本文介紹了正常運行IIS所需要的最小NTFS權(quán)限���,當IIS不能正常運行或者想嚴格限制權(quán)限的時候可以
參照此文,以下是操作的7個步驟���。
1、選取整個硬盤:
System:完全控制
Administrator:完全控制
(允許將來自父系的可繼承性權(quán)限傳播給對象)
2、Program FilesCommon Files:
Everyone:讀取及運行
列出文件目錄
讀取
(允許將來自父系的可繼承性權(quán)限傳播給對象)
3���、Inetpubwwwroot:(可根據(jù)需要設(shè)計)
IUSR_MACHINE:讀取及運行
列出文件目錄
讀取
(允許將來自父系的可繼承性權(quán)限傳播給對象)
4、Winntsystem32:
選中 Inetsrv���、Certsrv (如果存在)和 Com 之外的其他所有文件夾,去除“允許將來自父系的可繼承性權(quán)限傳播給對象”選框���,復(fù)制���。
5、Winnt:
選中以下文件夾之外的其他所有文件夾:Assembly(如果有)���、Downloaded Program Files、Help���、IIS Temporary Compressed Files、Microsoft.NET(如果有)���、Offline Web Pages、System32���、Tasks���、Temp 和 Web。 ���,去除“允許將來自父系的可繼承性權(quán)限傳播給對象”選框���,復(fù)制���。
6、Winnt:
Everyone:讀取及運行
列出文件目錄
讀取
(允許將來自父系的可繼承性權(quán)限傳播給對象)
7���、WinntTemp:(允許訪問數(shù)據(jù)庫并顯示在ASP頁面上)
Everyone:修改
(允許將來自父系的可繼承性權(quán)限傳播給對象)
9.program filesservu 只給system admin 所有權(quán)限
10.webeasymail everyone 所有權(quán)限,否則不好
11���、Winntsystem32intesvr 這個目錄下不要給EVERYONE的寫入權(quán)限
12. cmd.exe net.exe
13. php.ini 中 display_errors 設(shè)為OFF
這樣,你就擁有了一個權(quán)限嚴格而又可以正常運行的IIS系統(tǒng)了���。
補充:禁止web anonymous組對cmd.exe等的訪問
更多信息
雖然每個系統(tǒng)管理員可以根據(jù)各自的需求設(shè)置權(quán)限���,但最好使用 Everyone 組���,而不要只使用 IUSR_MACHINE 帳戶���。實際上���,如果只為 IUSR_MACHINE 帳戶添加權(quán)限���,ASP 和 ASP.NET 將無法運行。如果使用 Everyone 組���,當 Web 站點對匿名用戶和經(jīng)過身份驗證的用戶都有高���、中或低的保護級別設(shè)置時���,ASP 能夠正常運行。
另外���,如果只需要匿名訪問,管理員可以創(chuàng)建 InternetGuests 本地組���,然后將 IUSR_MACHINE���、IWAM_MACHINE 和 ASPNET 添加到該組,將 Everyone 組替換為 InternetGuests 組���。不過,Everyone 組包括 Users 組(對于經(jīng)過身份驗證的 Web 用戶)���、IUSR_MACHINE 帳戶(對于匿名 HTM 訪問)、IWAM_MACHINE 帳戶(對于匿名 ASP 功能)以及 ASPNET(對于 ASP.NET 功能)���。
IIS 5.0 使用兩個單獨的帳戶執(zhí)行 Web 頁���。使用匿名身份驗證時���,IIS 使用 IUSR_MACHINE 帳戶查看 Web 頁���。不過���,IWAM_MACHINE 用于啟動一個單獨的進程,該進程稱為 Dllhost.exe���,所有 Active Server Pages (ASP)、組件對象模型 (COM) 組件或其他 ISAPI 擴展(ASP 被視為 ISAPI 擴展)都在該進程內(nèi)運行���。這樣做的目的主要是保持穩(wěn)定。如果從 ASP 頁調(diào)用的自定義 COM 組件崩潰(也即���,導(dǎo)致訪問沖突���,從而致使進程停止)���,它不會影響到 Inetinfo.exe���,因此 Web 服務(wù)將繼續(xù)運行。
IIS 5.0 中的三個保護級別如下:
低(IIS 進程):該設(shè)置與 IIS 4.0 下的默認設(shè)置類似���。所有 Web 頁,不論是 HTM 還是 ASP���,都在 Inetinfo.exe 進程內(nèi)運行���。
中等(池):這是默認設(shè)置。與 IIS 4.0 相同���,該設(shè)置啟動稱為 Dllhost.exe 的單獨進程���,所有 ASP 和 COM 組件都在該進程內(nèi)運行���。該進程由 IWAM_MACHINE 帳戶啟動���,這也與 IIS 4.0 相同���。另外,該設(shè)置也稱為池���,因為在 IIS 中運行的所有 Web 站點都在執(zhí)行 ASP 頁時共享這一個 Dllhost.exe 進程。請注意���,Windows 2000 用 Dllhost.exe 替換 Mtx.exe���。
高(獨立):該設(shè)置為每個 Web 站點或應(yīng)用程序啟動專用 Dllhost.exe 進程���。如果有 5 個 Web 站點���,每個站點的保護級別都設(shè)為"高",總共將有六個 Dllhost.exe 進程:五個 Dllhost.exe 進程和一個附加 Dllhost.exe 進程���,該附加進程由 COM+ 在系統(tǒng)應(yīng)用程序下啟動。
