Die meisten virtuellen Hosts haben jetzt die Standardkomponente von ASP: FileSystemObject deaktiviert, da diese Komponente ASP leistungsstarke Dateisystemzugriffsfunktionen bietet und jede Datei auf der Serverfestplatte lesen, schreiben, kopieren, löschen, umbenennen usw. kann Dies ist natürlich nur unter Windows NT/2000 mit den Standardeinstellungen möglich. Die Deaktivierung dieser Komponente hat jedoch zur Folge, dass alle ASPs, die diese Komponente verwenden, nicht ausgeführt werden können und die Kundenanforderungen nicht erfüllen können.
Wie kann die FileSystemObject-Komponente zugelassen werden, ohne die Sicherheit des Servers zu beeinträchtigen (dh verschiedene Benutzer virtueller Hosts können diese Komponente nicht zum Lesen und Schreiben der Dateien anderer Personen verwenden)? Hier stelle ich eine Methode vor, die ich im Experiment erhalten habe. Im Folgenden wird zur Veranschaulichung Windows 2000 Server verwendet.
Öffnen Sie den Ressourcenmanager auf dem Server, klicken Sie mit der rechten Maustaste auf den Laufwerksbuchstaben jeder Festplattenpartition oder jedes Festplattenvolumes, wählen Sie im Popup-Menü „Eigenschaften“ aus, wählen Sie die Registerkarte „Sicherheit“ und dann können Sie sehen, welche Konten darauf zugreifen können Partition (Volume) und Zugriffsrechte. Nach der Standardinstallation wird „Jeder“ mit Vollzugriffsberechtigungen angezeigt. Klicken Sie auf „Hinzufügen“, fügen Sie „Administratoren“, „Backup-Operatoren“, „Hauptbenutzer“, „Benutzer“ und andere Gruppen hinzu und erteilen Sie „Vollzugriff“ oder entsprechende Berechtigungen. Achten Sie darauf, dass Sie der Gruppe „Gäste“ keine Berechtigungen erteilen. „IUSR_Maschinenname“ hat keine Berechtigungen. Löschen Sie dann die Gruppe „Jeder“ aus der Liste, damit nur autorisierte Gruppen und Benutzer auf diese Festplattenpartition zugreifen können. Wenn ASP ausgeführt wird, greift es auf die Festplatte als „IUSR_Maschinenname“ zu , kann ASP keine Dateien auf der Festplatte lesen und schreiben.
Alles, was Sie tun müssen, ist, für jeden Benutzer des virtuellen Hosts ein separates Benutzerkonto einzurichten und dann jedem Konto ein Verzeichnis zuzuweisen, das ihm die vollständige Kontrolle ermöglicht.
Öffnen Sie, wie in der Abbildung unten gezeigt, „Computerverwaltung“ → „Lokale Benutzer und Gruppen“ → „Benutzer“, klicken Sie mit der rechten Maustaste in die rechte Spalte und wählen Sie im Popup-Menü „Neuer Benutzer“ aus:
Geben Sie im Popup-Dialogfeld „Neuer Benutzer“ entsprechend den tatsächlichen Anforderungen „Benutzername“, „Vollständiger Name“, „Beschreibung“, „Passwort“ und „Passwort bestätigen“ ein und fügen Sie hinzu: „Der Benutzer muss beim nächsten Mal das Passwort ändern.“ Wenn er sich das nächste Mal anmeldet, klicken Sie auf „Benutzer muss das Passwort ändern, wenn er sich das nächste Mal anmeldet“. Entfernen Sie die Häkchen und wählen Sie „Benutzer kann Passwort nicht ändern“ und „Passwort läuft nie ab“ aus. In diesem Beispiel wird ein integriertes Konto „IUSR_VHOST1“ für den Benutzer des ersten virtuellen Hosts erstellt, um anonym auf Internet-Informationsdienste zuzugreifen. Das heißt, wenn alle Clients über http://xxx.xxx.xxxx/ auf diesen virtuellen Host zugreifen. Sie werden dieses Konto über die Identität nutzen. Klicken Sie nach Abschluss der Eingabe auf „Erstellen“. Sie können je nach Bedarf mehrere Benutzer erstellen und nach der Erstellung auf „Schließen“ klicken:
Nachdem der neu erstellte Benutzer nun in der Kontoliste angezeigt wird, doppelklicken Sie für weitere Einstellungen auf das Konto in der Liste:
Klicken Sie im Popup-Eigenschaftendialogfeld „IUSR_VHOST1“ (d. h. das gerade erstellte neue Konto) auf die Registerkarte „Gehört zu“:
Das neu erstellte Konto gehört standardmäßig zur Gruppe „Benutzer“. Wählen Sie die Gruppe aus und klicken Sie auf „Löschen“.
Was jetzt erscheint, ist wie im Bild unten gezeigt. Klicken Sie zu diesem Zeitpunkt auf „Hinzufügen“:
Suchen Sie im Popup-Dialogfeld „Gruppe auswählen“ nach „Gäste“, klicken Sie auf „Hinzufügen“. Diese Gruppe wird im Textfeld unten angezeigt und klicken Sie dann auf „OK“: [www.knowsky.com]
Was angezeigt wird, ist in der folgenden Abbildung dargestellt. Klicken Sie auf „OK“, um dieses Dialogfeld zu schließen:
Öffnen Sie „Internet Information Services“ und beginnen Sie mit der Einrichtung des virtuellen Hosts. In diesem Beispiel nehmen wir die Einstellung „Erster virtueller Host“ als Beispiel. Klicken Sie mit der rechten Maustaste auf den Hostnamen und wählen Sie im Popup-Menü „Eigenschaften“.
Das Dialogfeld „Eigenschaften des ersten virtuellen Hosts“ wird angezeigt. Im Dialogfeld können Sie sehen, dass der Benutzer des virtuellen Hosts den Ordner „F:VHOST1“ verwendet:
Ignorieren Sie jetzt das Dialogfeld „Eigenschaften des ersten virtuellen Hosts“, wechseln Sie zu „Explorer“, suchen Sie den Ordner „F:VHOST1“, klicken Sie mit der rechten Maustaste und wählen Sie „Eigenschaften“ → Registerkarte „Sicherheit“. Zu diesem Zeitpunkt können Sie das sehen Die Standardsicherheitseinstellung des Ordners ist „Jeder“ mit voller Kontrolle (der angezeigte Inhalt ist je nach Situation nicht genau derselbe). Ändern Sie zunächst die Option „Weitergabe vererbbarer Berechtigungen vom übergeordneten Objekt an das Objekt zulassen“ unten. Entfernen Sie das Häkchen:
Zu diesem Zeitpunkt wird eine Sicherheitswarnung wie unten angezeigt. Klicken Sie auf „Löschen“:
Zu diesem Zeitpunkt werden alle Gruppen und Benutzer auf der Registerkarte „Sicherheit“ gelöscht (falls nicht gelöscht, verwenden Sie bitte „Löschen“, um sie zu löschen) und klicken Sie dann auf die Schaltfläche „Hinzufügen“.
Fügen Sie den „Administrator“ wie im Bild gezeigt und das zuvor erstellte neue Konto „IUSR_VHOST1“ hinzu, das vollständige Kontrollberechtigungen gewährt. Sie können je nach tatsächlichem Bedarf auch andere Gruppen oder Benutzer hinzufügen, aber achten Sie darauf, die „Gäste“ nicht hinzuzufügen. Gruppe, „IUSR_Maschinenname“ und diese anonymen Zugriffskonten werden hinzugefügt!
Wechseln Sie dann zum zuvor geöffneten Dialogfeld „Eigenschaften des ersten virtuellen Hosts“, öffnen Sie die Registerkarte „Verzeichnissicherheit“ und klicken Sie auf „Bearbeiten“ der anonymen Zugriffs- und Authentifizierungssteuerung:
Klicken Sie im Popup-Feld „Verifizierungsmethode“ (wie unten gezeigt) auf „Bearbeiten“:
Das „Anonyme Benutzerkonto“ wird angezeigt. Der Standardwert ist „IUSR_Machine Name“. Klicken Sie auf „Durchsuchen“:
Suchen Sie im Dialogfeld „Benutzer auswählen“ nach dem zuvor erstellten neuen Konto „IUSR_VHOST1“ und doppelklicken Sie auf:
Zu diesem Zeitpunkt wurde der anonyme Benutzername geändert. Geben Sie im Feld „Passwort“ das Passwort ein, das Sie für das Konto festgelegt haben, als Sie es zuvor erstellt haben:
Bestätigen Sie Ihr Passwort noch einmal:
OK, fertig, klicken Sie auf OK, um diese Dialogfelder zu schließen.
Nach dieser Einstellung können Benutzer des „ersten virtuellen Hosts“, die die FileSystemObject-Komponente von ASP verwenden, nur auf den Inhalt in ihrem eigenen Verzeichnis zugreifen: F:VHOST1. Beim Versuch, auf andere Inhalte zuzugreifen, wird eine Fehlermeldung wie „Keine Berechtigung“ angezeigt „Festplatte ist nicht bereit“, „500 Serverinterner Fehler“ und andere Fehlermeldungen werden angezeigt.
Ein weiterer Grund: Wenn der Benutzer die Partitionskapazität der Festplatte und die Seriennummer der Festplatte lesen muss, wird eine solche Einstellung das Lesen unmöglich machen. Wenn Sie zulassen möchten, dass der Inhalt der gesamten Partition gelesen wird, klicken Sie bitte mit der rechten Maustaste auf die Partition (Volume) der Festplatte, wählen Sie „Eigenschaften“ → „Sicherheit“, fügen Sie das Konto dieses Benutzers zur Liste hinzu und geben Sie ein mindestens „Lesen“ „Berechtigungen. Da alle Unterverzeichnisse unter diesem Volume auf „Verbieten der Weitergabe vererbbarer Berechtigungen vom übergeordneten Objekt an dieses Objekt“ eingestellt sind, sind die Berechtigungseinstellungen der folgenden Unterverzeichnisse nicht betroffen.