IIS6.0的默认权限和用户权限设置小结

最近一直在研究服务器安全，整理的一些win服务器下，ntfs的权限设置
NTFS 权限 
目录 用户组 权限 
%windir%helpiishelpcommon Administrators 完全控制 
%windir%helpiishelpcommon System 完全控制 
%windir%helpiishelpcommon IIS_WPG 读取、执行 
%windir%helpiishelpcommon Users（请参见“注意 1”。） 读取、执行 
%windir%IIS Temporary Compressed Files Administrators 完全控制 
%windir%IIS Temporary Compressed Files System 完全控制 
%windir%IIS Temporary Compressed Files IIS_WPG 完全控制 
%windir%IIS Temporary Compressed Files Creator owner 完全控制 
%windir%system32inetsrv Administrators 完全控制 
%windir%system32inetsrv System 完全控制 
%windir%system32inetsrv Users 读取、执行 
%windir%system32inetsrv*.vbs Administrators 完全控制 
%windir%system32inetsrvASP compiled templates Administrators 完全控制 
%windir%system32inetsrvASP compiled templates IIS_WPG 完全控制 
%windir%system32inetsrvHistory Administrators 完全控制 
%windir%system32inetsrvHistory System 完全控制 
%windir%system32Logfiles Administrators 完全控制 
%windir%system32inetsrvmetaback Administrators 完全控制 
%windir%system32inetsrvmetaback System 完全控制 
InetpubAdminscripts Administrators 完全控制 
Inetpubwwwroot（或内容目录） Administrators 完全控制 
Inetpubwwwroot（或内容目录） System 完全控制 
Inetpubwwwroot（或内容目录） IIS_WPG 读取、执行 
Inetpubwwwroot（或内容目录） IUSR_MachineName 读取、执行 
Inetpubwwwroot（或内容目录） ASPNET（请参见“注意 2”。） 读取、执行 


注意 1：在使用基本身份验证或集成身份验证时以及在配置自定义错误时，都必须对此目录拥有相应的权限。例如，在出现错误 401.1 时，只有向已登录用户授予了读取 4011.htm 文件的权限，该用户才会看到预期的自定义错误详细信息。 


注意 2：默认情况下，IIS 5.0 隔离模式中使用 ASP.NET 作为 ASP.NET 进程标识。如果将 ASP.NET 切换到 IIS 5.0 隔离模式，则 ASP.NET 必须对内容区域具有访问权限。IIS 帮助中对 ASP.NET 进程隔离进行了详细说明。有关其他信息，请访问下面的 Microsoft 网站： 


ASP.NET 进程隔离 
http://technet2.microsoft.com/WindowsServer/zh-CHS/Library/32f8749c-753e-4c70-8ed7-f5defacc6adf2052.mspx?mfr=true (http://technet2.microsoft.com/WindowsServer/zh-CHS/Library/32f8749c-753e-4c70-8ed7-f5defacc6adf2052.mspx?mfr=true) 




注册表权限 
位置 用户组 权限 
HKLMSystemCurrentControlSetServicesASP Administrators 完全控制 
HKLMSystemCurrentControlSetServicesASP System 完全控制 
HKLMSystemCurrentControlSetServicesASP IIS_WPG 读取 
HKLMSystemCurrentControlSetServicesHTTP Administrators 完全控制 
HKLMSystemCurrentControlSetServicesHTTP System 完全控制 
HKLMSystemCurrentControlSetServicesHTTP IIS_WPG 读取 
HKLMSystemCurrentControlSetServicesIISAdmin Administrators 完全控制 
HKLMSystemCurrentControlSetServicesIISAdmin System 完全控制 
HKLMSystemCurrentControlSetServicesIISAdmin IIS_WPG 读取 
HKLMSystemCurrentControlSetServicesw3svc Administrators 完全控制 
HKLMSystemCurrentControlSetServicesw3svc System 完全控制 
HKLMSystemCurrentControlSetServicesw3svc IIS_WPG 读取 




Windows 用户权限 
策略 用户 
从网络访问此计算机 Administrators 
从网络访问此计算机 ASPNET 
从网络访问此计算机 IUSR_MachineName 
从网络访问此计算机 IWAM_MachineName 
从网络访问此计算机 Users 
调整进程内存配额 Administrators 
调整进程内存配额 IWAM_MachineName 
调整进程内存配额 Local service 
调整进程内存配额 Network service 
跳过遍历检查 IIS_WPG 
允许本地登录（请参见“注意”） Administrators 
允许本地登录（请参见“注意”） IUSR_MachineName 
拒绝本地登录 ASPNET 
在身份验证之后模拟客户端 Administrators 
在身份验证之后模拟客户端 ASPNET 
在身份验证之后模拟客户端 IIS_WPG 
在身份验证之后模拟客户端 Service 
作为批处理作业登录 ASPNET 
作为批处理作业登录 IIS_WPG 
作为批处理作业登录 IUSR_MachineName 
作为批处理作业登录 IWAM_MachineName 
作为批处理作业登录 Local service 
作为服务登录 ASPNET 
作为服务登录 Network service 
替换进程级别令牌 IWAM_MachineName 
替换进程级别令牌 Local service 
替换进程级别令牌 Network service 




注意：在以默认设置全新安装的带有 IIS 6.0 的 Microsoft Windows Server 2003 中，Users 组和 Everyone 组都拥有“跳过遍历检查”权限。工作进程标识通过这两个组当中的一个继承“跳过遍历检查”权限。如果从“跳过遍历检查”权限中删除这两个组，工作进程标识将不会通过任何其他分配继承“跳过遍历检查”权限，因此工作进程将无法启动。如果必须从“跳过遍历检查”权限中删除 Users 组和 Everyone 组，请添加 IIS_WPG 组以允许 IIS 按预期方式运行。 


注意：在 IIS 6.0 中，如果将基本身份验证配置为身份验证选项之一，则基本身份验证的“LogonMethod”元数据库属性将为 NETWORK_CLEARTEXT。NETWORK_CLEARTEXT 登录类型不需要“允许本地登录”用户权限。这同样适用于匿名身份验证。有关其他信息，请参见 IIS 帮助中的“基本身份验证默认登录类型”主题。您也可以访问下面的 Microsoft 网站：