IIS 7.5 网站目录权限

IIS 7.5 网站目录权限

作为学习经验,我正在设置(并尝试强化)Windows 2008R2 网络服务器。

我的网站存储在单独的分区上,组织方式如下:

/domains
    /somedomain.com
        /logs
        /wwwroot
    /anotherdomain.com
        /logs
        /wwwroot

我已从“域”目录中删除了“用户”组的默认权限。

以下是 /domains 的权限

D:\Domains NT AUTHORITY\SYSTEM:(OI)(CI)F 
           BUILTIN\Administrators:(OI)(CI)F 
           CREATOR OWNER:(OI)(CI)(IO)F 

每个网站都配置了一个在 AppPoolIdentity 下运行的单独应用程序池。

我已授予相应应用程序池用户对“wwwroot”的修改权限,并授予匿名用户的读取权限:

D:\domains\somedomain.com\wwwroot IIS APPPOOL\somedomain.com:(OI)(CI)C 
                                    NT AUTHORITY\IUSR:(OI)(CI)R 
                                    NT AUTHORITY\SYSTEM:(OI)(CI)(ID)F 
                                    BUILTIN\Administrators:(OI)(CI)(ID)F 
                                    CREATOR OWNER:(OI)(CI)(IO)(ID)F 

关于目录权限我还遗漏了什么吗?

答案1

我正在做一些类似的事情,但仍然不同:

  1. 为什么需要授予wwwroot文件夹修改权限?读取和执行就足够了,仅在需要时授予修改权限(例如tempupload文件cache夹 - 内容将在其中创建/更改,例如通过网站应用程序(PHP/ASP.NET 等))。

    我授予D:\domains\somedomain.com特定文件夹“读取和执行”(这就足够了)和修改权限:D:\domains\somedomain.com\var。如果我有一个应用程序/脚本需要修改可通过 Web 访问的文件夹的权限(例如,LiveZilla 实时聊天软件),那么我会在那里授予它,例如D:\domains\somedomain.com\wwwroot\livechat\banners

  2. 我不使用 IUSR 用户——而是使用“应用程序池标识”:

    • “应用程序用户(直通身份验证)”“站点 | 基本设置 | 连接为”
    • 以及“应用程序池标识”“站点 | 身份验证 | 匿名身份验证”
  3. 我根本没有“CREATOR OWNER”(它在运行 PHP 脚本时会导致问题 - 根本无法执行它们 + 其他一些问题(现在不记得了),所以我已经将其从整个中删除了D:\domains)。我几乎有:SYSTEM、Admins、APP_POOL_SPECIFIC_ID、SPECIFIC_FTP_USER。

上述操作在我 6 台服务器上运行良好,到目前为止没有任何问题(我很幸运吗?)。

相关内容