳播給對象)
 
  \program files\servu\ 只給system admin 所有權限webeasymail everyone 所有權限否則不好\Winnt\system\intesvr\ 這個目錄下不要給EVERYONE的寫入權限 cmdexe netexe phpini 中 display_errors 設為OFF這樣你就擁有了一個權限嚴格而又可以正常運行的IIS系統了
 
  補充禁止web anonymous組對cmdexe等的訪問更多信息雖然每個系統管理員可以根據各自的需求設置權限但最好使用 Everyone 組而不要只使用 IUSR_MACHINE 帳戶實際上如果只為 IUSR_MACHINE 帳戶添加權限ASP 和 ASPNET 將無法運行如果使用 Everyone 組當 Web 站點對匿名用戶和經過身份驗證的用戶都有高中或低的保護級別設置時ASP 能夠正常運行
 
  另外如果只需要匿名訪問管理員可以創建 InternetGuests 本地組然後將 IUSR_MACHINEIWAM_MACHINE 和 ASPNET 添加到該組將 Everyone 組替換為 InternetGuests 組不過Everyone 組包括 Users 組(對於經過身份驗證的 Web 用戶)IUSR_MACHINE 帳戶(對於匿名 HTM 訪問)IWAM_MACHINE 帳戶(對於匿名 ASP 功能)以及 ASPNET(對於 ASPNET 功能)
 
  IIS 使用兩個單獨的帳戶執行 Web 頁使用匿名身份驗證時IIS 使用 IUSR_MACHINE 帳戶查看 Web 頁不過IWAM_MACHINE 用於啟動一個單獨的進程該進程稱為 Dllhostexe所有 Active Server Pages (ASP)組件對象模型 (COM) 組件或其他 ISAPI 擴展(ASP 被視為 ISAPI 擴展)都在該進程內運行這樣做的目的主要是保持穩定如果從 ASP 頁調用的自定義 COM 組件崩潰(也即導致訪問沖突從而致使進程停止)它不會影響到 Inetinfoexe因此 Web 服務將繼續運行
 
  IIS 中的三個保護級別如下低(IIS 進程)該設置與 IIS 下的默認設置類似所有 Web 頁不論是 HTM 還是 ASP都在 Inetinfoexe 進程內運行
 
  中等(池)這是默認設置與 IIS 相同該設置啟動稱為 Dllhostexe 的單獨進程所有 ASP 和 COM 組件都在該進程內運行該進程由 IWAM_MACHINE 帳戶啟動這也與 IIS 相同另外該設置也稱為池因為在 IIS 中運行的所有 Web 站點都在執行 ASP 頁時共享這一個 Dllhostexe 進程請注意站 用 Dllhostexe 替換 Mtxexe高(獨立)該設置為每個 Web 站點或應用程序啟動專用 Dllhostexe 進程如果有 個 Web 站點每個站點的保護級別都設為總共將有六個 Dllhostexe 進程五個 Dllhostexe 進程和一個附加 Dllhostexe 進程該附加進程由 COM+ 在系統應用程序下啟動

From:http://tw.wingwit.com/Article/program/net/201311/11938.html
  • 上一篇文章:

  • 下一篇文章:
  • 推薦文章
    Copyright © 2005-2013 電腦知識網 Computer Knowledge   All rights reserved.