iis users怎么设置 服务器安全设置之IIS用户设置方法 - IIS - 服务器之家

服务器之家

专注于服务器技术!
当前位置:首页 > Web服务器 > IIS

iis users怎么设置 服务器安全设置之IIS用户设置方法

发布时间:2017-03-27 来源:服务器之家

建议大家可以看这篇文章
这里举例4个不同类型脚本的虚拟主机 权限设置例子

主机脚本

硬盘目录

IIS用户名

硬盘权限

应用程序池

主目录

应用程序配置

HTM

D:\\

Administrators(完全控制)
(读)

可共用

读取/纯脚本

启用父路径

ASP

D:\\

Administrators(完全控制)
(读/写)

可共用

读取/纯脚本

启用父路径

NET

D:\\

Administrators(完全控制)
(读/写)
(读/写)

独立池

读取/纯脚本

启用父路径

PHP

D:\\

Administrators(完全控制)
(读/写)
(读/写)

独立池

读取/纯脚本

启用父路径

其中 和 分别是各自独立应用程序池标识中的启动帐户

主机脚本类型

应用程序扩展名 (就是文件后缀名)对应主机脚本,只需要加载以下的应用程序扩展

HTM

STM | SHTM | SHTML | MDB

ASP

ASP | ASA | MDB

NET

ASPX | ASAX | ASCX| ASHX | ASMX | AXD | VSDISCO | REM | SOAP | CONFIG |
CS |CSPROJ | VB | VBPROJ | WEBINFO | LICX | RESX | RESOURCES | MDB

PHP

PHP | PHP3 | PHP4

MDB是共用映射,下面用红色表示

应用程序扩展

映射文件

执行动作

STM=.stm

C:\WINDOWS\system32\inetsrv\ssinc.dll

GET,POST

SHTM=.shtm

C:\WINDOWS\system32\inetsrv\ssinc.dll

GET,POST

SHTML=.shtml

C:\WINDOWS\system32\inetsrv\ssinc.dll

GET,POST

C:\WINDOWS\system32\inetsrv\asp.dll

GET,HEAD,POST,TRACE

ASA=.asa

C:\WINDOWS\system32\inetsrv\asp.dll

GET,HEAD,POST,TRACE

C:\WINDOWS\\Framework\v1.1.4322\aspnet_isapi.dll

GET,HEAD,POST,DEBUG

ASAX=.asax

C:\WINDOWS\\Framework\v1.1.4322\aspnet_isapi.dll

GET,HEAD,POST,DEBUG

ASCX=.ascx

C:\WINDOWS\\Framework\v1.1.4322\aspnet_isapi.dll

GET,HEAD,POST,DEBUG

ASHX=.ashx

C:\WINDOWS\\Framework\v1.1.4322\aspnet_isapi.dll

GET,HEAD,POST,DEBUG

ASMX=.asmx

C:\WINDOWS\\Framework\v1.1.4322\aspnet_isapi.dll

GET,HEAD,POST,DEBUG

AXD=.axd

C:\WINDOWS\\Framework\v1.1.4322\aspnet_isapi.dll

GET,HEAD,POST,DEBUG

VSDISCO=.vsdisco

C:\WINDOWS\\Framework\v1.1.4322\aspnet_isapi.dll

GET,HEAD,POST,DEBUG

REM=.rem

C:\WINDOWS\\Framework\v1.1.4322\aspnet_isapi.dll

GET,HEAD,POST,DEBUG

SOAP=.soap

C:\WINDOWS\\Framework\v1.1.4322\aspnet_isapi.dll

GET,HEAD,POST,DEBUG

CONFIG=.config

C:\WINDOWS\\Framework\v1.1.4322\aspnet_isapi.dll

GET,HEAD,POST,DEBUG

CS=.cs

C:\WINDOWS\\Framework\v1.1.4322\aspnet_isapi.dll

GET,HEAD,POST,DEBUG

CSPROJ=.csproj

C:\WINDOWS\\Framework\v1.1.4322\aspnet_isapi.dll

GET,HEAD,POST,DEBUG

VB=.vb

C:\WINDOWS\\Framework\v1.1.4322\aspnet_isapi.dll

GET,HEAD,POST,DEBUG

VBPROJ=.vbproj

C:\WINDOWS\\Framework\v1.1.4322\aspnet_isapi.dll

GET,HEAD,POST,DEBUG

WEBINFO=.webinfo

C:\WINDOWS\\Framework\v1.1.4322\aspnet_isapi.dll

GET,HEAD,POST,DEBUG

LICX=.licx

C:\WINDOWS\\Framework\v1.1.4322\aspnet_isapi.dll

GET,HEAD,POST,DEBUG

RESX=.resx

C:\WINDOWS\\Framework\v1.1.4322\aspnet_isapi.dll

GET,HEAD,POST,DEBUG

RESOURCES=.resources

C:\WINDOWS\\Framework\v1.1.4322\aspnet_isapi.dll

GET,HEAD,POST,DEBUG

PHP=.php

C:\php5\php5isapi.dll

GET,HEAD,POST

PHP3=.php3

C:\php5\php5isapi.dll

GET,HEAD,POST

PHP4=.php4

C:\php5\php5isapi.dll

GET,HEAD,POST

MDB=.mdb

C:\WINDOWS\system32\inetsrv\ssinc.dll

GET,POST

进程帐户所需的 NTFS 权限

目录

所需权限

Temporary Files%windir%\\Framework\{版本}Temporary Files

进程帐户和模拟标识:
看下面详细权限

临时目录 (%temp%)

进程帐户
完全控制

.NET Framework 目录%windir%\\Framework\{版本}

进程帐户和模拟标识:
读取和执行
列出文件夹内容
读取

.NET Framework 配置目录%windir%\\Framework\{版本}\CONFIG

进程帐户和模拟标识:
读取和执行
列出文件夹内容
读取

网站根目录
C:\inetpub\wwwroot
或默认网站指向的路径

进程帐户:
读取

系统根目录
%windir%\system32

进程帐户:
读取

全局程序集高速缓存
%windir%\assembly

进程帐户和模拟标识:
读取

内容目录
C:\inetpub\wwwroot\YourWebApp
(一般来说不用默认目录,管理员可根据实际情况调整比如D:\wwwroot)

进程帐户:
读取
列出文件夹内容
读取
注意 对于 .NET Framework 1.0,直到文件系统根目录的所有父目录也都需要上述权限。父目录包括:
C:\
C:\inetpub\
C:\inetpub\wwwroot\

硬盘或文件夹: C:\WINDOWS\\Framework\版本\Temporary Files

主要权限部分:

其他权限部分:

Administrators

完全控制

计算机帐户

读取和运行

该文件夹,子文件夹及文件

该文件夹,子文件夹及文件

<继承于E:\>

<继承于C:\windows>

CREATOR OWNER

完全控制

计算机帐户

写入/删除

只有子文件夹及文件

该文件夹,子文件夹及文件

<继承于E:\>

<不是继承的>

SYSTEM

完全控制

IIS_WPG

读取和运行

该文件夹,子文件夹及文件

该文件夹,子文件夹及文件

<继承于E:\>

<继承于C:\windows>

IUSR_XXX
或某个虚拟主机用户组

列出文件夹/读取数据 :拒绝

IIS_WPG

写入/删除

该文件夹,子文件夹及文件

该文件夹,子文件夹及文件

<不是继承的>

<不是继承的>

Guests

列出文件夹/读取数据 :拒绝

LOCAL SERVICE

读取和运行

该文件夹,子文件夹及文件

该文件夹,子文件夹及文件

<不是继承的>

<继承于C:\windows>

USERS

读取和运行

LOCAL SERVICE

写入/删除

该文件夹,子文件夹及文件

该文件夹,子文件夹及文件

<继承于C:\windows>

<不是继承的>

NETWORK SERVICE

读取和运行

该文件夹,子文件夹及文件

<继承于C:\windows>

NETWORK SERVICE

写入/删除

该文件夹,子文件夹及文件

<不是继承的>