天下网吧 >> 网吧天地 >> 网吧技术 >> 网吧网络 >> 正文

运行IIS的最小NTFS权限

2008-3-12linen blog佚名

  本文介绍了正常运行IIS所需要的最小NTFS权限,当IIS不能正常运行或者想严格限制权限的时候可以
  参照此文,以下是操作的7个步骤。
  1、选取整个硬盘:
  System:完全控制
  Administrator:完全控制
  (允许将来自父系的可继承性权限传播给对象)
  2、\Program Files\Common Files:
  Everyone:读取及运行
  列出文件目录
  读取
  (允许将来自父系的可继承性权限传播给对象)
  
  3、\Inetpub\wwwroot:(可根据需要设计)
  IUSR_MACHINE:读取及运行
  列出文件目录
  读取
  (允许将来自父系的可继承性权限传播给对象)
  
  4、\Winnt\system32:
  选中 Inetsrv、Certsrv (如果存在)和 Com 之外的其他所有文件夹,去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
  
  5、\Winnt:
  选中以下文件夹之外的其他所有文件夹:Assembly(如果有)、Downloaded Program Files、Help、IIS Temporary Compressed Files、Microsoft.NET(如果有)、Offline Web Pages、System32、Tasks、Temp 和 Web。 ,去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
  
  6、\Winnt:
  Everyone:读取及运行
  列出文件目录
  读取
  (允许将来自父系的可继承性权限传播给对象)
  
  7、\Winnt\Temp:(允许访问数据库并显示在ASP页面上)
  Everyone:修改
  (允许将来自父系的可继承性权限传播给对象)
  
  
  9.\program files\servu\ 只给system admin 所有权限
  
  10.webeasymail everyone 所有权限,否则不好
  
  11、\Winnt\system32\intesvr\ 这个目录下不要给EVERYONE的写入权限
  
  12. cmd.exe net.exe
  
  
  13. php.ini 中 display_errors 设为OFF
  
  
  这样,你就拥有了一个权限严格而又可以正常运行的IIS系统了。
  
  补充:禁止web anonymous组对cmd.exe等的访问
  
  
  更多信息
  
  虽然每个系统管理员可以根据各自的需求设置权限,但最好使用 Everyone 组,而不要只使用 IUSR_MACHINE 帐户。实际上,如果只为 IUSR_MACHINE 帐户添加权限,ASP 和 ASP.NET 将无法运行。如果使用 Everyone 组,当 Web 站点对匿名用户和经过身份验证的用户都有高、中或低的保护级别设置时,ASP 能够正常运行。
  
  另外,如果只需要匿名访问,管理员可以创建 InternetGuests 本地组,然后将 IUSR_MACHINE、IWAM_MACHINE 和 ASPNET 添加到该组,将 Everyone 组替换为 InternetGuests 组。不过,Everyone 组包括 Users 组(对于经过身份验证的 Web 用户)、IUSR_MACHINE 帐户(对于匿名 HTM 访问)、IWAM_MACHINE 帐户(对于匿名 ASP 功能)以及 ASPNET(对于 ASP.NET 功能)。
  
  IIS 5.0 使用两个单独的帐户执行 Web 页。使用匿名身份验证时,IIS 使用 IUSR_MACHINE 帐户查看 Web 页。不过,IWAM_MACHINE 用于启动一个单独的进程,该进程称为 Dllhost.exe,所有 Active Server Pages (ASP)、组件对象模型 (COM) 组件或其他 ISAPI 扩展(ASP 被视为 ISAPI 扩展)都在该进程内运行。这样做的目的主要是保持稳定。如果从 ASP 页调用的自定义 COM 组件崩溃(也即,导致访问冲突,从而致使进程停止),它不会影响到 Inetinfo.exe,因此 Web 服务将继续运行。
  
  IIS 5.0 中的三个保护级别如下:
  低(IIS 进程):该设置与 IIS 4.0 下的默认设置类似。所有 Web 页,不论是 HTM 还是 ASP,都在 Inetinfo.exe 进程内运行。
  中等(池):这是默认设置。与 IIS 4.0 相同,该设置启动称为 Dllhost.exe 的单独进程,所有 ASP 和 COM 组件都在该进程内运行。该进程由 IWAM_MACHINE 帐户启动,这也与 IIS 4.0 相同。另外,该设置也称为池,因为在 IIS 中运行的所有 Web 站点都在执行 ASP 页时共享这一个 Dllhost.exe 进程。请注意,Windows 2000 用 Dllhost.exe 替换 Mtx.exe。
  高(独立):该设置为每个 Web 站点或应用程序启动专用 Dllhost.exe 进程。如果有 5 个 Web 站点,每个站点的保护级别都设为"高",总共将有六个 Dllhost.exe 进程:五个 Dllhost.exe 进程和一个附加 Dllhost.exe 进程,该附加进程由 COM+ 在系统应用程序下启动。
  
  

欢迎访问最专业的网吧论坛,无盘论坛,网吧经营,网咖管理,网吧专业论坛https://bbs.txwb.com

关注天下网吧微信,了解网吧网咖经营管理,安装维护:


本文来源:linen blog 作者:佚名

声明
本文来源地址:0
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。若文章侵犯了您的相关权益,请及时与我们联系,我们会及时处理,感谢您对本站的支持!联系Email:support@txwb.com.,本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下
  • 本周热门
  • 本月热门
  • 阅读排行