La mayoría de los hosts virtuales ahora han deshabilitado el componente estándar de ASP: FileSystemObject, porque este componente proporciona a ASP poderosas capacidades de acceso al sistema de archivos y puede leer, escribir, copiar, eliminar, cambiar el nombre, etc., cualquier archivo en el disco duro del servidor (de. Por supuesto, esto sólo es posible en Windows NT/2000 usando la configuración predeterminada). Sin embargo, después de deshabilitar este componente, la consecuencia es que todas las ASP que utilicen este componente no podrán ejecutarse y no podrán satisfacer las necesidades del cliente.
¿Cómo permitir el componente FileSystemObject sin afectar la seguridad del servidor (es decir, diferentes usuarios de host virtual no pueden usar este componente para leer y escribir archivos de otras personas)? Aquí presento un método que obtuve en el experimento. A continuación se utiliza Windows 2000 Server como ejemplo.
Abra el administrador de recursos en el servidor, haga clic derecho en la letra de la unidad de cada partición o volumen del disco duro, seleccione "Propiedades" en el menú emergente, seleccione la pestaña "Seguridad" y luego podrá ver qué cuentas pueden acceder a esto. partición (Volumen) y derechos de acceso. Después de la instalación predeterminada, aparece "Todos" con permisos de control total. Haga clic en "Agregar", agregue "Administradores", "Operadores de respaldo", "Usuarios avanzados", "Usuarios" y otros grupos, y otorgue "Control total" o los permisos correspondientes. Tenga cuidado de no otorgar al grupo "Invitados" las cuentas ". IUSR_nombre de la máquina" tiene algún permiso. Luego elimine el grupo "Todos" de la lista, para que solo los grupos y usuarios autorizados puedan acceder a esta partición del disco duro. Cuando se ejecuta ASP, accede al disco duro como "IUSR_nombre de máquina". Esto no se proporciona aquí. , ASP no podrá leer ni escribir archivos en el disco duro.
Todo lo que hay que hacer es configurar una cuenta de usuario separada para cada usuario de host virtual y luego asignar a cada cuenta un directorio que le permita un control total.
Como se muestra en la siguiente figura, abra "Administración de computadoras" → "Usuarios y grupos locales" → "Usuarios", haga clic con el botón derecho del mouse en la columna de la derecha y seleccione "Nuevo usuario" en el menú emergente:
En el cuadro de diálogo emergente "Nuevo usuario", ingrese "Nombre de usuario", "Nombre completo", "Descripción", "Contraseña" y "Confirmar contraseña" según las necesidades reales, y agregue "El usuario debe cambiar la contraseña la próxima vez". vez que inicia sesión" antes de "El usuario debe cambiar la contraseña la próxima vez que inicie sesión". Quite las marcas de verificación y seleccione "El usuario no puede cambiar la contraseña" y "La contraseña nunca caduca". Este ejemplo consiste en crear una cuenta integrada "IUSR_VHOST1" para que el usuario del primer host virtual acceda de forma anónima a los servicios de información de Internet, es decir, cuando todos los clientes acceden a este host virtual utilizando http://xxx.xxx.xxxx/ . utilizarán esta cuenta a la que se accede por identidad. Después de completar la entrada, haga clic en "Crear". Puede crear varios usuarios según las necesidades reales y hacer clic en "Cerrar" después de la creación:
Ahora que el usuario recién creado apareció en la lista de cuentas, haga doble clic en la cuenta en la lista para obtener más configuraciones:
En el cuadro de diálogo de propiedades emergente "IUSR_VHOST1" (es decir, la nueva cuenta recién creada), haga clic en la pestaña "Pertenece a":
La cuenta recién creada pertenece al grupo "Usuarios" de forma predeterminada. Seleccione el grupo y haga clic en "Eliminar":
Lo que aparece ahora es como se muestra en la siguiente imagen. En este momento, haga clic en "Agregar":
Busque "Invitados" en el cuadro de diálogo emergente "Seleccionar grupo", haga clic en "Agregar", este grupo aparecerá en el cuadro de texto a continuación y luego haga clic en "Aceptar": [www.knowsky.com]
Lo que aparece es como se muestra en la siguiente figura. Haga clic en "Aceptar" para cerrar este cuadro de diálogo:
Abra "Servicios de información de Internet" y comience a configurar el host virtual. En este ejemplo, tomamos la configuración del "Primer host virtual" como ejemplo. Haga clic derecho en el nombre del host y seleccione "Propiedades" en el menú emergente.
Aparece un cuadro de diálogo "Propiedades del primer host virtual". Desde el cuadro de diálogo, puede ver que el usuario del host virtual usa la carpeta "F:VHOST1":
Ignore el cuadro de diálogo "Propiedades del primer host virtual" en este momento, cambie a "Explorador", busque la carpeta "F: VHOST1", haga clic derecho, seleccione la pestaña "Propiedades" → "Seguridad", en este momento puede ver que la configuración de seguridad predeterminada de la carpeta es control total "Todos" (el contenido que se muestra no es exactamente el mismo dependiendo de la situación). Primero, cambie "Permitir que los permisos heredables del padre se propaguen al objeto" en la parte inferior. Retire la marca de verificación:
En este momento, aparecerá una advertencia de "seguridad" como la que se muestra a continuación, haga clic en "Eliminar":
En este momento, se borrarán todos los grupos y usuarios de la pestaña Seguridad (si no se borran, utilice "Eliminar" para borrarlos) y luego haga clic en el botón "Agregar".
Agregue el "Administrador" como se muestra en la imagen y la nueva cuenta "IUSR_VHOST1" creada anteriormente, que le otorgará permisos de control total. También puede agregar otros grupos o usuarios según las necesidades reales, pero asegúrese de no agregar los "Invitados". ¡Se agregan grupo, "IUSR_nombre de máquina" y estas cuentas de acceso anónimo!
Luego cambie al cuadro de diálogo "Propiedades del primer host virtual" que se abrió anteriormente, abra la pestaña "Seguridad del directorio" y haga clic en "Editar" de Control de autenticación y acceso anónimo:
En el cuadro emergente "Método de verificación" (como se muestra a continuación), haga clic en "Editar":
Aparece la "Cuenta de usuario anónimo", el valor predeterminado es "IUSR_Nombre de la máquina", haga clic en "Examinar":
En el cuadro de diálogo "Seleccionar usuario", busque la nueva cuenta "IUSR_VHOST1" creada anteriormente y haga doble clic:
En este momento, el nombre de usuario anónimo ha sido cambiado. En el cuadro de contraseña, ingrese la contraseña establecida para la cuenta cuando la creó anteriormente:
Confirma tu contraseña nuevamente:
Bien, listo, haga clic en Aceptar para cerrar estos cuadros de diálogo.
Después de esta configuración, los usuarios del "primer host virtual" que utilizan el componente FileSystemObject de ASP solo pueden acceder al contenido de su propio directorio: F:VHOST1. Al intentar acceder a otro contenido, aparecerá un mensaje de error como "Sin permiso". Se muestran "El disco duro no está listo", "Error interno del servidor 500" y otros mensajes de error.
Otro: si el usuario necesita leer la capacidad de la partición del disco duro y el número de serie del disco duro, dicha configuración hará imposible la lectura. Si desea permitirle leer el contenido relacionado con toda la partición, haga clic derecho en la partición (volumen) del disco duro, seleccione "Propiedades" → "Seguridad", agregue la cuenta de este usuario a la lista y proporcione en menos permisos de "lectura". Dado que todos los subdirectorios de este volumen se han configurado para "Prohibir la propagación de permisos heredables del padre a este objeto", la configuración de permisos de los siguientes subdirectorios no se verá afectada.