Accorder des autorisations au serveur Web sur le contenu Web

Résumé Cet article étape par étape décrit comment utiliser Internet Information Services (IIS) 5.0 pour accorder des autorisations de serveur Web sur le contenu Web.

Vous pouvez accorder des autorisations au serveur Web à des sites Web, des dossiers et des fichiers spécifiques sur le serveur. Contrairement aux autorisations du système de fichiers NTFS, qui s'appliquent uniquement à des utilisateurs ou groupes d'utilisateurs spécifiques disposant de comptes Windows valides, les autorisations du serveur Web s'appliquent à tous les utilisateurs qui accèdent à un site Web, quelles que soient leurs autorisations d'accès spécifiques.

Par défaut, l'accès Web utilise le compte IUSR_computername. Lorsque vous installez IIS, le compte IUSER_computername est créé et utilisé comme compte d'utilisateur anonyme par défaut. Lorsque vous activez l'accès anonyme, IIS utilise le compte IUSER_computername pour connecter tous les utilisateurs qui visitent votre site Web.

Le compte IUSR_computername bénéficie des autorisations NTFS sur tous les dossiers qui composent le site Web du serveur. Cependant, vous pouvez modifier les autorisations de n'importe quel dossier ou fichier du site. Par exemple, vous pouvez utiliser les autorisations du serveur Web pour contrôler si les visiteurs du site sont autorisés à afficher une page spécifique, à charger des informations ou à exécuter des scripts.

Lorsque vous configurez à la fois les autorisations du serveur Web et les autorisations Windows NTFS, vous pouvez contrôler la manière dont les utilisateurs accèdent au contenu Web à plusieurs niveaux, depuis des sites Web entiers jusqu'à des fichiers individuels.

Comment accorder des autorisations au serveur Web sur le contenu Web 1. Démarrez le Gestionnaire des services Internet. Ou démarrez le composant logiciel enfichable IIS.

2. Cliquez pour développer * nom du serveur, où nom du serveur est le nom du serveur.

3. Cliquez avec le bouton droit sur le site Web, le répertoire virtuel, le dossier ou le fichier auquel vous souhaitez accorder l'accès à l'utilisateur, puis cliquez sur Propriétés.

4. Cliquez sur l'un des onglets suivants, en fonction de votre situation :
Répertoire de base Répertoire virtuel Fichier de répertoire 5. Cochez ou décochez l'une des cases suivantes qui correspondent au niveau d'autorisations Web que vous souhaitez accorder, le cas échéant : Accès aux ressources de script : l'octroi de cette autorisation permettra à l'utilisateur d'accéder à la source. code. Script Resource Access contient le code source des scripts, tels que ceux des programmes Active Server Pages (ASP). Notez que cette autorisation n'est disponible que si l'autorisation de lecture ou d'écriture est accordée.

Remarque : Si vous cliquez sur Accès aux ressources de script, les utilisateurs pourront afficher des informations sensibles, telles que les noms d'utilisateur et les mots de passe, à partir des scripts du programme ASP. Ils pourront également modifier le code source exécuté sur votre serveur, ce qui peut avoir de graves conséquences sur la sécurité et les performances du serveur. Il est recommandé d'utiliser un seul compte Windows et un niveau d'authentification plus élevé (tel que l'authentification Windows intégrée) pour gérer l'accès à ces informations et à ces fonctionnalités.

Lire : accorder cette autorisation permettra à l'utilisateur d'afficher ou de télécharger le fichier ou le dossier et ses propriétés associées. L'autorisation de lecture est sélectionnée par défaut.

Écrire : l'octroi de cette autorisation permettra à l'utilisateur de télécharger un fichier et ses propriétés associées dans un dossier activé sur le serveur, ou permettra à l'utilisateur de modifier le contenu ou les propriétés d'un fichier pour lequel l'autorisation d'écriture est activée.

« Navigation dans le répertoire » : l'octroi de cette autorisation permettra à l'utilisateur de visualiser une liste hypertexte de fichiers et de sous-dossiers dans un répertoire virtuel. Notez que le répertoire virtuel n'apparaît pas dans la liste des dossiers ; l'utilisateur doit connaître l'alias du répertoire virtuel.

REMARQUE : Le serveur Web affichera un message d'erreur « Accès interdit » dans le navigateur Web de l'utilisateur lorsque celui-ci tente d'accéder à un fichier ou un dossier sur le serveur si les deux conditions suivantes sont remplies : ? La navigation dans le répertoire est désactivée.

- et -

L'utilisateur n'a pas spécifié de nom de fichier dans la zone d'adresse, tel que Filename.htm.

« Accès au journal » : accordez cette autorisation pour enregistrer l'accès à ce dossier dans un fichier journal. Les entrées du journal ne sont enregistrées que si la journalisation est activée pour le site.

Ressources d'index : l'octroi de cette autorisation permettra au service d'indexation Microsoft d'inclure ce dossier dans l'index de texte intégral du site. Après avoir accordé cette autorisation, l'utilisateur pourra effectuer des requêtes sur cette ressource.

6. Dans la zone Autorisations d'exécution, sélectionnez un paramètre pour déterminer la manière dont vous souhaitez que le script s'exécute sur ce site Web. Les paramètres suivants sont disponibles : ? Aucun : cliquez sur ce paramètre si vous ne souhaitez pas que les utilisateurs exécutent des scripts ou des programmes exécutables sur le serveur. Lors de l'utilisation de ce paramètre, les utilisateurs ne peuvent accéder qu'aux fichiers statiques, tels que les fichiers HTML (Hypertext Markup Language) et les fichiers image.

Script uniquement : cliquez sur ce paramètre pour exécuter des scripts tels que des programmes ASP sur le serveur.

Scripts et exécutables : cliquez sur ce paramètre pour exécuter à la fois des scripts et des programmes exécutables, tels que des programmes ASP, sur le serveur.

7. Cliquez sur OK, puis quittez le Gestionnaire des services Internet ou quittez le composant logiciel enfichable IIS.

Remarque : • Lorsque vous essayez de modifier les attributs de sécurité d'un site Web ou d'un répertoire virtuel, IIS vérifie les paramètres existants sur les sous-nœuds (répertoires et fichiers virtuels) contenus dans le site Web ou le répertoire virtuel. Si les autorisations définies aux niveaux inférieurs sont différentes, IIS affiche une boîte de dialogue de remplacement de l'héritage. Pour spécifier quels nœuds enfants doivent hériter des autorisations que vous avez définies à un niveau supérieur, cliquez sur un ou plusieurs nœuds dans la liste des nœuds enfants, puis cliquez sur OK. Les nœuds enfants hériteront des nouveaux paramètres d'autorisation.

Si les autorisations Web et les autorisations NTFS d'un dossier ou d'un fichier sont différentes, le plus restrictif des deux paramètres sera utilisé. Par exemple, si un groupe d'utilisateurs spécifique dispose d'une autorisation d'écriture sur un dossier dans IIS et que le groupe dispose d'une autorisation de lecture sur le dossier dans NTFS, ces utilisateurs ne pourront pas écrire dans le dossier Importer le fichier car les autorisations de lecture sont disponibles. plus restrictif.

Si vous désactivez les autorisations du serveur Web sur une ressource (telles que les autorisations de lecture), tous les utilisateurs ne peuvent pas afficher la ressource, quels que soient les paramètres d'autorisations NTFS appliqués à ces comptes d'utilisateurs. Si vous activez les autorisations du serveur Web sur une ressource (telles que les autorisations de lecture), tous les utilisateurs peuvent afficher la ressource, sauf si vous appliquez également des autorisations NTFS qui restreignent l'accès à la ressource.