Предоставление разрешений веб-серверу для веб-контента

Свернуть все Аннотация В данной статье описывается, как использовать Internet Information Services (IIS) 5.0 для предоставления разрешений веб-серверу для доступа к веб-содержимому.

Вы можете предоставить разрешения веб-сервера определенным веб-сайтам, папкам и файлам на сервере. В отличие от разрешений файловой системы NTFS, которые применяются только к определенным пользователям или группам пользователей с действительными учетными записями Windows, разрешения веб-сервера применяются ко всем пользователям, которые получают доступ к веб-сайту, независимо от их конкретных разрешений на доступ.

По умолчанию веб-доступ использует учетную запись IUSR_имя_компьютера. При установке IIS создается учетная запись IUSER_имя_компьютера, которая используется в качестве учетной записи анонимного пользователя по умолчанию. Когда вы включаете анонимный доступ, IIS использует учетную запись IUSER_имя_компьютера для входа в систему всех пользователей, посещающих ваш веб-сайт.

Учетной записи IUSR_имя_компьютера предоставлены разрешения NTFS для всех папок, составляющих веб-сайт сервера. Однако вы можете изменить права доступа к любой папке или файлу на сайте. Например, вы можете использовать разрешения веб-сервера, чтобы контролировать, разрешено ли посетителям сайта просматривать определенную страницу, загружать информацию или запускать сценарии.

Настроив разрешения веб-сервера и разрешения Windows NTFS, вы можете контролировать доступ пользователей к веб-содержимому на нескольких уровнях: от целых веб-сайтов до отдельных файлов.

Как предоставить разрешения веб-серверу на доступ к веб-контенту 1. Запустите Диспетчер служб Интернета. Или запустите оснастку IIS.

2. Нажмите, чтобы развернуть * имя сервера, где имя сервера — это имя сервера.

3. Щелкните правой кнопкой мыши веб-сайт, виртуальный каталог, папку или файл, к которому вы хотите предоставить доступ пользователю, и выберите «Свойства».

4. Щелкните одну из следующих вкладок в зависимости от вашей ситуации:
Домашний каталог Файл каталога виртуального каталога 5. Щелкните, чтобы установить или снять любой из следующих флажков, соответствующих уровню веб-разрешений, которые вы хотите предоставить, если таковые имеются: Доступ к ресурсу сценария: предоставление этого разрешения позволит пользователю получить доступ к источнику. код. Доступ к ресурсам сценариев содержит исходный код сценариев, например, в программах Active Server Pages (ASP). Обратите внимание, что это разрешение доступно только в том случае, если предоставлено разрешение на чтение или запись.

Примечание. Если вы нажмете «Доступ к ресурсам сценариев», пользователи смогут просматривать конфиденциальную информацию, такую ​​как имена пользователей и пароли, из сценариев программы ASP. Они также смогут изменить исходный код, работающий на вашем сервере, что может серьезно повлиять на безопасность и производительность сервера. Для управления доступом к этой информации и этим функциям рекомендуется использовать одну учетную запись Windows и более высокий уровень аутентификации (например, встроенную аутентификацию Windows).

Чтение. Предоставление этого разрешения позволит пользователю просматривать или загружать файл или папку и связанные с ними свойства. Разрешение на чтение выбрано по умолчанию.

Запись. Предоставление этого разрешения позволит пользователю загружать файл и связанные с ним свойства в включенную папку на сервере или позволит пользователю изменять содержимое или свойства файла, для которого включено разрешение на запись.

«Просмотр каталога». Предоставление этого разрешения позволит пользователю просматривать гипертекстовый список файлов и подпапок в виртуальном каталоге. Обратите внимание, что виртуальный каталог не отображается в списке папок; пользователю необходимо знать псевдоним виртуального каталога.

ПРИМЕЧАНИЕ. Веб-сервер отобразит сообщение об ошибке «Доступ запрещен» в веб-браузере пользователя, когда пользователь попытается получить доступ к файлу или папке на сервере, если выполняются оба следующих условия: ? Просмотр каталога отключен.

- и -

Пользователь не указал имя файла в поле адреса, например Filename.htm.

«Доступ к журналу»: предоставьте это разрешение для регистрации доступа к этой папке в файле журнала. Записи журнала регистрируются только в том случае, если для сайта включено ведение журнала.

Ресурсы индексирования. Предоставление этого разрешения позволит службе индексирования Microsoft включить эту папку в полнотекстовый индекс сайта. После предоставления этого разрешения пользователь сможет выполнять запросы к этому ресурсу.

6. В поле «Разрешения на выполнение» выберите параметр, определяющий способ запуска сценария на этом веб-сайте. Доступны следующие настройки: ? Нет: выберите этот параметр, если вы не хотите, чтобы пользователи запускали сценарии или исполняемые программы на сервере. При использовании этого параметра пользователи могут получать доступ только к статическим файлам, таким как файлы языка гипертекстовой разметки (HTML) и файлы изображений.

Только сценарий: выберите этот параметр, чтобы запускать на сервере сценарии, такие как программы ASP.

Сценарии и исполняемые файлы: выберите этот параметр, чтобы запускать на сервере как сценарии, так и исполняемые программы, например программы ASP.

7. Нажмите кнопку «ОК», а затем выйдите из диспетчера служб Интернета или оснастки IIS.

Примечание. • Когда вы пытаетесь изменить атрибуты безопасности веб-сайта или виртуального каталога, IIS проверяет существующие параметры на подузлах (виртуальных каталогах и файлах), содержащихся на веб-сайте или виртуальном каталоге. Если разрешения, установленные на более низких уровнях, различаются, IIS отображает диалоговое окно переопределения наследования. Чтобы указать, какие дочерние узлы должны наследовать разрешения, установленные вами на более высоком уровне, щелкните один или несколько узлов в списке дочерних узлов, а затем нажмите кнопку ОК. Дочерние узлы унаследуют новые настройки разрешений.

Если веб-разрешения и разрешения NTFS для папки или файла различаются, будет использоваться более строгий из двух параметров. Например, если определенной группе пользователей предоставлено разрешение на запись в папку в IIS, а группе предоставлено разрешение на чтение для папки в NTFS, эти пользователи не смогут записывать в папку, поскольку имеются разрешения на чтение. более ограничительный.

Если вы отключите разрешения веб-сервера для ресурса (например, разрешения на чтение), все пользователи не смогут просматривать ресурс, независимо от настроек разрешений NTFS, примененных к этим учетным записям пользователей. Если вы включите разрешения веб-сервера для ресурса (например, разрешения на чтение), все пользователи смогут просматривать этот ресурс, если вы также не примените разрешения NTFS, ограничивающие доступ к ресурсу.