收藏
下载资源

如何配置Win2003的NTFS文件系统权限及IIS权限设置参考

上传人:新** 文档编号:457428716 上传时间:2023-09-03 格式:DOC 页数:21 大小:485KB
返回 下载 相关 举报
如何配置Win2003的NTFS文件系统权限及IIS权限设置参考_第1页
第1页 / 共21页
如何配置Win2003的NTFS文件系统权限及IIS权限设置参考_第2页
第2页 / 共21页
如何配置Win2003的NTFS文件系统权限及IIS权限设置参考_第3页
第3页 / 共21页
如何配置Win2003的NTFS文件系统权限及IIS权限设置参考_第4页
第4页 / 共21页
如何配置Win2003的NTFS文件系统权限及IIS权限设置参考_第5页
第5页 / 共21页
点击查看更多>>
资源描述

《如何配置Win2003的NTFS文件系统权限及IIS权限设置参考》由会员分享,可在线阅读,更多相关《如何配置Win2003的NTFS文件系统权限及IIS权限设置参考(21页珍藏版)》请在金锄头文库上搜索。

1、windows 2003文件服务器详细权限设置wi ndow server 2003 文件服务器要求达到如下目标1. 网络管理员对所有共享文件夹都拥有完全控制权;2. 所有员工对公共文件夹只拥有读取权限;3. 每位员工只对自己的私人文件夹拥有完全控制权, 且不能读取其他员工 的文件夹;4. 每位员工所能使用的磁盘空间有一定限制, 并且已用空间达到一定程度 后会得到警告。创建用户和文件夹:首先为每位员工创建用户账户,并且在磁盘的NTFS分区中规划合理的文件夹结构。私人文件夹以员工姓名命名,在域中添加用户的过程简述如下:1. 依次单击“开始/管理工具/Active Directory用户和计算机”

2、,在打开 窗口的左窗格中右击“ Users”容器,执行“新建/用户”命令。2. 在打开的“新建对象一用户”对话框中键入用户登录名(如“hongxiaowei ”)和用户的全称(如“洪晓卫”)。单击“下一步”按钮,在 密码设置选项卡中设定密码并依次单击“下一步 /完成”按钮。重复此过程创建 其他用户(如图1)。图1创建用户账户安装文件服务器:因为在默认情况下 Windows Server 2003并没有安装“文件服务器”组件, 因此手动将这些组件添加了进来。1. 依次单击“开始/管理工具/管理您的服务器”,打开“管理您的服务器”窗口。在“管理您的服务器角色”区域中单击“添加或删除角色”按钮, 进

3、 入配置向导并单击“下一步”按钮。2. 配置向导检测完网络设置后打开“服务器角色”选项卡。在“服务器角 色”列表中选中“文件服务器”选项,并单击“下一步”按钮。3. 在打开的“文件服务器磁盘配额”选项卡中勾选“为此服务器的新用户设置默认磁盘空间配额”复选框,然后根据磁盘剩余空间及用户实际需要在“将 磁盘空间限制为”和“将警告级别设置为”编辑框中键入合适的数值。另外,勾选“拒绝将磁盘空间给超过配额限制的用户”复选框,可以禁止用户在其已用磁盘空间达到限额后向服务器写入数据。单击“下一步”按钮(如图2)。图2设置磁盘配额4. 在“文件服务器索引服务”选项卡中点选“是, 启用索引服务”单选框, 启用对

4、共享文件夹的索引服务。索引服务对服务器资源的开销很大, 建议只有在 用户需要经常搜索共享文件夹的情况下才启用该服务,单击“下一步”按钮。5. 打开“选择总结”选项卡,确认选项设置准确无误后单击“下一步”按钮。添加向导开始启用所选服务,完成后会自动打开“共享文件夹向导”。 单击 “下一步”按钮。6. 在打开的“文件夹路径”选项卡中单击“浏览”按钮,从本地磁盘中找 到“公共资源”文件夹,单击“确定/下一步”按钮。在“名称、描述和设置” 选项卡中设置共享名(如“公共资源”),单击“下一步”按钮。7. 在“权限”选项卡中点选“管理员有完全访问权限;其他用户有只读访 问权限”单选框,并依次单击“完成/关

5、闭/完成”按钮结束设置(如图3)。图3指定权限设置私人文件夹访问权限:现在所有员工已经拥有了对“公共资源”的读取权限。然而还要求每位员工 只对自己的私人文件夹拥有完全控制权, 且不能读取其他员工的文件夹,因此针 对每个私人文件夹进行了访问权限的设置。1. 依次单击“开始/管理工具/文件服务器管理”菜单项,打开“文件服务 器管理”控制台。在右窗格中单击“添加共享文件夹”选项, 进入“共享文件夹 向导”。依次单击“下一步/浏览”按钮,在打开的“浏览文件夹”对话框中找 到并选中某位员工的私人文件夹(如“洪晓卫”),依次单击“确定 /下一步/ 下一步”按钮。2. 在打开的“权限”选项卡中点选“使用自定

6、义共享和文件夹共享”单选 框,并单击“自定义”按钮。在打开的“自定义权限”对话框中单击“删除”按 钮将“ Everyone”组删除。依次单击“添加/高级/立即查找”按钮,然后按住“Ctrl ”键,在“搜索结果”列表框中找到并选中“ Administrators ”组和“洪 晓卫”,依次单击“确定/确定”按钮。3. 回到“自定义权限”对话框,分别为“洪晓卫的权限”和“ Admi nistrators 的权限”勾选“允许完全控制”,单击“完成 /关闭”按钮。 重复上述步骤为其它文件夹设置相应的访问权限(如图4)。?l2d共变極嚴I安全I;址睦卫 OPngprE QW*dh uTLl lt泪或用戸若

7、關晅:Xdnlni str tlors OUJfJITKdnii rd ? u s):.率 i VII頁我ft出 -*- *、. i E*.椚* n n图4设置用户权限为了验证所做设置的正确性,可以在一台运行Win dows XP的客户机使用已经添加到域中的用户(如“ hongxiaowei ”)登录到域。通过“网上邻居”(也可通 过UNC路径)可以读取“公共资源”文件夹中的文件,并且可以完全控制“洪晓卫”文件夹,但无法读取其他员工的私人文件夹。看了这篇文章大概了解“ win2003文件服务器权限设置”的概念和操作现在简单介绍我的实验:(我没有使用域啊)1) 在“管理工具一“计算机管理”一“本

8、地用户和组”添加3个用户并设置密码:userl user2 user32) 然后建立一个community文件夹(管理员拥有所有权限客服端都只能读) 继续分别建立3个文件夹 分别私人隶属于 3个用户:user1 user2 user33) 最后用“管理工具一“文件服务器管理”中设置4个文件夹:community(administrators everyone)、user1(administrators user1) 、user2(administrators user2) 、user3(administrators user3) 各 自隶属于用户和权限4) 然后用一台进行测试分别以三种身份访问

9、文件服务器1管理员administrator能访问所有文件夹并有所有权限2客户端everyone只能读community 且不能访问user1 user2 user33user1能读community 且完全控制 user1文件夹user2 和user3同理如何配置 Win2003 的 NTFS 文件系统权限 一、首先了解权限设置的方案1、被授予权限的对象分用户和用户组两种 2、批量设置有两大方案,当设置某个目录的权限时,进入高级I 可设置是否继承父级权限设置 (第一个勾)II 可设置是否替换子目录及文件的权限设置 (第二个勾)二、系统盘主要目录的权限设置C: 只授予 System 和 Adm

10、inistrators 完全控制权限,删除其他用户或组,不替换子目录C:Documents and Settings 仅继承父级,并替换子目录C:Inetpub 删除之,不要使用该目录作为网站发布的目录。C:Program Files 仅继承父级,并替换子目录C:Program FilesCommon FilesMicrosoft Shared 删除继承并保留设置(在“高级”中取消第一个勾,再在弹出的对话中选“复制”) 添加 Users 组,只授予读取权限 将该目录的设置替换它的子目录(勾中第二个勾)C:Windows 删除继承并保留设置 添加 Users 组,只授予读取权限 将该目录的设置替

11、换它的子目录(具体做法和上面 /Microsoft Shared 目录设置一样)C:WindowsTemp添加 IIS_WPG、ASPNET、Network Services 、Network 用户或组 授予完全控制权限,替换它的子目录C:WindowsMicrosoft.NETFrameworkv1.1.4322Temporary ASP.NET Files 添加 Everyone ,授予完全控制权限,将该设置替换它的子目录三、其他盘的设置C 盘设置完成,其他盘均仅给 System 和 Administrators 授予完全控制即可。 网站发布目录授予 IIS 匿名用户读取访问权限。需要 .

12、NET 权限的目录添加 IIS_WPG 组(或 隶属于该组的某个用户),授予完全控制权限。IIS 权限设置参考虽然 Apache 的名声可能比 IIS 好,但我相信用 IIS 来做 Web 服务 器的人一定也不少。说实话,我觉得 IIS 还是不错的,性能和稳定性都相当不 错。但是我发现许多用 IIS 的人不太会设置 Web 服务器的权限,因此,出现 漏洞被人黑掉也就不足为奇了。但我们不应该把这归咎于 IIS 的不安全。如果 对站点的每个目录都配以正确的权限,出现漏洞被人黑掉的机会还是很小的 ( Web 应用程序本身有问题和通过其它方式入侵黑掉服务器的除外)。下面是 我在配置过程中总结的一些经验

13、,希望对大家有所帮助。IIS Web 服务器的权限设置有两个地方,一个是 NTFS 文件系统本身的权限 设置,另一个是 IIS 下网站-站点-属性- 主目录(或站点下目录 -属性- 目录)面板上。 这两个地方是密切相关的。 下面我会以实例的方式来讲解如何设 置权限。IIS 下网站 - 站点 - 属性- 主目录(或站点下目录 - 属性 - 目录)面板上有: 脚本资源访问免费收录网站 读取写入浏览记录访问索引资源6 个选项。这 6 个选项中, “记录访问 ”和“索引资源 ”跟安全性关系不大,一般 都设置。但是如果前面四个权限都没有设置的话,这两个权限也没有必要设置。 在设置权限时,记住这个规则即可

14、, 后面的例子中不再特别说明这两个权限的设 另外在这 6 个选项下面的执行权限下拉列表中还有: 无纯脚本 纯脚本和可执行程序3 个选项。而网站目录如果在 NTFS 分区(推荐用这种)的话,还需要对 NTFS 分区上 的这个目录设置相应权限,许多地方都介绍设置 everyone 的权限,实际上这 是不好的,其实只要设置好 Internet 来宾帐号( IUSR_xxxxxxx )或 IIS_WPG 组的帐号权限就可以了。如果是设置 ASP、PHP 程序的目录权限, 那么设置 Internet 来宾帐号的权限,而对于 ASP.NET 程序,则需要设置 IIS_WPG 组的帐号权限。在后面提到 NT

15、FS 权限设置时会明确指出,没有明 确指出的都是指设置 IIS 属性面板上的权限。例1 ASP、PHP、ASP.NET 程序所在目录的权限设置: 如果这些程序是要执行的,那么需要设置 “读取 ”权限,并且设置执行权限为 “纯脚本”。不要设置“写入”和“脚本资源访问 ”,更不要设置执行权限为 “纯脚本和可 执行程序”。NTFS权限中不要给IIS_WPG 用户组和In ternet 来宾帐号设 置写和修改权限。如果有一些特殊的配置文件(而且配置文件本身也是ASP、PHP 程序),则需要给这些特定的文件配置 NTFS 权限中的 Internet 来宾 帐号(ASP.NET程序是IIS_WPG 组)的写权限,而不要配置IIS属性面板 中的“写入”权限。站长必看的网站 IIS 面板中的“写入”权限实际上是对 HTTP PUT 指令的处理,对于普通网站, 一般情况下这个权限是不打开的。IIS 面板中的“脚本资源访问 ”不是指可以执行脚本的权限, 而是指可以访问源代 码的权限,如果同时又打开 “写入”权限的话,那么就非常危险了。执行权限中 “纯脚本和可执行程序 ”权限可以执行任意程序,包括 exe 可执行程

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 办公文档 > 解决方案

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号