IIS6.0的默认权限和用户权限设置小结
程序员文章站
2023-11-10 20:37:04
ntfs 权限 目录 用户\组 权限 %windir%\help\iishelp\common administrators 完全控制 %windir%\help\iish...
ntfs 权限
目录 用户\组 权限
%windir%\help\iishelp\common administrators 完全控制
%windir%\help\iishelp\common system 完全控制
%windir%\help\iishelp\common iis_wpg 读取、执行
%windir%\help\iishelp\common users(请参见“注意 1”。) 读取、执行
%windir%\iis temporary compressed files administrators 完全控制
%windir%\iis temporary compressed files system 完全控制
%windir%\iis temporary compressed files iis_wpg 完全控制
%windir%\iis temporary compressed files creator owner 完全控制
%windir%\system32\inetsrv administrators 完全控制
%windir%\system32\inetsrv system 完全控制
%windir%\system32\inetsrv users 读取、执行
%windir%\system32\inetsrv\*.vbs administrators 完全控制
%windir%\system32\inetsrv\asp compiled templates administrators 完全控制
%windir%\system32\inetsrv\asp compiled templates iis_wpg 完全控制
%windir%\system32\inetsrv\history administrators 完全控制
%windir%\system32\inetsrv\history system 完全控制
%windir%\system32\logfiles administrators 完全控制
%windir%\system32\inetsrv\metaback administrators 完全控制
%windir%\system32\inetsrv\metaback system 完全控制
inetpub\adminscripts administrators 完全控制
inetpub\wwwroot(或内容目录) administrators 完全控制
inetpub\wwwroot(或内容目录) system 完全控制
inetpub\wwwroot(或内容目录) iis_wpg 读取、执行
inetpub\wwwroot(或内容目录) iusr_machinename 读取、执行
inetpub\wwwroot(或内容目录) aspnet(请参见“注意 2”。) 读取、执行
注意 1:在使用基本身份验证或集成身份验证时以及在配置自定义错误时,都必须对此目录拥有相应的权限。例如,在出现错误 401.1 时,只有向已登录用户授予了读取 4011.htm 文件的权限,该用户才会看到预期的自定义错误详细信息。
注意 2:默认情况下,iis 5.0 隔离模式中使用 asp.net 作为 asp.net 进程标识。如果将 asp.net 切换到 iis 5.0 隔离模式,则 asp.net 必须对内容区域具有访问权限。iis 帮助中对 asp.net 进程隔离进行了详细说明。有关其他信息,请访问下面的 microsoft 网站:
asp.net 进程隔离
http://technet2.microsoft.com/windowsserver/zh-chs/library/32f8749c-753e-4c70-8ed7-f5defacc6adf2052.mspx?mfr=true (http://technet2.microsoft.com/windowsserver/zh-chs/library/32f8749c-753e-4c70-8ed7-f5defacc6adf2052.mspx?mfr=true)
注册表权限
位置 用户\组 权限
hklm\system\currentcontrolset\services\asp administrators 完全控制
hklm\system\currentcontrolset\services\asp system 完全控制
hklm\system\currentcontrolset\services\asp iis_wpg 读取
hklm\system\currentcontrolset\services\http administrators 完全控制
hklm\system\currentcontrolset\services\http system 完全控制
hklm\system\currentcontrolset\services\http iis_wpg 读取
hklm\system\currentcontrolset\services\iisadmin administrators 完全控制
hklm\system\currentcontrolset\services\iisadmin system 完全控制
hklm\system\currentcontrolset\services\iisadmin iis_wpg 读取
hklm\system\currentcontrolset\services\w3svc administrators 完全控制
hklm\system\currentcontrolset\services\w3svc system 完全控制
hklm\system\currentcontrolset\services\w3svc iis_wpg 读取
windows 用户权限
策略 用户
从网络访问此计算机 administrators
从网络访问此计算机 aspnet
从网络访问此计算机 iusr_machinename
从网络访问此计算机 iwam_machinename
从网络访问此计算机 users
调整进程内存配额 administrators
调整进程内存配额 iwam_machinename
调整进程内存配额 local service
调整进程内存配额 network service
跳过遍历检查 iis_wpg
允许本地登录(请参见“注意”) administrators
允许本地登录(请参见“注意”) iusr_machinename
拒绝本地登录 aspnet
在身份验证之后模拟客户端 administrators
在身份验证之后模拟客户端 aspnet
在身份验证之后模拟客户端 iis_wpg
在身份验证之后模拟客户端 service
作为批处理作业登录 aspnet
作为批处理作业登录 iis_wpg
作为批处理作业登录 iusr_machinename
作为批处理作业登录 iwam_machinename
作为批处理作业登录 local service
作为服务登录 aspnet
作为服务登录 network service
替换进程级别令牌 iwam_machinename
替换进程级别令牌 local service
替换进程级别令牌 network service
注意:在以默认设置全新安装的带有 iis 6.0 的 microsoft windows server 2003 中,users 组和 everyone 组都拥有“跳过遍历检查”权限。工作进程标识通过这两个组当中的一个继承“跳过遍历检查”权限。如果从“跳过遍历检查”权限中删除这两个组,工作进程标识将不会通过任何其他分配继承“跳过遍历检查”权限,因此工作进程将无法启动。如果必须从“跳过遍历检查”权限中删除 users 组和 everyone 组,请添加 iis_wpg 组以允许 iis 按预期方式运行。
注意:在 iis 6.0 中,如果将基本身份验证配置为身份验证选项之一,则基本身份验证的“logonmethod”元数据库属性将为 network_cleartext。network_cleartext 登录类型不需要“允许本地登录”用户权限。这同样适用于匿名身份验证。有关其他信息,请参见 iis 帮助中的“基本身份验证默认登录类型”主题。您也可以访问下面的 microsoft 网站:
基本身份验证
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/iis/cf438d2c-f9c7-4351-bf56-d2ab950d7d6e.mspx (http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/iis/cf438d2c-f9c7-4351-bf56-d2ab950d7d6e.mspx)
目录 用户\组 权限
%windir%\help\iishelp\common administrators 完全控制
%windir%\help\iishelp\common system 完全控制
%windir%\help\iishelp\common iis_wpg 读取、执行
%windir%\help\iishelp\common users(请参见“注意 1”。) 读取、执行
%windir%\iis temporary compressed files administrators 完全控制
%windir%\iis temporary compressed files system 完全控制
%windir%\iis temporary compressed files iis_wpg 完全控制
%windir%\iis temporary compressed files creator owner 完全控制
%windir%\system32\inetsrv administrators 完全控制
%windir%\system32\inetsrv system 完全控制
%windir%\system32\inetsrv users 读取、执行
%windir%\system32\inetsrv\*.vbs administrators 完全控制
%windir%\system32\inetsrv\asp compiled templates administrators 完全控制
%windir%\system32\inetsrv\asp compiled templates iis_wpg 完全控制
%windir%\system32\inetsrv\history administrators 完全控制
%windir%\system32\inetsrv\history system 完全控制
%windir%\system32\logfiles administrators 完全控制
%windir%\system32\inetsrv\metaback administrators 完全控制
%windir%\system32\inetsrv\metaback system 完全控制
inetpub\adminscripts administrators 完全控制
inetpub\wwwroot(或内容目录) administrators 完全控制
inetpub\wwwroot(或内容目录) system 完全控制
inetpub\wwwroot(或内容目录) iis_wpg 读取、执行
inetpub\wwwroot(或内容目录) iusr_machinename 读取、执行
inetpub\wwwroot(或内容目录) aspnet(请参见“注意 2”。) 读取、执行
注意 1:在使用基本身份验证或集成身份验证时以及在配置自定义错误时,都必须对此目录拥有相应的权限。例如,在出现错误 401.1 时,只有向已登录用户授予了读取 4011.htm 文件的权限,该用户才会看到预期的自定义错误详细信息。
注意 2:默认情况下,iis 5.0 隔离模式中使用 asp.net 作为 asp.net 进程标识。如果将 asp.net 切换到 iis 5.0 隔离模式,则 asp.net 必须对内容区域具有访问权限。iis 帮助中对 asp.net 进程隔离进行了详细说明。有关其他信息,请访问下面的 microsoft 网站:
asp.net 进程隔离
http://technet2.microsoft.com/windowsserver/zh-chs/library/32f8749c-753e-4c70-8ed7-f5defacc6adf2052.mspx?mfr=true (http://technet2.microsoft.com/windowsserver/zh-chs/library/32f8749c-753e-4c70-8ed7-f5defacc6adf2052.mspx?mfr=true)
注册表权限
位置 用户\组 权限
hklm\system\currentcontrolset\services\asp administrators 完全控制
hklm\system\currentcontrolset\services\asp system 完全控制
hklm\system\currentcontrolset\services\asp iis_wpg 读取
hklm\system\currentcontrolset\services\http administrators 完全控制
hklm\system\currentcontrolset\services\http system 完全控制
hklm\system\currentcontrolset\services\http iis_wpg 读取
hklm\system\currentcontrolset\services\iisadmin administrators 完全控制
hklm\system\currentcontrolset\services\iisadmin system 完全控制
hklm\system\currentcontrolset\services\iisadmin iis_wpg 读取
hklm\system\currentcontrolset\services\w3svc administrators 完全控制
hklm\system\currentcontrolset\services\w3svc system 完全控制
hklm\system\currentcontrolset\services\w3svc iis_wpg 读取
windows 用户权限
策略 用户
从网络访问此计算机 administrators
从网络访问此计算机 aspnet
从网络访问此计算机 iusr_machinename
从网络访问此计算机 iwam_machinename
从网络访问此计算机 users
调整进程内存配额 administrators
调整进程内存配额 iwam_machinename
调整进程内存配额 local service
调整进程内存配额 network service
跳过遍历检查 iis_wpg
允许本地登录(请参见“注意”) administrators
允许本地登录(请参见“注意”) iusr_machinename
拒绝本地登录 aspnet
在身份验证之后模拟客户端 administrators
在身份验证之后模拟客户端 aspnet
在身份验证之后模拟客户端 iis_wpg
在身份验证之后模拟客户端 service
作为批处理作业登录 aspnet
作为批处理作业登录 iis_wpg
作为批处理作业登录 iusr_machinename
作为批处理作业登录 iwam_machinename
作为批处理作业登录 local service
作为服务登录 aspnet
作为服务登录 network service
替换进程级别令牌 iwam_machinename
替换进程级别令牌 local service
替换进程级别令牌 network service
注意:在以默认设置全新安装的带有 iis 6.0 的 microsoft windows server 2003 中,users 组和 everyone 组都拥有“跳过遍历检查”权限。工作进程标识通过这两个组当中的一个继承“跳过遍历检查”权限。如果从“跳过遍历检查”权限中删除这两个组,工作进程标识将不会通过任何其他分配继承“跳过遍历检查”权限,因此工作进程将无法启动。如果必须从“跳过遍历检查”权限中删除 users 组和 everyone 组,请添加 iis_wpg 组以允许 iis 按预期方式运行。
注意:在 iis 6.0 中,如果将基本身份验证配置为身份验证选项之一,则基本身份验证的“logonmethod”元数据库属性将为 network_cleartext。network_cleartext 登录类型不需要“允许本地登录”用户权限。这同样适用于匿名身份验证。有关其他信息,请参见 iis 帮助中的“基本身份验证默认登录类型”主题。您也可以访问下面的 microsoft 网站:
基本身份验证
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/iis/cf438d2c-f9c7-4351-bf56-d2ab950d7d6e.mspx (http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/iis/cf438d2c-f9c7-4351-bf56-d2ab950d7d6e.mspx)