如何使用IIS授予对Web服务器权限
不过,您可以更改网站中任何文件夹或文件的权限。例如,您可以使用 Web 服务器权限来控制是否允许网站访问者查看某一特定网页、加载信息或运行脚本。
当同时配置 Web 服务器权限和 Windows NTFS 权限时,您可以在多个级别(从整个网站到单个文件)控制用户访问 Web 内容的方式。
1 启动 Internet 服务管理器。或者启动 IIS 管理单元。
2 单击以展开 server name,其中 server name 是服务器的名称。
3 右键单击要为用户授予访问权限的网站、虚拟目录、文件夹或文件,然后单击属性。
4 根据您的具体情况单击下列选项卡之一:
主目录、 虚拟目录、目录、文件
5 单击以选中或清除下列任何一个对应要授予的 Web 权限级别的复选框(如果存在): 脚本资源访问:授予此权限将允许用户访问源代码。脚本资源访问包含脚本的源代码,如 Active Server Pages (ASP) 程序中的脚本。注意,此权限只有在授予读取或写入权限时才可用。
注意:如果单击脚本资源访问,用户将可以从 ASP 程序的脚本中查看到敏感信息,例如用户名和密码。他们还将能够更改您的服务器上运行的源代码,这会严重影响服务器的安全和性能。建议您使用单个的 Windows 帐户和更高级别的身份验证(如集成的 Windows 身份验证)来处理对此类信息和这些功能的访问。
读取:授予此权限将允许用户查看或下载文件或文件夹及其相关属性。读取权限默认情况下是选中的。
写入:授予此权限将允许用户把文件及其相关属性上载到服务器中启用的文件夹,或允许用户更改启用了写入权限的文件的内容或属性。
目录浏览:授予此权限将允许用户查看虚拟目录中的文件和子文件夹的超文本列表。请注意,文件夹列表中并不显示虚拟目录;用户必须知道虚拟目录的别名。
注意:如果下列两个条件都满足,则当用户试图访问服务器上的文件或文件夹时,Web 服务器将在用户的 Web 浏览器中显示一条Access Forbidden(禁止访问)错误信息: 目录浏览被禁用。
用户未在地址框中指定文件名,如 Filenamehtm。
记录访问:授予此权限可在日志文件中记录对此文件夹的访问。只有在为网站启用了日志记录时才会记录日志条目。
索引资源:授予此权限将允许 Microsoft 索引服务在网站的全文索引中包含该文件夹。授予此项权限后,用户将可以对此资源执行查询。
6 在执行权限框中,选择一个设置以确定想让脚本在此网站上以何种方式运行。可以使用以下设置: 无:如果不希望用户在服务器上运行脚本或可执行的程序,则请单击此设置。当使用此设置时,用户只能访问静态文件,如超文本标记语言 (HTML) 文件和图像文件。
仅脚本:单击此设置可在服务器上运行诸如 ASP 程序之类的脚本。
脚本和可执行文件:单击此设置可在服务器上同时运行 ASP 程序之类的脚本和可执行程序。
7 单击确定,然后退出Internet 服务管理器或退出 IIS 管理单元。
注意: 在您尝试更改网站或虚拟目录的安全属性时,IIS 会检查该网站或虚拟目录中包含的子节点(虚拟目录和文件)上的现有设置。如果在较低级别上设置的权限不同,则 IIS 会显示一个继承覆盖对话框。要指定哪些子节点应该继承您在较高级别上设置的权限,请单击子节点列表中的一个或多个节点,然后单击确定。子节点将继承新的权限设置。
如果文件夹或文件的 Web 权限和 NTFS 权限不同,则将使用这两种设置中限制条件较严格的设置。
这个要根据网站实际运营需求选择:如果网站小,流量小,资源少,只要空间即可。如果网站资料较多,数据多,而且需要较高的资源运行,最好选择服务器。另外有个中间选择,如果既不想买服务器,又需要服务器权限,可以选择云服务器,快云VPS等,中间设施。目前快云系列可以免费试用,试用满意后再付款正式开通。空间和服务器的区别主要在于体积和权限,空间只是FTP和网页展示功能,但服务器是完整的系统权限,可以远程管理整台机器所有的操作,和操作自己电脑是一样的。
当一个分区使用了NTFS文件系统后,其分区和其下的目录属性窗口中就会出现“安全”选项卡,从中即可进行NTFS权限设置
在NTFS分区中,每个文件夹与文件都有一项称为“SecurityDescriptor”的特别属性,此厉性中有个为DiscretionaryAccessControlList(DACL,一般简称为ACL)的列表,其中记录了此文件夹或文件对某个账户组或账户开放了什么样的权限,如图所示。因此,设置NTFS权限的操作实际上就是相当于在编辑ACL的属性。
在ACL列表中,需要注意每一个账户或账户组都对应一组访问控制项(AccessControlEntry,ACE),这一点只需在“组或用户名称”列表中,通过“选择不同的账户或组时,下方的权限列表设置项会是不同的”这一点就可以看出来了。显然,所有账户或账户组的权限访问设置都会在这里被存储下来,并允许随时被有权限进行修改的账户进行调整。
对于服务器管理员来说,必须对每一个面向外部开放的资源进行权限设置,这样,才能将一些可能产生的安全隐患及时排除掉。
天互数据 为您解答,希望能帮到你
这问题烦了我n久,感觉要想彻底弄清楚该开哪些文件夹的什么权限那还真是复杂。
不过就你的问题来说,可以这样回答:你只允许administrators和system对系统盘全盘继承权限,这肯定是有麻烦的,因为系统盘有很多临时文件夹需要至少开放users的权限,特别是如果你的服务器上架了IIS或者其他什么服务软件的话,如果你不开某些文件夹的everyone的话,你的网站或者其他应用都会出错,结果你会很麻烦很麻烦。
算了帮人帮到底,我把我以前为了解决我自己服务器的问题时查到的资料也发给你,不过告诉你,这资料里列出来的那些也不全,很多软件到底要开哪些文件夹的什么权限,还需要你自己去进一步摸索:
win2003服务器硬盘目录权限设置清单(iis+php+mysql)
0
推荐以下是详细的相应目录权限设置清单:
Administrators 完全控制
System 完全控制
D:\盘 权限
Administrators 完全控制
System 完全控制
E:\盘 权限
Administrators 完全控制
System 完全控制
如果你还有其他盘符如“F、G”盘,权限和上面一样设置
C:\Documents and Settings 目录权限
Administrators 完全控制
System 完全控制
C:\Program Files 目录权限
Administrators 完全控制
System 完全控制
User 读取和运行+列出文件夹目录+读取
C:\windows 目录权限
Administrators 完全控制
System 完全控制
User 读取和运行+列出文件夹目录+读取
C:\windows\system 目录权限
Administrators 完全控制
System 完全控制
User 读取和运行+列出文件夹目录+读取
C:\windows\system32 目录权限
Administrators 完全控制
System 完全控制
User 读取和运行+列出文件夹目录+读取
C:\windows\temp 目录权限
Administrators 完全控制
System 完全控制
Everyone 完全控制
WWWROOT(网站根目录)目录权限
Administrators 完全控制
System 完全控制
Internet来宾账户 读取和运行+列出文件夹目录+读取
PHP目录权限:
Administrators 完全控制
System 完全控制
Everyone 读取和运行+列出文件夹目录+读取
Zend目录权限:
Administrators 完全控制
System 完全控制
Everyone 完全控制
Mysql目录权限: 3
Administrators 完全控制
System 完全控制
User 读取和运行+列出文件夹目录+读取
1
删除以下的注册表主键:
WScriptShell
WScriptShell1
Shellapplication
Shellapplication1
WSCRIPTNETWORK
WSCRIPTNETWORK1
regsvr32/u wshomocx回车、regsvr32/u wshextdll回车
Windows 2003 硬盘安全设置
c:\
administrators 全部
system 全部
iis_wpg 只有该文件夹
列出文件夹/读数据
读属性
读扩展属性
读取权限
c:\inetpub\mailroot
administrators 全部
system 全部
service 全部
c:\inetpub\ftproot
everyone 只读和运行
c:\windows
administrators 全部
Creator owner
不是继承的
只有子文件夹及文件
完全
Power Users
修改,读取和运行,列出文件夹目录,读取,写入
system 全部
IIS_WPG 读取和运行,列出文件夹目录,读取
Users 读取和运行(此权限最后调整完成后可以取消)
C:\WINDOWS\MicrosoftNet
administrators 全部
Creator owner
不是继承的
只有子文件夹及文件
完全
Power Users
修改,读取和运行,列出文件夹目录,读取,写入
system 全部
Users 读取和运行,列出文件夹目录,读取
'wwwknowskycom
C:\WINDOWS\MicrosoftNet
administrators 全部
Creator owner
不是继承的
只有子文件夹及文件
完全
Power Users
修改,读取和运行,列出文件夹目录,读取,写入
system 全部
Users 读取和运行,列出文件夹目录,读取
C:\WINDOWS\MicrosoftNet\temporary ASPNET Files
administrators 全部
Creator owner
不是继承的
只有子文件夹及文件
完全
Power Users
修改,读取和运行,列出文件夹目录,读取,写入
system 全部
Users 全部
c:\Program Files
Everyone 只有该文件夹
不是继承的
列出文件夹/读数据
administrators 全部
iis_wpg 只有该文件夹
列出文件/读数据
读属性
读扩展属性
读取权限
c:\windows\temp
Administrator 全部权限
System全部权限
users 全部权限
c:\Program Files\Common Files
administrators 全部
Creator owner
不是继承的
只有子文件夹及文件
完全
Power Users
修改,读取和运行,列出文件夹目录,读取,写入
system 全部
TERMINAL SERVER Users(如果有这个用户)
修改,读取和运行,列出文件夹目录,读取,写入
Users 读取和运行,列出文件夹目录,读取
c:\Program Files\Dimac(如果有这个目录)
Everyone 读取和运行,列出文件夹目录,读取
administrators 全部
c:\Program Files\ComPlus Applications (如果有)
administrators 全部
c:\Program Files\GflSDK (如果有)
administrators 全部
Creator owner
不是继承的
只有子文件夹及文件
完全
Power Users
修改,读取和运行,列出文件夹目录,读取,写入
system 全部
TERMINAL SERVER Users
修改,读取和运行,列出文件夹目录,读取,写入
Users 读取和运行,列出文件夹目录,读取
Everyone 读取和运行,列出文件夹目录,读取
c:\Program Files\InstallShield Installation Information (如果有)
c:\Program Files\Internet Explorer (如果有)
c:\Program Files\NetMeeting (如果有)
administrators 全部
c:\Program Files\WindowsUpdate
Creator owner
不是继承的
只有子文件夹及文件
完全
administrators 全部
Power Users
修改,读取和运行,列出文件夹目录,读取,写入
system 全部
c:\Program Files\Microsoft SQL(如果SQL安装在这个目录)
administrators 全部
Service 全部
system 全部
d:\ (如果用户网站内容放置在这个分区中)
administrators 全部权限
d:\FreeHost (如果此目录用来放置用户网站内容)
administrators 全部权限
SERVICE 读取与运行
从安全角度,我们建议WebEasyMail(WinWebMail)安装在独立的盘中,例如E:
E:\(如果webeasymail安装在这个盘中)
administrators 全部权限
system 全部权限
IUSR_,默认的Internet来宾帐户(或专用的运行用户)
读取与运行
E:\WebEasyMail (如果webeasymail安装在这个目录中)
administrators 全部
system 全部权限
SERVICE全部
IUSR_,默认的Internet来宾帐户 (或专用的运行用户)
全部权限
C:\php\uploadtemp
C:\php\sessiondata
everyone
全部
C:\php\
administrators 全部
system 全部权限
SERVICE全部
Users 只读和运行
c:\windows\phpini
administrators 全部
system 全部权限
SERVICE全部
Users 只读和运行
防止海洋木马列出WIN服务器的用户和进程
禁用服务里面倒数第二个 workstation 服务,可以防止列出用户和服务
一般是权限问题:远程登录服务器,右击网站所在文件夹,点“安全”,里面有“权限”的设置,把everyone设置可以修改的功能即可。
如果不是权限的问题,那你就要找会程序,或者当初给你开发程序的人,帮你查程序,看哪里出错了。
1、打开Internet信息服务窗口,在该窗口的左侧显示区域,用鼠标右键单击目标FTP站点,从弹出的快捷菜单中单击“属性”命令,打开目标FTP站点的属性设置窗口,单击该窗口中的“安全帐号”标签,进入到标签设置页面(如下图); 检查该标签页面中的“允许匿名连接”项目是否处于选中状态,要是发现该选项已经被选中的话,那我们必须及时取消它的选中状态;
单击上图中标签页面中的“浏览”按钮,从随后出现的“选择用户或组”设置窗口中,依次将“bbb”、“ccc”用户帐号选中并导入进来,再单击“确认”按钮,返回到Internet信息服务列表窗口;
2、打开服务器系统的资源管理器窗口,找到D盘下面的“aaa”目录,然后用鼠标右键单击该目录窗口中的子文件夹“bbb”,并执行右键菜单中的“属性”命令,打开B部门信息上传目录的属性设置窗口,单击该设置窗口中的“安全”标签,再在该标签页面中单击“添加”按钮,从弹出的“选择用户或组”列表中将“bbb”用户帐号选中,再单击“确定”按钮返回到安全标签设置页面(如下图所示), 并在该页面中赋予“bbb”用户帐号合适的访问权限。之后在下图界面中选中Everyone帐号名称,并点击“删除”按钮,以便取消其他员工对“bbb”文件夹的访问权限,最后单击“确认”按钮结束“bbb”上传目录的访问权限。
按照相同的设置操作步骤,我们再将信息上传目录“ccc”的安全权限只授予“ccc”用户帐号,如此一来我们就顺利完成了对B部门、C部门所管理的信息上传目录共享权限间的相互限制了。
3、验证共享访问安全
为了检验B部门、C部门的员工在访问FTP服务器时,是否只能看到本部门的上传信息,我们现在就以FTP服务器IP地址为192168110为例尝试FTP登录访问操作。首先打开IE浏览窗口,并在该窗口址址框中输入URL地址“ftp://192168110”,单击回车键后,IE会自动弹出一个身份验证对话框,在其中正确输入用户名“bbb”及对应帐号的访问密码,再单击“登录”按钮,在随后弹出的浏览页面中,我们会发现B部门的员工以“bbb”用户帐号登录FTP服务器时,只能访问并管理“bbb”信息上传目录,而看不到“ccc”信息上传目录中的内容。当我们再次在IE浏览窗口中输入URL地址“ftp://192168110”,然后在身份验证对话框中输入“ccc”用户帐号及对应该帐号的密码时,我们会发现C部门的员工以“ccc”用户帐号登录FTP服务器时,只能访问并管理“ccc”信息上传目录,而看不到“bbb”信息上传目录中的内容。
当B部门的员工登录进FTP服务器后,想尝试在IE浏览窗口中输入URL地址“ftp://192168110/ccc”,来达到浏览C部门的信息上传目录时,IE会自动弹出相关提示信息,告诉我们没有浏览对应目录的权限。通过上述验证操作,我们发现不同部门的员工共享使用同一台FTP服务器时,只要进行合适的共享权限设置,就会有效避免部门信息被轻易外泄的风险。
一般设置服务器进程池的用户为 Network Service (IIS6)或 AppPool Identity (IIS7),它们都是属于User组的,权限不太高。其它的不需要特殊设置啊。如果需要文件上传生成静态页啥的,可能要将进程池的用户赋予网站目录(或要读写的目录)完全控制的权限,别的没什么特殊的了。如果需要用到COM程序或其它对权限有要求的,再视情况考虑。
捎带说一下,如果一个服务器上有很多网站、每个网站都是属于不同客户的相互之间权限要隔离,可以自己新建User组的帐号取代上面的内置帐号,并设置它们的访问权限(大致相同,多出一个网站的匿名访问帐号需要设置)。
-------------
服务器上能打开别的电脑打不开,不是权限的问题,你应该检查下域名解析是否正常,IIS有没有开放外部访问,防火墙端口是否打开。
0条评论