作为学习经验,我正在设置(并尝试强化)Windows 2008R2 网络服务器。
我的网站存储在单独的分区上,组织方式如下:
/domains
/somedomain.com
/logs
/wwwroot
/anotherdomain.com
/logs
/wwwroot
我已从“域”目录中删除了“用户”组的默认权限。
以下是 /domains 的权限
D:\Domains NT AUTHORITY\SYSTEM:(OI)(CI)F
BUILTIN\Administrators:(OI)(CI)F
CREATOR OWNER:(OI)(CI)(IO)F
每个网站都配置了一个在 AppPoolIdentity 下运行的单独应用程序池。
我已授予相应应用程序池用户对“wwwroot”的修改权限,并授予匿名用户的读取权限:
D:\domains\somedomain.com\wwwroot IIS APPPOOL\somedomain.com:(OI)(CI)C
NT AUTHORITY\IUSR:(OI)(CI)R
NT AUTHORITY\SYSTEM:(OI)(CI)(ID)F
BUILTIN\Administrators:(OI)(CI)(ID)F
CREATOR OWNER:(OI)(CI)(IO)(ID)F
关于目录权限我还遗漏了什么吗?
答案1
我正在做一些类似的事情,但仍然不同:
为什么需要授予
wwwroot文件夹修改权限?读取和执行就足够了,仅在需要时授予修改权限(例如temp,upload文件cache夹 - 内容将在其中创建/更改,例如通过网站应用程序(PHP/ASP.NET 等))。我授予
D:\domains\somedomain.com特定文件夹“读取和执行”(这就足够了)和修改权限:D:\domains\somedomain.com\var。如果我有一个应用程序/脚本需要修改可通过 Web 访问的文件夹的权限(例如,LiveZilla 实时聊天软件),那么我会在那里授予它,例如D:\domains\somedomain.com\wwwroot\livechat\banners。我不使用 IUSR 用户——而是使用“应用程序池标识”:
- “应用程序用户(直通身份验证)”“站点 | 基本设置 | 连接为”
- 以及“应用程序池标识”“站点 | 身份验证 | 匿名身份验证”
我根本没有“CREATOR OWNER”(它在运行 PHP 脚本时会导致问题 - 根本无法执行它们 + 其他一些问题(现在不记得了),所以我已经将其从整个中删除了
D:\domains)。我几乎有:SYSTEM、Admins、APP_POOL_SPECIFIC_ID、SPECIFIC_FTP_USER。
上述操作在我 6 台服务器上运行良好,到目前为止没有任何问题(我很幸运吗?)。