本文介紹了正常運行IIS所需要的最小NTFS權限
當IIS不能正常運行或者想嚴格限制權限的時候可以參照此文
以下是操作的
個步驟
選取整個硬盤
System
完全控制Administrator
完全控制(允許將來自父系的可繼承性權限傳播給對象)
\Program Files\Common Files
Everyone
讀取及運行列出文件目錄讀取(允許將來自父系的可繼承性權限傳播給對象)
\Inetpub\wwwroot
(可根據需要設計)
IUSR_MACHINE
讀取及運行列出文件目錄讀取(允許將來自父系的可繼承性權限傳播給對象)
\Winnt\system
選中 Inetsrv
Certsrv (如果存在)和 Com 之外的其他所有文件夾
去除
允許將來自父系的可繼承性權限傳播給對象
選框
復制
\Winnt
選中以下文件夾之外的其他所有文件夾
Assembly(如果有)
Downloaded Program Files
Help
IIS Temporary Compressed Files
Microsoft
NET(如果有)
Offline Web Pages
System
Tasks
Temp 和 Web
去除
允許將來自父系的可繼承性權限傳播給對象
選框
復制
\Winnt
Everyone
讀取及運行列出文件目錄讀取(允許將來自父系的可繼承性權限傳播給對象)
\Winnt\Temp
(允許訪問數據庫並顯示在ASP頁面上)
Everyone
可改(允許將來自父系的可繼承性權限傳播給對象)
\program files\servu\ 只給system admin 所有權限
webeasymail everyone 所有權限
否則不好
\Winnt\system
\intesvr\ 這個目錄下不要給EVERYONE的寫入權限
cmd
exe net
exe
php
ini 中 display_errors 設為OFF這樣
你就擁有了一個權限嚴格而又可以正常運行的IIS系統了
補充
禁止web anonymous組對cmd
exe等的訪問更多信息雖然每個系統管理員可以根據各自的需求設置權限
但最好使用 Everyone 組
而不要只使用 IUSR_MACHINE 帳戶
實際上
如果只為 IUSR_MACHINE 帳戶添加權限
ASP 和 ASP
NET 將無法運行
如果使用 Everyone 組
當 Web 站點對匿名用戶和經過身份驗證的用戶都有高
中或低的保護級別設置時
ASP 能夠正常運行
另外
如果只需要匿名訪問
管理員可以創建 InternetGuests 本地組
然後將 IUSR_MACHINE
IWAM_MACHINE 和 ASPNET 添加到該組
將 Everyone 組替換為 InternetGuests 組
不過
Everyone 組包括 Users 組(對於經過身份驗證的 Web 用戶)
IUSR_MACHINE 帳戶(對於匿名 HTM 訪問)
IWAM_MACHINE 帳戶(對於匿名 ASP 功能)以及 ASPNET(對於 ASP
NET 功能)
IIS
使用兩個單獨的帳戶執行 Web 頁
使用匿名身份驗證時
IIS 使用 IUSR_MACHINE 帳戶查看 Web 頁
不過
IWAM_MACHINE 用於啟動一個單獨的進程
該進程稱為 Dllhost
exe
所有 Active Server Pages (ASP)
組件對象模型 (COM) 組件或其他 ISAPI 擴展(ASP 被視為 ISAPI 擴展)都在該進程內運行
這樣做的目的主要是保持穩定
如果從 ASP 頁調用的自定義 COM 組件崩潰(也即
導致訪問沖突
從而致使進程停止)
它不會影響到 Inetinfo
exe
因此 Web 服務將繼續運行
IIS
中的三個保護級別如下
低(IIS 進程)
該設置與 IIS
下的默認設置類似
所有 Web 頁
不論是 HTM 還是 ASP
都在 Inetinfo
exe 進程內運行
中等(池)
這是默認設置
與 IIS
相同
該設置啟動稱為 Dllhost
exe 的單獨進程
所有 ASP 和 COM 組件都在該進程內運行
該進程由 IWAM_MACHINE 帳戶啟動
這也與 IIS
相同
另外
該設置也稱為池
因為在 IIS 中運行的所有 Web 站點都在執行 ASP 頁時共享這一個 Dllhost
exe 進程
請注意
站 用 Dllhost
exe 替換 Mtx
exe
高(獨立)
該設置為每個 Web 站點或應用程序啟動專用 Dllhost
exe 進程
如果有
個 Web 站點
每個站點的保護級別都設為
高
總共將有六個 Dllhost
exe 進程
五個 Dllhost
exe 進程和一個附加 Dllhost
exe 進程
該附加進程由 COM+ 在系統應用程序下啟動
From:http://tw.wingwit.com/Article/program/net/201311/11938.html
