使用 Windows 身份验证文件夹权限限制 IIS 站点

使用 Windows 身份验证文件夹权限限制 IIS 站点

我创建了两个 IIS 站点,它们都启用了 Windows 身份验证和目录浏览。

对于第一个,我们将其称为“管理员”,我没有设置任何特殊权限。我导航到该网站并被提示输入凭据。我使用计算机上的管理员帐户登录并能够浏览该文件夹。完美。

对于第二个,我们将其称为“测试”,我创建了一个新的 Windows 用户并将其从包括“用户”在内的所有组中删除。我在驱动器上创建了一个新文件夹,并向该新用户授予了该文件夹的权限。当我通过浏览器访问此站点并使用新帐户登录时,我可以按预期浏览该文件夹。但是,我还可以使用这个新帐户浏览上面的“管理”站点。这是意料之外的,因为唯一有权访问驱动器上文件夹的用户是“创建者所有者”、“系统”、“管理员”和“用户”。我的新用户不是这些组中的任何一个的成员。

为什么会发生这种情况?使用 IIS,用本地帐户保护文件夹的正确方法是什么,但要确保该帐户无权访问其他文件夹?

答案1

仅仅因为您的第二个用户不是该Users组的成员,并不意味着它Users在运行时不是该组的一部分。

以我的用户 Peter 为例:

 net user peter

 Local Group Memberships      *Guests
 Global Group memberships     *None

只是客人,而不是用户。

但是当我在运行时询问我的安全上下文时:

 whoami /groups
 
 Group Name                             Type             SID          
 ====================================== ================ ============ 
 Everyone                               Well-known group S-1-1-0      
 BUILTIN\Guests                         Alias            S-1-5-32-546 
 BUILTIN\Performance Log Users          Alias            S-1-5-32-559 
 BUILTIN\Users                          Alias            S-1-5-32-545 
 NT AUTHORITY\INTERACTIVE               Well-known group S-1-5-4      
 CONSOLE LOGON                          Well-known group S-1-2-1      
 NT AUTHORITY\Authenticated Users       Well-known group S-1-5-11     
 NT AUTHORITY\This Organization         Well-known group S-1-5-15     
 NT AUTHORITY\Local account             Well-known group S-1-5-113    
 LOCAL                                  Well-known group S-1-2-0      
 NT AUTHORITY\NTLM Authentication       Well-known group S-1-5-64-10  

我们可以看到,我在用户组中,以及一大堆其他特殊组中。

要将文件限制给某些用户,您必须删除该Users组的权限。

相关内容