本文介绍了正常运行IIS所需要的最小NTFS权限
当IIS不能正常运行或者想严格限制权限的时候可以参照此文
以下是操作的
个步骤
选取整个硬盘System完全控制Administrator完全控制(允许将来自父系的可继承性权限传播给对象)
\Program Files\Common FilesEveryone读取及运行列出文件目录读取(允许将来自父系的可继承性权限传播给对象)
\Inetpub\wwwroot(可根据需要设计)
IUSR_MACHINE读取及运行列出文件目录读取(允许将来自父系的可继承性权限传播给对象)
\Winnt\system选中 InetsrvCertsrv (如果存在)和 Com 之外的其他所有文件夹去除允许将来自父系的可继承性权限传播给对象选框复制
\Winnt选中以下文件夹之外的其他所有文件夹Assembly(如果有)Downloaded Program FilesHelpIIS Temporary Compressed FilesMicrosoftNET(如果有)Offline Web PagesSystemTasksTemp 和 Web去除允许将来自父系的可继承性权限传播给对象选框复制
\WinntEveryone读取及运行列出文件目录读取(允许将来自父系的可继承性权限传播给对象)
\Winnt\Temp(允许访问数据库并显示在ASP页面上)
Everyone可改(允许将来自父系的可继承性权限传播给对象)
\program files\servu\ 只给system admin 所有权限webeasymail everyone 所有权限否则不好\Winnt\system\intesvr\ 这个目录下不要给EVERYONE的写入权限 cmdexe netexe phpini 中 display_errors 设为OFF这样你就拥有了一个权限严格而又可以正常运行的IIS系统了
补充禁止web anonymous组对cmdexe等的访问更多信息虽然每个系统管理员可以根据各自的需求设置权限但最好使用 Everyone 组而不要只使用 IUSR_MACHINE 帐户实际上如果只为 IUSR_MACHINE 帐户添加权限ASP 和 ASPNET 将无法运行如果使用 Everyone 组当 Web 站点对匿名用户和经过身份验证的用户都有高中或低的保护级别设置时ASP 能够正常运行
另外如果只需要匿名访问管理员可以创建 InternetGuests 本地组然后将 IUSR_MACHINEIWAM_MACHINE 和 ASPNET 添加到该组将 Everyone 组替换为 InternetGuests 组不过Everyone 组包括 Users 组(对于经过身份验证的 Web 用户)IUSR_MACHINE 帐户(对于匿名 HTM 访问)IWAM_MACHINE 帐户(对于匿名 ASP 功能)以及 ASPNET(对于 ASPNET 功能)
IIS 使用两个单独的帐户执行 Web 页使用匿名身份验证时IIS 使用 IUSR_MACHINE 帐户查看 Web 页不过IWAM_MACHINE 用于启动一个单独的进程该进程称为 Dllhostexe所有 Active Server Pages (ASP)组件对象模型 (COM) 组件或其他 ISAPI 扩展(ASP 被视为 ISAPI 扩展)都在该进程内运行这样做的目的主要是保持稳定如果从 ASP 页调用的自定义 COM 组件崩溃(也即导致访问沖突从而致使进程停止)它不会影响到 Inetinfoexe因此 Web 服务将继续运行
IIS 中的三个保护级别如下低(IIS 进程)该设置与 IIS 下的默认设置类似所有 Web 页不论是 HTM 还是 ASP都在 Inetinfoexe 进程内运行
中等(池)这是默认设置与 IIS 相同该设置启动称为 Dllhostexe 的单独进程所有 ASP 和 COM 组件都在该进程内运行该进程由 IWAM_MACHINE 帐户启动这也与 IIS 相同另外该设置也称为池因为在 IIS 中运行的所有 Web 站点都在执行 ASP 页时共享这一个 Dllhostexe 进程请注意站 用 Dllhostexe 替换 Mtxexe高(独立)该设置为每个 Web 站点或应用程序启动专用 Dllhostexe 进程如果有 个 Web 站点每个站点的保护级别都设为高总共将有六个 Dllhostexe 进程五个 Dllhostexe 进程和一个附加 Dllhostexe 进程该附加进程由 COM+ 在系统应用程序下启动
