本文介紹了正常運行IIS所需要的最小NTFS權限����,當IIS不能正常運行或者想嚴格限制權限的時候可以
參照此文,以下是操作的7個步驟。
1、選取整個硬盤:
System:完全控制
Administrator:完全控制
(允許將來自父系的可繼承性權限傳播給對象)
2�、Program FilesCommon Files:
Everyone:讀取及運行
列出文件目錄
讀取
(允許將來自父系的可繼承性權限傳播給對象)
3�、Inetpubwwwroot:(可根據需要設計)
IUSR_MACHINE:讀取及運行
列出文件目錄
讀取
(允許將來自父系的可繼承性權限傳播給對象)
4、Winntsystem32:
選中 Inetsrv����、Certsrv (如果存在)和 Com 之外的其他所有文件夾�,去除“允許將來自父系的可繼承性權限傳播給對象”選框,復制����。
5����、Winnt:
選中以下文件夾之外的其他所有文件夾:Assembly(如果有)����、Downloaded Program Files、Help��、IIS Temporary Compressed Files����、Microsoft.NET(如果有)、Offline Web Pages�、System32、Tasks����、Temp 和 Web。 ����,去除“允許將來自父系的可繼承性權限傳播給對象”選框,復制����。
6�、Winnt:
Everyone:讀取及運行
列出文件目錄
讀取
(允許將來自父系的可繼承性權限傳播給對象)
7����、WinntTemp:(允許訪問數據庫并顯示在ASP頁面上)
Everyone:修改
(允許將來自父系的可繼承性權限傳播給對象)
9.program filesservu 只給system admin 所有權限
10.webeasymail everyone 所有權限,否則不好
11、Winntsystem32intesvr 這個目錄下不要給EVERYONE的寫入權限
12. cmd.exe net.exe
13. php.ini 中 display_errors 設為OFF
這樣�,你就擁有了一個權限嚴格而又可以正常運行的IIS系統了。
補充:禁止web anonymous組對cmd.exe等的訪問
更多信息
雖然每個系統管理員可以根據各自的需求設置權限�,但最好使用 Everyone 組,而不要只使用 IUSR_MACHINE 帳戶��。實際上�,如果只為 IUSR_MACHINE 帳戶添加權限,ASP 和 ASP.NET 將無法運行��。如果使用 Everyone 組����,當 Web 站點對匿名用戶和經過身份驗證的用戶都有高、中或低的保護級別設置時����,ASP 能夠正常運行。
另外��,如果只需要匿名訪問��,管理員可以創建 InternetGuests 本地組����,然后將 IUSR_MACHINE、IWAM_MACHINE 和 ASPNET 添加到該組��,將 Everyone 組替換為 InternetGuests 組����。不過,Everyone 組包括 Users 組(對于經過身份驗證的 Web 用戶)����、IUSR_MACHINE 帳戶(對于匿名 HTM 訪問)、IWAM_MACHINE 帳戶(對于匿名 ASP 功能)以及 ASPNET(對于 ASP.NET 功能)����。
IIS 5.0 使用兩個單獨的帳戶執行 Web 頁。使用匿名身份驗證時�,IIS 使用 IUSR_MACHINE 帳戶查看 Web 頁。不過�,IWAM_MACHINE 用于啟動一個單獨的進程,該進程稱為 Dllhost.exe����,所有 Active Server Pages (ASP)�、組件對象模型 (COM) 組件或其他 ISAPI 擴展(ASP 被視為 ISAPI 擴展)都在該進程內運行��。這樣做的目的主要是保持穩定����。如果從 ASP 頁調用的自定義 COM 組件崩潰(也即,導致訪問沖突��,從而致使進程停止)��,它不會影響到 Inetinfo.exe�,因此 Web 服務將繼續運行。
IIS 5.0 中的三個保護級別如下:
低(IIS 進程):該設置與 IIS 4.0 下的默認設置類似��。所有 Web 頁��,不論是 HTM 還是 ASP��,都在 Inetinfo.exe 進程內運行����。
中等(池):這是默認設置。與 IIS 4.0 相同�,該設置啟動稱為 Dllhost.exe 的單獨進程,所有 ASP 和 COM 組件都在該進程內運行。該進程由 IWAM_MACHINE 帳戶啟動��,這也與 IIS 4.0 相同�。另外�,該設置也稱為池,因為在 IIS 中運行的所有 Web 站點都在執行 ASP 頁時共享這一個 Dllhost.exe 進程�。請注意,Windows 2000 用 Dllhost.exe 替換 Mtx.exe��。
高(獨立):該設置為每個 Web 站點或應用程序啟動專用 Dllhost.exe 進程��。如果有 5 個 Web 站點��,每個站點的保護級別都設為"高"��,總共將有六個 Dllhost.exe 進程:五個 Dllhost.exe 進程和一個附加 Dllhost.exe 進程��,該附加進程由 COM+ 在系統應用程序下啟動����。
