Erteilen Sie Webserver-Berechtigungen für Webinhalte

ZUSAMMENFASSUNG In diesem Artikel wird Schritt für Schritt beschrieben, wie Sie Internetinformationsdienste (IIS) 5.0 verwenden, um Webserverberechtigungen für Webinhalte zu erteilen.

Sie können Webserverberechtigungen für bestimmte Websites, Ordner und Dateien auf dem Server erteilen. Im Gegensatz zu NTFS-Dateisystemberechtigungen, die nur für bestimmte Benutzer oder Benutzergruppen mit gültigen Windows-Konten gelten, gelten Webserverberechtigungen für alle Benutzer, die auf eine Website zugreifen, unabhängig von ihren spezifischen Zugriffsberechtigungen.

Standardmäßig verwendet der Webzugriff das Konto IUSR_computername. Wenn Sie IIS installieren, wird das Konto „IUSER_computername“ erstellt und als standardmäßiges anonymes Benutzerkonto verwendet. Wenn Sie den anonymen Zugriff aktivieren, verwendet IIS das Konto „IUSER_computername“, um alle Benutzer anzumelden, die Ihre Website besuchen.

Dem Konto „IUSR_Computername“ werden NTFS-Berechtigungen für alle Ordner gewährt, aus denen die Server-Website besteht. Sie können jedoch die Berechtigungen aller Ordner oder Dateien innerhalb der Site ändern. Mithilfe von Webserverberechtigungen können Sie beispielsweise steuern, ob Website-Besucher eine bestimmte Seite anzeigen, Informationen laden oder Skripts ausführen dürfen.

Wenn Sie sowohl Webserverberechtigungen als auch Windows NTFS-Berechtigungen konfigurieren, können Sie steuern, wie Benutzer auf Webinhalten auf mehreren Ebenen zugreifen, von ganzen Websites bis hin zu einzelnen Dateien.

So erteilen Sie Webserver-Berechtigungen für Webinhalte 1. Starten Sie Internet Services Manager. Oder starten Sie das IIS-Snap-In.

2. Klicken Sie zum Erweitern auf * Servername, wobei Servername der Name des Servers ist.

3. Klicken Sie mit der rechten Maustaste auf die Website, das virtuelle Verzeichnis, den Ordner oder die Datei, auf die Sie dem Benutzer Zugriff gewähren möchten, und klicken Sie dann auf Eigenschaften.

4. Klicken Sie je nach Situation auf eine der folgenden Registerkarten:
Home-Verzeichnis Virtuelles Verzeichnis Verzeichnisdatei 5. Aktivieren oder deaktivieren Sie eines der folgenden Kontrollkästchen, die der Ebene der Webberechtigungen entsprechen, die Sie gewähren möchten, sofern vorhanden: Skriptressourcenzugriff: Durch die Erteilung dieser Berechtigung kann der Benutzer auf die Quelle zugreifen Code. Script Resource Access enthält den Quellcode für Skripts, beispielsweise in Active Server Pages (ASP)-Programmen. Beachten Sie, dass diese Berechtigung nur verfügbar ist, wenn die Berechtigung Lesen oder Schreiben erteilt wurde.

Hinweis: Wenn Sie auf Skriptressourcenzugriff klicken, können Benutzer vertrauliche Informationen wie Benutzernamen und Kennwörter aus den Skripts des ASP-Programms anzeigen. Sie können auch den auf Ihrem Server ausgeführten Quellcode ändern, was die Sicherheit und Leistung des Servers erheblich beeinträchtigen kann. Es wird empfohlen, ein einzelnes Windows-Konto und eine höhere Authentifizierungsebene (z. B. integrierte Windows-Authentifizierung) zu verwenden, um den Zugriff auf diese Informationen und Funktionen zu verwalten.

Lesen: Durch Erteilen dieser Berechtigung kann der Benutzer die Datei oder den Ordner und die zugehörigen Eigenschaften anzeigen oder herunterladen. Die Leseberechtigung ist standardmäßig ausgewählt.

Schreiben: Durch Erteilen dieser Berechtigung kann der Benutzer eine Datei und die zugehörigen Eigenschaften in einen aktivierten Ordner auf dem Server hochladen oder den Inhalt oder die Eigenschaften einer Datei ändern, für die die Schreibberechtigung aktiviert ist.

„Verzeichnisdurchsuchen“: Durch Erteilen dieser Berechtigung kann der Benutzer eine Hypertextliste von Dateien und Unterordnern in einem virtuellen Verzeichnis anzeigen. Beachten Sie, dass das virtuelle Verzeichnis nicht in der Ordnerliste erscheint; der Benutzer muss den Alias ​​des virtuellen Verzeichnisses kennen.

HINWEIS: Der Webserver zeigt im Webbrowser des Benutzers die Fehlermeldung „Zugriff verboten“ an, wenn der Benutzer versucht, auf eine Datei oder einen Ordner auf dem Server zuzugreifen, wenn beide der folgenden Bedingungen zutreffen: ?

- Und -

Der Benutzer hat im Adressfeld keinen Dateinamen angegeben, z. B. Dateiname.htm.

„Zugriff protokollieren“: Erteilen Sie diese Berechtigung, um den Zugriff auf diesen Ordner in einer Protokolldatei zu protokollieren. Protokolleinträge werden nur protokolliert, wenn die Protokollierung für die Site aktiviert ist.

Indexressourcen: Durch die Erteilung dieser Berechtigung kann der Microsoft-Indexdienst diesen Ordner in den Volltextindex der Site aufnehmen. Nach Erteilung dieser Berechtigung kann der Benutzer Abfragen für diese Ressource durchführen.

6. Wählen Sie im Feld „Ausführungsberechtigungen“ eine Einstellung aus, um festzulegen, wie das Skript auf dieser Website ausgeführt werden soll. Die folgenden Einstellungen sind verfügbar: ? Keine: Klicken Sie auf diese Einstellung, wenn Sie nicht möchten, dass Benutzer Skripte oder ausführbare Programme auf dem Server ausführen. Bei Verwendung dieser Einstellung können Benutzer nur auf statische Dateien zugreifen, z. B. HTML-Dateien (Hypertext Markup Language) und Bilddateien.

Nur Skript: Klicken Sie auf diese Einstellung, um Skripte wie ASP-Programme auf dem Server auszuführen.

Skripte und ausführbare Dateien: Klicken Sie auf diese Einstellung, um sowohl Skripte als auch ausführbare Programme, z. B. ASP-Programme, auf dem Server auszuführen.

7. Klicken Sie auf OK und beenden Sie dann den Internet Services Manager oder das IIS-Snap-In.

Hinweis: • Wenn Sie versuchen, die Sicherheitsattribute einer Website oder eines virtuellen Verzeichnisses zu ändern, prüft IIS, ob Einstellungen für die Unterknoten (virtuelle Verzeichnisse und Dateien) vorhanden sind, die in der Website oder im virtuellen Verzeichnis enthalten sind. Wenn die auf niedrigeren Ebenen festgelegten Berechtigungen unterschiedlich sind, zeigt IIS ein Dialogfeld zum Überschreiben der Vererbung an. Um anzugeben, welche untergeordneten Knoten die auf einer höheren Ebene festgelegten Berechtigungen erben sollen, klicken Sie auf einen oder mehrere Knoten in der Liste der untergeordneten Knoten und dann auf „OK“. Untergeordnete Knoten erben die neuen Berechtigungseinstellungen.

Wenn die Web-Berechtigungen und NTFS-Berechtigungen eines Ordners oder einer Datei unterschiedlich sind, wird die restriktivere der beiden Einstellungen verwendet. Wenn beispielsweise einer bestimmten Benutzergruppe die Schreibberechtigung für einen Ordner in IIS und die Gruppe die Leseberechtigung für den Ordner in NTFS erteilt wird, können diese Benutzer nicht in den Ordner schreiben, da die Leseberechtigungen vorhanden sind restriktiver.

Wenn Sie Webserverberechtigungen für eine Ressource deaktivieren (z. B. Leseberechtigungen), können nicht alle Benutzer die Ressource anzeigen, unabhängig von den NTFS-Berechtigungseinstellungen, die auf diese Benutzerkonten angewendet werden. Wenn Sie Webserverberechtigungen für eine Ressource aktivieren (z. B. Leseberechtigungen), können alle Benutzer die Ressource anzeigen, es sei denn, Sie wenden auch NTFS-Berechtigungen an, die den Zugriff auf die Ressource einschränken.