搭建网站IIS目录权限设置说明
IIS安全权限设置-电脑资料
IIS安全权限设置-电脑资料系统用户情况为:administrators 超级管理员(组)system 系统用户(内置安全主体)guests 来宾帐号(组)iusr_服务器名匿名访问web用户iwam_服务器名启动iis进程用户www_cnnsc_org 自己添加的用户、添加后删除Users(组)、删除后添加到guests来宾帐号(组)为加强系统安全、(guest)用户及(iusr_服务器名)用户均被禁用将访问web目录的全部账户设为guests组、去除其他的组■盘符安全访问权限△C:\盘 administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限△D:\盘(如果用户网站内容放置在这个分区中)、administrators(组) 完全控制权限△E:\盘 administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限△f:\盘 administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限△如有其他盘符类推下去.■目录安全访问权限▲c:\windows\△administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限▲c:\windows\system32\△administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限、iwam_服务器名(用户) 读取+运行权限▲c:\windows\temp\△administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限、guests(组) 完全控制权限▲C:\WINDOWS\system32\config\△administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限▲c:\Program Files\△administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限▲C:\Program Files\Common Files\△administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限、guests(组) 读取+运行权限▲c:\Documents and Settings\△administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限▲C:\Documents and Settings\All Users\△administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限▲C:\Documents and Settings\All Users\Application Data\△administrator s(组) 完全控制权限、system(内置安全主体) 完全控制权限▲C:\Documents and Settings\All Users\Application Data\Microsoft\△administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限▲C:\Documents and Settings\All Users\Application Data\Microsoft\HTML Help\△administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限■禁止系统盘下的EXE文件:net.exe、cmd.exe、tftp.exe、netstat.exe、regedit.exe、regedt32.exe、at.exe、attrib.exe、cacls.exe△些文件都设置成 administrators 完全控制权限■新建WWW(网站)根目录【administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限】▲根目录里新建wwwroot目录▲网站根目录、网页请上传到这个目录△administrators(组) 完全控制权限△www_cnnsc_org(用户)完全控制权限▲根目录里新建logfiles目录▲网站访问日志文件、本目录不占用您的空间△administrators(组) 完全控制权限▲根目录里新建database目录▲数据库目录、用来存放ACCESS数据库△administrators(组) 完全控制权限▲根目录里新建others目录▲用于存放您的其它文件、该类文件不会出现在网站上△administrators(组) 完全控制权限△www_cnn sc_org(用户)完全控制权限▲在FTP(登陆消息文件里填)IIS日志说明:〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓欢迎您使用本虚拟主机.请使用CUTEFTP或者LEAFTP等软件上传您的网页.注意、如果上传不了、请把FTP软件的PASV模式关掉再试.您登陆进去的根目录为FTP根目录\--wwwroot网站根目录、网页请上传到这个目录.\--logfiles 网站访问日志文件、本目录不占用您的空间.\--database 数据库目录、用来存放ACCESS数据库.\--others 用于存放您的其它文件,该类文件不会出现在网站上.为了保证服务器高速稳定运行、请勿上传江湖游戏、广告交换、类网站、大型论坛、软件下载等耗费系统资源的程序.IIS日志说明\--Date 动作发生时的日期\--Time 动作发生时的时间\--s-sitename 客户所访问的Internet服务于以及实例号\--s-computername 产生日志条目的服务器的名字\--s-ip 产生日志条目的服务器的IP地址\--cs-method客户端企图执行的动作(例如GET方法)\--cs-uri-stem被访问的资源、例如Default.asp\--cs-uri-query 客户所执行的查询\--s-port 客户端连接的端口号\--cs-username通过身份验证访问服务器的用户名、不包括匿名用户\--c-ip 访问服务器的客户端IP地址\--cs(User-Agent) 客户所用的浏览器\--sc-status用HTTP或者FTP术语所描述的动作状态\--sc-win32-status用Microsoft Windows的术语所描述的动作状态〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓■禁止下载Access数据库△Internet 信息服务(IIS)管理器→网站→属性→主目录→配置→添加△可执行文件:C:\WINDOWS\twain_32.dll△扩展名:.mdb▲如果你还想禁止下载其它的东东△Internet 信息服务(IIS)管理器→网站→属性→主目录→配置→添加△可执行文件:C:\WINDOWS\twain_32.dll△扩展名:.(改成你要禁止的文件名)▲然后删除扩展名:shtml stm shtm cdx idc cer■防止列出用户组和系统进程:△开始→程序→管理工具→服务△找到 Workstation 停止它、禁用它■卸载最不安全的组件:△开始→运行→cmd→回车键▲cmd里输入:△regsvr32/u C:\WINDOWS\system32\wshom.ocx△del C:\WINDOWS\system32\wshom.ocx△regsvr32/u C:\WINDOWS\system32\shell32.dll△del C:\WINDOWS\system32\shell32.dll△也可以设置为禁止guests用户组访问■解除FSO上传程序小于200k限制:△在服务里关闭IIS admin service服务△打开 C:\WINDOWS\system32\inetsrv\MetaBase.xml△找到ASPMaxRequestEntityAllowed△将其修改为需要的值、默认为204800、即200K、把它修改为51200000(50M)、然后重启IIS admin service服务■禁用IPC连接△开始→运行→regedit△找到如下组建(HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Ls a)中的(restrictanonymous)子键△将其值改为1即■清空远程可访问的注册表路径:△开始→运行→gpedit.msc△依次展开“计算机配置→Windows 设置→安全设置→本地策略→安全选项”△在右侧窗口中找到“网络访问:可远程访问的注册表路径”△然后在打开的窗口中、将可远程访问的注册表路径和子路径内容全部设置为空即■关闭不必要的服务△开始→程序→管理工具→服务△Telnet、TCP\IP NetBIOS Helper■解决终端服务许可证过期的办法△如果你服务器上已经开着终端服务、那就在添加删除程序里删除终端服务和终端授权服务△我的电脑--右键属性--远程---远程桌面、打勾、应用△重启服务器、OK了、再也不会提示过期了■取消关机原因提示△开始→运行→gpedit.msc△打开组策略编辑器、依次展开△计算机配置→管理模板→系统△双击右侧窗口出现的(显示“关闭事件跟踪程序”)△将(未配置)改为(已禁用)即可。
IIS配置网站访问权限和安全
IIS配置网站访问权限和安全网站需要IIS配置的地方有很多,比如IIS配置端口、域名、主目录、默认文档等。
今天小编要跟大家分享的是IIS配置网站访问权限和安全。
默认状态下,允许所有的用户匿名连接 IIS 网站,即访问时不需要使用用户名和密码登录。
不过,如果对网站的安全性要求高,或网站中有机密信息,需要对用户限制,禁止匿名访问,而只允许特殊的用户账户才能进行访问。
1.IIS配置禁用匿名访问第一步,在 IIS 管理器中,选择欲设置身份验证的 Web 站点,如图8-18 所示。
第二步,在站点主页窗口中,选择“身份验证”,双击,显示“身份验证”窗口。
默认情况下,“匿名身份验证”为“启用”状态,如图 8-19 所示。
第三步,右击“匿名身份验证”,单击快捷菜单中的“禁用”命令,即可禁用匿名用户访问。
2.IIS配置使用身份验证在IIS 7.0 的身份验证方式中,还提供基本验证、Windows 身份验证和摘要身份验证。
需要注意的是,一般在禁止匿名访问时,才使用其他验证方法。
不过,在默认安装方式下,这些身份验证方法并没有安装。
可在安装过程中或者安装完成后手动选择。
第一步,在“服务器管理器”窗口中,展开“角色”节点,选择“Web 服务器(IIS)”,单击“添加角色服务”,显示如图8-20 所示的“选择角色服务”窗口。
在“安全性”选项区域中,可选择欲安装的身份验证方式。
第二步,安装完成后,打开 IIS 管理器,再打开“身份验证”窗口,所经安装的身份验证方式显示在列表中,并且默认均为禁用状态,如图 8-21 所示。
可安装的身份验证方式共有三种,区别如下。
①基本身份验证:该验证会“模仿”为一个本地用户(即实际登录到服务器的用户),在访问 Web 服务器时登录。
因此,若欲以基本验证方式确认用户身份,用于基本验证的Windows 用户必须具有“本地登录”用户权限。
默认情况下,Windows 主域控制器(PDC)中的用户账户不授予“本地登录”用户的权限。
IIS配置说明
WINDOWS IIS系统配置1.系统配置所有实例都是在Windows 2000 Server操作系统下开发的,Web服务器采用Microsoft公司的Internet Information Server 5.0(IIS 5.0),具体配置与安装在“3.数据库、4.配置IIS 服务器并测试程序”一节中有详细介绍。
说明:建议使用IE6.0进行测试。
2.本光盘内容光盘包含mingrisoft文件夹,该文件夹包含所有章节,例如第1章对应的文件夹即为01,每一章对应的文件夹中包括本章包括的所有实例内容,如第1章的的第1个实例的光盘路径为:mingrisoft\01\001。
需要注意的是中所有的实例不是按照所在章进行排序的,而是进行了一个所有实例的统一排序和章节没有关系。
3.数据库1.Access数据库很多实例都采用了Access数据库,运行这些程序时,不需要另外附加数据库,可以直接运行实例。
注意:对于采用ACCESS数据库的实例,如果您的系统采用的是NTFS分区,那么还需要修改数据库文件的使用权限,具体方法如下:1.以Administrator身份登录系统,只有Administrator才可以对用户的权限进行设置。
2.选中每章实例文件,例如,第1章文件夹01,(路径为:D:\mingrisoft\01,在该文件上单击鼠标右键,在弹出的快捷菜单中选择“属性”菜单项,将弹出“01文件夹的属性”对话框,在该对话框中选择“安全”选项卡,如图7所示。
图7 01文件夹属性对话框3.选中“组或用户名称”列表中的“Users(SXP-Z7R2XVQP8YB\Users)”项,在下面的权限列表中将显示该用户所拥有的权限,此时选中“完全控制”所对应的“允许”复选框,“修改”和“写入”所对应的允许复选框也同时被选中,即用户可以完全控制(包括修改、写入、读取及运行)该文件,单击【确定】按钮即可。
2.附加SQL Server数据库大多数章节都用到SQL Server数据库,为了方便读者,笔者用将到SQL Server数据库的程序所用到的数据表都设置在同一个数据库中,在每一章的文件夹下设置了database文件夹,在此文件夹下保存了本章的SQL Server数据库。
IIS配置全攻略
IIS配置全攻略.说起当今被应用的Web服务器及FTP服务器,许多人自然会想到Microsoft公司的IIS了。
虽然近期有红码、蓝码等病毒及漏洞在困扰着它,但是由于它的易用及免费的特点,它受到许多的企业的青睐。
这里就详细介绍在企业内如何配置它的Web服务器、FTP服务器等服务。
在介绍各个服务之前,先向大家简述下IIS。
Microsoft从IIS 4.0开始就提供了以下服务:WWW、FTP、MTS、SMTP、NNTP、索引服务和证书服务。
其中我们应用最多的是WWW 及FTP服务。
下面就详细介绍这两种服务。
以下以WINDOWS 2000为例。
在配置这些服务前,你先要安装IIS。
IIS可以运行在Microsoft的任意一种视窗操作系统上,不过要想真正的提供全部服务,必须把IIS安装在服务器的操作系统上(例如NT Server、Win2000 Server)。
在Win9x或工作站上,IIS只充当PWS(Peer Web Server),它不提供全部功能。
在安装IIS时,注意Windows 2000与NT安装的方式不相同。
一、WWW服务WWW是World Wide Web的简称,它只是Internet的一个组件,它可以在网络上实现图形服务。
使用它,可在你的站点上加入HTML文档和超链接内容,供客户机和浏览器查阅。
1、打开IIS管理器。
如图大家已经注意到里面已经存在了默认的Web站点了(hunter是计算机名)。
你既可以修改默认的Web站点为你的新站点,也可以重新建立一个新的Web站点。
2、新建一个Web站点(1)单击“操作”->“新建”->“Web站点”,就会出现“欢迎使用Web站点创建向导”,然后点击“下一步”。
(2)提示要输入关于Web站点的说明,我这里用“IT海洋网”描述,除此之外,还要求输入该Web站点的IP地址,我这里设置为172.19.115.79,端口默认为80,你也可以修改。
点击“下一步”。
IIS站点安装配置手册
铁血Web站点安装配置手册V1.02一.安装Web服务器1.系统要求Windows2008R2 X642.IIS要求IIS7.5 【必需】URL Rewrite 【可选】Application Request Routing 【可选】3.用户账号需求每台Web服务器均需要新建一个名为“pic”的用户,且所有该用户的密码一致,隶属于Users组,用户不能更改密码,密码永不过期。
【目前所有web服务器有该账号,便于管理】4.UNC权限需求【使用UNC路径时使用,不使用UNC跳过,默认跳过】备注:只有当使用集群的时候使用UNC路径,如122,124,125服务器和102,103服务器铁血未来站点均使用UNC目录进行配置,所以在站点文件提供服务器上需要共享一个目录,目前为\\192.168.0.122\WebNew,高级共享,权限为:◇1Users 【本地】◇2Domain Users 【域用户】◇3Administrators【本地】◇4Pic 【本地】以上用户需对共享目录有完全控制的权限在每台Web服务器上需要对站点文件存储的UNC共享目录配置完全信任关系,命令如下:○1C:\Windows\\Framework64\v2.0.50727\caspol.exe -rs [清除所有其它的信任]○2 C:\Windows\\Framework64\v2.0.50727\caspol.exe -m -ag 1 -url "file:////\\192.168.0.122\WebNew\*" FullTrust -exclusive on [添加IIS信任]5.IIS安装IIS7.5具体安装功能有:5.1 IIS安装(默认安装功能)◇1常见HTTP功能静态内容、默认文档、目录浏览、HTTP错误、HTTP重定向◇2应用程序开发 、.net扩展性、ISAPI扩展、ISAPI筛选器、在服务器端包含文件◇3健康和诊断HTTP日志记录、请求监视、自定义日志记录、ODBC日志记录◇4安全性基本身份验证、windows身份验证、请求筛选、IP和域限制◇5性能静态内容压缩动态内容压缩◇6管理工具IIS管理控制台5.2安装IIS URL Rewrite 2.0(可选)需要URL重写功能安装,即伪静态化时下载:URL Rewrite Module 2.0 X64/download/URLRewrite5.3 安装“网络负载平衡管理器”功能(可选)需要几台服务器做负载均衡时安装该组件系统自带,添加删除程序中5.4Frameworker2.0、Frameworker4.05.5 Application Request Routing(可选)当需要反向代理的时候需要安装下载Application Request Routing/download/ApplicationRequestRouting6.系统配置6.1 %WINDIR%\\Framework\v2.0.50727\aspnet.config中配置CONFIG<legacyUnhandledExceptionPolicy enabled="true" />6.2配置 MetaBase.xml gzip 相关 HcNoCompressionForHttp10="FALSE" HcNoCompressionForProxies="FALSE"6.3设置系统级别的MachineKey(可以直接从122上拷贝一份web.config直接覆盖)文件:C:\Windows\\Framework64\v2.0.50727\CONFIG\web.config位置:在该文件的</system.web>之前添加内容:<machineKey decryption="DES" decryptionKey="具体值" validationKey="具体值" />6.4关闭服务器的HTTPErr日志功能,必须关闭。
IIS技巧网站服务器的搭建与配置
IIS技巧:网站效劳器的搭建与配置IIS(Internet Information Server)是微软公司推出的Web效劳器程序。
安装windows 2000 Server或Windows 2000 Advanced Server时,将自动安装IIS 并建立默认的站点。
如果计算机安装Windows 2000 Professional 或安装Windows 2000时没有安装IIS,那么需要手工安装IIS。
IIS只能运行于基于NT技术的Windows平台,因此不能在Windows 98或Windows Me上安装。
如果你的机子里没有IIS,那么可以按下面所介绍的方法安装IIS。
1. IIS的安装IIS的安装步骤如下:(1)准备好Windows 2000安装光盘,放置于光盘驱动器中。
(2)单击【开始】【设置】【控制面板】命令,翻开【控制面板】窗口,然后再翻开【添加/删除程序】对话框。
(3)单击【添加/删除Windows组件】按钮,弹出【Windows 组件向导】。
在这里,可以看到目前系统中已经安装和没有安装的各种Windows组件。
前面打勾的项是已经安装的组件,空白的是没有安装的组件,打勾但是颜色发灰的是局部安装的组件。
我们将要安装的是“Internet信息效劳(IIS)〞,如下图。
(4)用鼠标选中“Internet信息效劳(IIS)〞,然后单击右下角的【详细信息】按钮,将看到如图1-11所示的选择界面。
可见Internet信息效劳(IIS)组件是一系列有关在Internet上发布信息的组件的集合。
建立一个根本的动态交互WWW网站至少需要如下几个组件:▲公用文件:各组件都需要的通用程序和数据文件。
▲文档:包括站点的缺省内容、站点管理的主题以及关于ASP的文档和样例。
▲ FrontPage 2000效劳扩展:提供对FrontPage 2000的额外支持,鉴于兼容性,建议安装此项。
▲ Internet效劳管理工具:用来在本机管理你的站点。
IIS配置说明
1.在安装SQL SERVER时,应该同时安装下列特征说明:在SQL SERVER 必须启用混合认证,如果用户想用SA登陆,windows认证是不够的2.下一步安装IIS,在win 7下路径,控制面板->程序->打开或关闭windows功能在windows server 2008下把IIS添加为角色,在添加IIS时需进行如下设置在安装完IIS后,需在文件夹inetpub\wwwroot下添加名为OLAP的文件夹,然后将C:\Program Files\Microsoft SQL Server\INSTANZNAME\MSAS10_50.INSTANZNAME\OLAP\bin\isapi文件复制到新建的OLAP文件夹下(SQL SERVER 2005路径不同,为:C:\Program Files(x86)\Microsoft SQL Server\MSSQL.2\OLAP\bin\isapi)• Das *.dll-File ist für den XMLA Zugriffzuständig und das ini-File ist für das Zeigen auf denSQL-ServerZuständig*.dll文件用于xmla访问,ini文件用于SQL-SERVER访问sollteeine Standard-Instanzinstalliertwordensein, muss das ini-File nichteditiertwerden solltejedocheinebenannteInstanzinstalliertwordensein, muss das ini-File für die Instanz angepasstwerden.如果是默认实例,ini文件不需要编辑,如果是已命名实例,那么应该调整ini文件<ConfigurationSettings><ServerName>SERVERNAME\INSTANZNAME</ServerName><SessionTimeout>3600</SessionTimeout><ConnectionPoolSize>100</ConnectionPoolSize></ConfigurationSettingsDanachkann die Konfiguration des IIS beginnen. Hierlegt man zuersteinenneuenAnwendungspool an. Diesengibt man den Namen olap之后可以开始配置IIS,首先新建一个应用池,名称为OLAP• Danachwechselt man auf den Punkt Sites unterhalb der Anwendungspools und erweitertdiesen. Hierfindet转到应用池下的网页,并展开,找到一个我们先前在IIS下面新建的名为OLAP的虚拟目录• Auf dieses Verzeichnis führt man einenRechtsklickaus und wählt den Punkt in Anwendungkonvertieren在文件夹上鼠标右键,选择转换为应用• Den Default-Anwendungspooländert man auf olap ab.默认应用池改为OLAP• Danachklickt man wieder auf die Site olap und wähltrechts den PunktHändlerzuordnung. 接下来,点击OLAP,在右侧,选择处理程序映射Nachdem die Händlerzuordnungengeöffnetwerden, gibtes auf der rechtenSeite die Aktionen. Hierwird dieAktion "Skriptzuordnunghinzufügen" ausgeführt, wodurchsicheinFensteröffnet, das wienachfolgend abgebildet, editiertwird.打开处理程序映射之后,在右边会找到操作,在这里运行操作添加脚本映射,之后会打开截屏里的窗口,设置如下• NachdemBestätigenmit OK wirdeineAbragezu ISAPI-Extensions angezeigt, die mit JAbestätigtwerdenmuss.点击OK确认之后,是否显示ISAP-EXTENSIONS,选择是• Nun wechselt man auf der Site olap auf Authentifizierung. Hierbearbeitet und aktiviertman dieAnonymeAuthentifizierung.Hier müssenBenutzername und Password für einenBenutzermitadministratvienZugriffauf die Analysis Services hinterlegtwarden然后转到OLAP里面的权限认证,这里呢,激活匿名认证,然后,在这个指定一个有管理员权限的用户名和密码来访问Analysis Services• Abschließend muss man nochunterhalb der Startseite auf den Servernamenklicken und auf ISAPI- und CGIEinschränkungenwechseln. Hierbefindetsichnocheineunbenannte ISAPI-Erweiterung, die wirolapnennen.在首页下面点击服务器名称,选择ISAPI和CGI限制验证,在这里会找到一个尚未命名的ISAPI-拓展,将它改名为OLAPSollte auf einem x64 Betriebsstemein x86 SQL Server installiertsein, muss man eineÄnderung imAnwendungspooldurchführen. Dazumacht man einenRechtsklick auf denAnwendungspoololap und wählterweiterteEinstellungen.Hier muss unterAllgemein dieEinstellung "32-Bit-Anwendung aktivieren" auf True gestelltwerden.Beieinem x64 System mitx64 SQL Server muss auf jeden Fall False gesetztsein.Abschließendkann如果是在64位操作系统上安装了X86的sqlserver,那么还应该进行一项设定,在应用池OLAP上鼠标右键,高级设置,将32位应用程序设置为TRUE,如果是X64位操作系统必须设置为false.Abschließendkannein Reboot des Rechnersnotwendigsein.之后有可能需要重启一下服务器。
Web服务器站点设置和IIS安装设置图解
Web服务器站点设置和IIS安装设置图解IIS是Internet Information Server的缩写,是微软提供的Internet服务器软件,包括WEB、FTP、Mail等等服务器。
因为IIS的FTP和Mail服务器不是很好用,一般用IIS只用其WEB 服务器。
本文以Win2000服务器版操作系统为例,介绍WEB服务器的安装和设置方法。
目前运行IIS的最理想平台是Windows 2000服务器版和高级服务器版。
Win9x/Me里也有IIS,但只是PWS(个人WEB服务器),功能很有限,只支持1个连接。
WinXP里的IIS也只支持10个连接。
如果您要使用IIS,请使用Windows 2000服务器版。
IIS是Windows操作系统自带的组件。
如果在安装操作系统的时候没有安装IIS,请打开“控制面板”->“添加或删除程序”->“添加/删除Windows组件”->双击“Internet信息服务”-> 选择“World Wide Web 服务器”安装。
基本设置一、打开“控制面板”->“管理工具”->“Internet服务管理器”:在“默认Web站点”上按鼠标右键,选择“属性”,弹出默认Web站点设置窗口:“TCP端口”是WEB服务器端口,默认值是80,不需要改动。
“IP地址”是WEB服务器绑定的IP地址,默认值是“全部未分配”,建议不要改动。
默认情况下,WEB服务器会绑定在本机的所有IP上,包括拨号上网得到的动态IP。
二、点击上面属性窗口里的“主目录”:在“本地路径”右边,是网站根目录,即网站文件存放的目录,默认路径是“c:\inetpub\wwwroot”。
如果想把网站文件存放在其他地方,可修改这个路径。
三、点击上面属性窗口的“文档”:在这里设置网站的默认首页文档。
在浏览器里输入一个地址(例如/)访问IIS的时候,IIS会在网站根目录下查找默认的首页文件,如果找到就打开,找不到就显示“该页无法显示”。
iis6.0的网站建设及权限设置
1、建立网站
双击打开桌面的快捷方式到inetmgr.exe 如下图,然后按照以下图片设置一步一步操作直到完成。
二、设置网站权限。
右击网站-权限
然后点击高级
取消允许父项的继承权… 前面的勾,然后点击复制
选中权限项目里的都删除,只剩下administrators 和system 然后再点击添加
然后点击高级
找到红色框中的IUSR_xxxx(后边部分会根据不同的主机是不一样的,只要前面有包含IUSR_就行)然后点击确定
除了完全控制和遍历文件夹/运行文件之外,全部个勾上。
然后点击确定
添加之后的权限项目如图所示,然后勾上红色框中的用此显示的可以应用…. 然后确定。
点击确定即可完成网站权限的设置。
如果网站是使用程序的用户需要添加以下权限或者按需求添加(network service、用户),详情可以参考如图所示。
到此网站的建立就完成。
如果提示访问未授权或者访问提示输入用户名和密码,可以建立独立的用户的网站,详情请参考:iis6.0建立独立用户网站流程。
IIS简单实用教程
IIS简单实用教程二、web站点的建立和设置1、启动控制面中的“管理工具”中的“Internet 信息服务(IIS)管理器”。
2、选择“网站”,打开系统默认建立的站点,此时在“Internet 信息服务(IIS)管理器”右边的内容区会显示“默认站点”中的文件和目录。
3、右键单击“默认站点”,选择“属性”,打开默认站点的属性设置。
选择“主目录”选项卡,在其中设置主目录为“D:\MySite”,执行权限为“无”。
4、选择“文档”选项卡,将“默认内容文档“中指定的文件名删除,加入default.htm、default.html、index.htm和index.html。
5、设置完毕后,就可以通过浏览器查看站点的效果。
如果要服务器返回正确的结果,前提为,首先的保证服务器D盘有Mysite这个文件夹,同时文件夹中有“文档”中指定的任一文件名的文件。
三、IIS的一些高级应用下面的高级应用一般是在Win2003并且文件格式为NTFS中实现的,如果为WinXP或者文件格式为FAT32,仅做参考。
1、设置访问站点的用户WinXP中实现用户的权限定义,首先要进行一下设置:打开Windows 资源管理器,点击工具-文件夹选项-查看,在“高级设置”中取消使用“简单文件共享”。
想要实现站点的特定用户访问效果,需要分3个步骤,首先要在系统中建立该特定用户,其次将文件夹的权限指向该特定用户,最后在IIS中设置该特定用户的站点访问权。
步骤一:在系统中建立特定用户(1)打开“管理工具”中的“计算机管理”,或者运行“compmgmt.msc”。
(2)右键点击“用户”,选择“新用户”。
(3)在打开的“新用户”对话框中,在用户名中输入“mysiteuser”,全名中输入“我的站点用户”,密码和确认密码中输入相同的密码,去掉“用户下次登录时须更改密码”的选择,并选择“用户不能更改密码”和“密码永不过期”。
这里为了保证用户的安全性,可以设置非常复杂的密码,如果该用户仅仅作为访问网站的用户,可以给用户设置一个超过18位的密码,密码中含有大小写、数字和标点,比如“#*(df3hfp3789(IL@#$BVG23424@24”。
IIS“ip地址和域名限制”的设置方法
g a t e wa y 1 9 2 . 1 6 8 . 1 . 1 网 关 ,可 能 不 是 这 个 ,问 网 管
器。 子 网掩 码 决定 I P 地 址 的 哪 一 算 机 , 右 键 单击 某 个 网站 、 目 录 或 部 分 是 子 网 标 识 而 哪 一 部 分 是 主 文 件 , 然 后单 击 “ 属性” 。 机 标 识 。 子 网 中 的 所 有 计 算 机 具 单 击 “目 录 安 全 性 ” 或 “ 文 件
I I S “ i p地 址 和 域 名 限 制 " 的 设 置 方 法
使 用 网 络 标 识 和 子 网 掩 码 1 7 2 . 1 6 . 1 6. 1 , 在 “子 网 掩 码 ” 框 中 算 机和 域除 外 。 单击 “ 添加” 一“ 一 组 计算机 ” 。 在 “网 络 标 识 ” 框 中 , 键 入 主 机的 I P地址。 在 “ 子 网掩码 ” 框 中 , 键 入 要 授 予 或 拒 绝 访 问 的 计 算 机 的 子 网 标识 。 单击 “ 确定” 三次 。 使 用 网 络 标 识 和 子 网 掩 码 , 可 以 输 入 2 5 5 . 2 5 5 . 0. 0。 拒 绝 或 授 予 一 组 计 算 机 的 访 问 权 限 。网络 标 识 是主 机 的 I P地址 , 该 计算 机 通 常 是 “ 子 网 ” 的 路 由 授 予 或 拒 绝 对 一 组 计 算 机 的 访 问 在 I I s管 理 器 中 , 展 开 本 地 计
/
I P 地 址 。要 选 择 子 网 中 的 所 有 计 将 向 所 有 计 算 机 和 域 授 予 访 问 权 算机 , 可在 “ 网 络标 识 ” 框 中 输 入 限 , 但 您 特 别 拒 绝 访 问 权 限 的 计
给IIS添加网站配置权限
给IIS添加⽹站配置权限
1.新建⼀个⽹站,填好名字,路径和主机名端⼝等等
2.为⽹站添加⼀个⽤户
3.⽤户⾪属于Guests,和IIS_IUSRS
4.把⽹站的完全控制权限赋给刚才的⽤户。
在⽹站右键--编辑权限--安全
或者在⽹站⽂件夹右键--属性--安全
权限⼀定要完全控制
5.更改应⽤程序池的⽤户为刚才新建的⽤户
在应⽤程序池--右键⾼级设置
如果你的是64位的服务器,但⽹站是32位的或者使⽤了32位的DLL,那么需要把下图红线处设置为True
(还有.NET CLR版本也要设置成⾃⼰使⽤的版本。
有时候它默认是2.0,⽽⽹站是4.0)
把标识改为刚才建⽴的⽤户
6.更改⽹站⾝份认证⽤户
在⽹站--⾝份认证--匿名⾝份认证(确保启⽤)--右键--编辑把特定⽤户--》改为使⽤应⽤程序池标识。
完成。
IIS“ip地址和域名限制”的设置方法
IIS“ip地址和域名限制”的设置方法使用网络标识和子网掩码使用网络标识和子网掩码,可以拒绝或授予一组计算机的访问权限。
网络标识是主机的 IP 地址,该计算机通常是“子网”的路由器。
子网掩码决定 IP 地址的哪一部分是子网标识而哪一部分是主机标识。
子网中的所有计算机具有相同的子网标识和自己特有的主机标识。
通过指定网络标识和子网掩码,可以选择一组计算机。
例如,如果主机拥有 IP 地址 172.16.16.1 和子网掩码 255.255.0.0,那么子网中的所有计算机将拥有以 172.16 开头的 IP 地址。
要选择子网中的所有计算机,可在“网络标识”框中输入 172.16.16.1,在“子网掩码”框中输入255.255.0.0。
授予或拒绝对一组计算机的访问在 IIS 管理器中,展开本地计算机,右键单击某个网站、目录或文件,然后单击“属性”。
单击“目录安全性”或“文件安全性”选项卡。
在“IP 地址和域名限制”部分中,单击“编辑”。
单击“授权访问”或“拒绝访问”。
当选择“拒绝访问”时,将拒绝所有计算机和域的访问权限,但您特别授予访问权限的计算机和域除外。
当选择“授权访问”时,将向所有计算机和域授予访问权限,但您特别拒绝访问权限的计算机和域除外。
单击“添加”。
单击“一组计算机”。
在“网络标识”框中,键入主机的 IP 地址。
在“子网掩码”框中,键入要授予或拒绝访问的计算机的子网标识。
单击“确定”三次。
根据以上讲解,我给87服务器中book网站iis的目录安全性——IP地址和域名限制中的设置如下:选择一组计算机——拒绝访问——下列除外:添加网络标识子网掩码145.48.51.1 255.255.255.0145.48.52.1 同上以下类推。
IIS7IIS7.5IIS8网站目录执行权限设置方法(与IIS6不同)
IIS7IIS7.5IIS8⽹站⽬录执⾏权限设置⽅法(与IIS6不同)
在IIS6.0中,对于站点每个⽂件夹,我们都可以在其属性对话框中将执⾏权限设置为⽆,当程序对⽂件夹有写⼊权限时,这个设置⾮常有⽤,它能防⽌⽤户上传脚本⽂件(.asp,.aspx)到服务器并运⾏:
IIS7也有这样的功能,但设置⽅法不太⼀样,步骤如下:
IIS7/IIS7.5中⽬录执⾏权限的设置⽅法
我们在建站的时候,通常有些⽬录必须给写⼊权限,这个时候这些⽬录就很可能被⼈写⼊脚本⽂件,为了将安全性维护得更好,我们可以关闭这些有写⼊权限的⽬录的脚本执⾏权限。
IIS6的时候,我们很容易找到关闭的地⽅,⽽IIS7时代,由于架构的变化,很多⼈找不到,这⾥我就给⼤家稍微说明⼀下怎么关闭特定⽹站⽬录的脚本执⾏权限。
第⼀步呢,我们在IIS的左侧选中该⽬录,切换到功能视图
第⼆步呢,打开“处理程序映射”功能
第三步呢,打开右侧的“编辑功能权限”,将“脚本”这⼀项取消掉即可①.单击选择需要设置权限的⽂件夹,在右边视图中双击打开"处理程序映射":
②.在右键菜单中选择"编辑功能权限...":
③.只钩选"读取"权限,确定后设置完成:
其它iis7.5是在设置的⽬录中web.config实现,以后可以通过复制web.config到指定⽬录即可。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
搭建网站IIS目录权限设置说明IIS Web 服务器的权限设置有两个地方,一个是NTFS 文件系统本身的权限设置,另一个是IIS 下网站->站点->属性->主目录(或站点下目录->属性->目录)面板上。
这两个地方是密切相关的。
下面我会以实例的方式来讲解如何设置权限。
IIS 下网站->站点->属性->主目录(或站点下目录->属性->目录)面板上有:脚本资源访问读取写入浏览记录访问索引资源6 个选项。
这6 个选项中,“记录访问”和“索引资源”跟安全性关系不大,一般都设置。
但是如果前面四个权限都没有设置的话,这两个权限也没有必要设置。
在设置权限时,记住这个规则即可,后面的例子中不再特别说明这两个权限的设置。
另外在这6 个选项下面的执行权限下拉列表中还有:无纯脚本纯脚本和可执行程序3 个选项。
而网站目录如果在NTFS 分区(推荐用这种)的话,还需要对NTFS 分区上的这个目录设置相应权限,许多地方都介绍设置everyone 的权限,实际上这是不好的,其实只要设置好Internet 来宾帐号(IUSR_xxxxxxx)或IIS_WPG 组的帐号权限就可以了。
如果是设置ASP、PHP 程序的目录权限,那么设置Internet 来宾帐号的权限,而对于 程序,则需要设置IIS_WPG 组的帐号权限。
在后面提到NTFS 权限设置时会明确指出,没有明确指出的都是指设置IIS 属性面板上的权限。
例1 —— ASP、PHP、 程序所在目录的权限设置:如果这些程序是要执行的,那么需要设置“读取”权限,并且设置执行权限为“纯脚本”。
不要设置“写入”和“脚本资源访问”,更不要设置执行权限为“纯脚本和可执行程序”。
NTFS 权限中不要给IIS_WPG 用户组和Internet 来宾帐号设置写和修改权限。
如果有一些特殊的配置文件(而且配置文件本身也是ASP、PHP 程序),则需要给这些特定的文件配置NTFS 权限中的Internet 来宾帐号( 程序是IIS_WPG 组)的写权限,而不要配置IIS 属性面板中的“写入”权限。
IIS 面板中的“写入”权限实际上是对HTTP PUT 指令的处理,对于普通网站,一般情况下这个权限是不打开的。
IIS 面板中的“脚本资源访问”不是指可以执行脚本的权限,而是指可以访问源代码的权限,如果同时又打开“写入”权限的话,那么就非常危险了。
执行权限中“纯脚本和可执行程序”权限可以执行任意程序,包括exe 可执行程序,如果目录同时有“写入”权限的话,那么就很容易被人上传并执行木马程序了。
对于 程序的目录,许多人喜欢在文件系统中设置成Web 共享,实际上这是没有必要的。
只需要在IIS 中保证该目录为一个应用程序即可。
如果所在目录在IIS 中不是一个应用程序目录,只需要在其属性->目录面板中应用程序设置部分点创建就可以了。
Web 共享会给其更多权限,可能会造成不安全因素。
也就是说一般不要打开-主目录-(写入),(脚本资源访问) 这两项以及不要选上(纯脚本和可执行程序),选(纯脚本)就可以了.需要的应用程序的如果应用程序目录不止应用程序一个程序的可以在应用程序文件夹上(属性)-目录-点创建就可以了.不要在文件夹上选web共享.例2 ——上传目录的权限设置:用户的网站上可能会设置一个或几个目录允许上传文件,上传的方式一般是通过ASP、PHP、 等程序来完成。
这时需要注意,一定要将上传目录的执行权限设为“无”,这样即使上传了ASP、PHP 等脚本程序或者exe 程序,也不会在用户浏览器里就触发执行。
同样,如果不需要用户用PUT 指令上传,那么不要打开该上传目录的“写入”权限。
而应该设置NTFS 权限中的Internet 来宾帐号( 程序的上传目录是IIS_WPG 组)的写权限。
如果下载时,是通过程序读取文件内容然后再转发给用户的话,那么连“读取”权限也不要设置。
这样可以保证用户上传的文件只能被程序中已授权的用户所下载。
而不是知道文件存放目录的用户所下载。
“浏览”权限也不要打开,除非你就是希望用户可以浏览你的上传目录,并可以选择自己想要下载的东西。
一般的一些asp.php等程序都有一个上传目录.比如论坛.他们继承了上面的属性可以运行脚本的.我们应该将这些目录从新设置一下属性.将(纯脚本)改成(无).例3 —— Access 数据库所在目录的权限设置:许多IIS 用户常常采用将Access 数据库改名(改为asp 或者aspx 后缀等)或者放在发布目录之外的方法来避免浏览者下载它们的Access 数据库。
而实际上,这是不必要的。
其实只需要将Access 所在目录(或者该文件)的“读取”、“写入”权限都去掉就可以防止被人下载或篡改了。
你不必担心这样你的程序会无法读取和写入你的Access 数据库。
你的程序需要的是NTFS 上Internet 来宾帐号或IIS_WPG 组帐号的权限,你只要将这些用户的权限设置为可读可写就完全可以保证你的程序能够正确运行了。
Internet 来宾帐号或IIS_WPG 组帐号的权限可读可写.那么Access所在目录(或者该文件)的“读取”、“写入”权限都去掉就可以防止被人下载或篡改了例4 ——其它目录的权限设置:你的网站下可能还有纯图片目录、纯html 模版目录、纯客户端js 文件目录或者样式表目录等,这些目录只需要设置“读取”权限即可,执行权限设成“无”即可。
其它权限一概不需要设置。
-----------------------------------------------------我是分割线------------------------------------------------------首先要有这样的思路:2000对应iis5.0 ,xp对应iis5.1 ,2003对应iis6.0配置Web 权限以下是根据发布的材料的用途来配置Web 权限的各种方法:启用读取、写入和目录浏览:启用这些权限允许客户端查看资源列表并进行修改(除非对这些资源没有写入权限)、发布自己的资源以及处理文件。
启用写入;并禁用读取和目录浏览:如果只想让客户端在目录中发布私人信息,而不希望别人查看所发布的内容,可以设置写入权限,但不设置读取和目录浏览权限。
该配置在客户端端提交选票或性能检查时非常有用。
启用读取和写入;并禁用目录浏览:如果希望通过隐藏文件名来提高安全性,可设置该配置。
然而,请注意,通过隐藏文件名来设置安全性是一种低级的安全防范措施,因为一个故意破坏者可通过试探和错误信息来猜测出文件名。
启用索引资源:如果打算让客户端搜索目录资源,请确保启用了索引服务。
保护脚本代码如果在发布目录中有一些不想让客户端看到的脚本文件,您可以通过不授予“脚本资源访问”权限来拒绝访问。
可执行文件将作为静态HTML 文件处理,除非为该目录启用了“脚本和可执行文件”。
要阻止 .exe 文件下载并作为HTML 文件来查看,但允许其运行,可在发布目录的“虚拟目录”属性页中,将执行权限更改为“脚本和可执行文件”。
这一权限级别使所有可执行文件受“脚本资源访问”设置的影响。
换句话说,如果选中了“脚本资源访问”,有读取权限的客户端可以看到所有的可执行文件;有写入权限的客户端既可运行它们,也可以编辑它们。
使用下面的权限,客户端可以在未出现在应用程序映射中的可执行文件中写入信息:已授予写入权限。
执行权限设置为“纯脚本”。
使用下面的权限,客户端可以向任何可执行文件中写入信息,不论它们是否出现在应用程序映射中:已授予“脚本资源访问”权限。
执行权限设置为“脚本和可执行文件”。
让我们打开一个IIS服务器来看看。
在IIS 服务管理器中,选择一个目录,看他的属性,在目录属性项有有这么一些选项(日志访问和索引此资源不计):脚本资源访问:对网站的脚本可以读取原文件。
读取读取目录里面的静态资源。
写入用户可以建立以及删除资源目录浏览用户可以浏览目录内容。
应用程序设置的执行许可中有三个选项:无只能访问静态页面纯脚本只允许允许脚本如ASP脚本脚本和可执行程序可以访问和执行各种文件类型那么,如何确定服务器上面的这些开关设置呢?别着急,一个一个来。
执行权限如何确定某个目录是否开了执行权限呢?很简单,向服务器发送一个下面得请求:http://iis-server/dir/no-such-file.dll/dir/为要判断得目录,no-such-file.dll是随便取得一个名字,服务器上面没有这个文件。
服务器对我们得请求会返回一个信息。
如果返回的是一个500错误:HTTP 500 - 内部服务器错误(Internal Server error)那么就说明这个目录的执行权限是开着的。
对于服务器,能不开执行权限的就不要开。
特别是虚拟目录的执行权限,大家想一想UNICODE和二次解码漏洞的利用过程就明白了。
如果服务器返回的是一个404 错误:HTTP 404 - 未找到文件,那么就说明这个目录的执行权限没有开。
写权限测试一个目录对于web用户是否具有写权限,采用如下方法:telnet 到服务器的web端口(80)并发送一个如下请求:PUT /dir/my_file.txt HTTP/1.1Host: iis-serverContent-Length: 10 <enter><enter>这时服务器会返回一个100( 继续)的信息:HTTP/1.1 100 ContinueServer: Microsoft-IIS/5.0Date: Thu, 28 Feb 2002 15:56:00 GMT接着,我们输入10个字母:AAAAAAAAAA送出这个请求后,看服务器的返回信息,如果是一个201 Created响应:HTTP/1.1 201 CreatedServer: Microsoft-IIS/5.0Date: Thu, 28 Feb 2002 15:56:08 GMTLocation: http://iis-server/dir/my_file.txtContent-Length: 0Allow: OPTIONS, TRACE, GET, HEAD, DELETE, PUT, COPY, MOVE, PROPFIND,PROPPATCH, SEARCH, LOCK, UNLOCK那么就说明这个目录的写权限是开着的,反之,如果返回的是一个403 错误,那么写权限就是没有开起来,如果需要你认证,并且返回一个401(权限禁止) 的响应的话,说明是开了写权限,但是匿名用户不允许。
如果一个目录同时开了”写”和“脚本和可执行程序”的话,那么web用户就可以上传一个程序并且执行它,恐怖哦%^#$!~纯脚本执行权限这样的目录就太多了。