权限如何配置Win2003的NTFS文件系统权限及IIS权限设置参考

windows 2003文件服务器详细权限设置windowserver2003文件服务器要求达到如下目标

1 网络管理员对所有共享文件夹都拥有完全控制权

2 所有员工对公共文件夹只拥有读取权限

3 每位员工只对自己的私人文件夹拥有完全控制权且不能读取其他员工的文件夹

4 每位员工所能使用的磁盘空间有一定限制并且已用空间达到一定程度后会得到警告。

创建用户和文件夹

首先为每位员工创建用户账户并且在磁盘的NTFS分区中规划合理的文件夹结构。私人文件夹以员工姓名命名在域中添加用户的过程简述如下

1.依次单击“开始/管理工具/Active Directory用户和计算机” 在打开窗口的左窗格中右击“Users”容器执行“新建/用户”命令。

2.在打开的“新建对象→用户”对话框中键入用户登录名如

“hongxiaowei” 和用户的全称如“洪晓卫”  。单击“下一步”按钮在密码设置选项卡中设定密码并依次单击“下一步/完成”按钮。重复此过程创建其他用户如图1 。

图1创建用户账户

安装文件服务器

因为在默认情况下Windows Server 2003并没有安装“文件服务器”组件因此手动将这些组件添加了进来。

1.依次单击“开始/管理工具/管理您的服务器” 打开“管理您的服务器”窗口。在“管理您的服务器角色”区域中单击“添加或删除角色”按钮进入配置向导并单击“下一步”按钮。

2.配置向导检测完网络设置后打开“服务器角色”选项卡。在“服务器角色”列表中选中“文件服务器”选项并单击“下一步”按钮。

3.在打开的“文件服务器磁盘配额”选项卡中勾选“为此服务器的新用户设置默认磁盘空间配额”复选框然后根据磁盘剩余空间及用户实际需要在“将磁盘空间限制为”和“将警告级别设置为”编辑框中键入合适的数值。另外勾选“拒绝将磁盘空间给超过配额限制的用户”复选框可以禁止用户在其已用磁盘空间达到限额后向服务器写入数据。单击“下一步”按钮如图2 。

图2设置磁盘配额

4.在“文件服务器索引服务”选项卡中点选“是启用索引服务”单选框启用对共享文件夹的索引服务。索引服务对服务器资源的开销很大建议只有在用户需要经常搜索共享文件夹的情况下才启用该服务单击“下一步”按钮。

5.打开“选择总结”选项卡确认选项设置准确无误后单击“下一步”按钮。添加向导开始启用所选服务完成后会自动打开“共享文件夹向导” 。单击“下一步”按钮。

6.在打开的“文件夹路径”选项卡中单击“浏览”按钮从本地磁盘中找到“公共资源”文件夹单击“确定/下一步”按钮。在“名称、描述和设置”选项卡中设置共享名如“公共资源”  单击“下一步”按钮。

7.在“权限”选项卡中点选“管理员有完全访问权限其他用户有只读访问权限”单选框并依次单击“完成/关闭/完成”按钮结束设置如图3 。

图3指定权限

设置私人文件夹访问权限

现在所有员工已经拥有了对“公共资源”的读取权限。然而还要求每位员工只对自己的私人文件夹拥有完全控制权且不能读取其他员工的文件夹因此针对每个私人文件夹进行了访问权限的设置。

1.依次单击“开始/管理工具/文件服务器管理”菜单项打开“文件服务器管理”控制台。在右窗格中单击“添加共享文件夹”选项进入“共享文件夹向导” 。依次单击“下一步/浏览”按钮在打开的“浏览文件夹”对话框中找到并选中某位员工的私人文件夹如“洪晓卫”  依次单击“确定/下一步/下一步”按钮。

2.在打开的“权限”选项卡中点选“使用自定义共享和文件夹共享”单选框并单击“自定义”按钮。在打开的“自定义权限”对话框中单击“删除”按钮将“Everyone”组删除。依次单击“添加/高级/立即查找”按钮然后按住“Ctrl”键在“搜索结果”列表框中找到并选中“Administrators”组和“洪晓卫” 依次单击“确定/确定”按钮。

3. 回到“自定义权限”对话框分别为“洪晓卫的权限”和

“Administrators的权限”勾选“允许完全控制” 单击“完成/关闭”按钮。重复上述步骤为其它文件夹设置相应的访问权限如图4 。

图4设置用户权限

为了验证所做设置的正确性可以在一台运行Windows XP的客户机使用已经添加到域中的用户如“hongxiaowei” 登录到域。通过“网上邻居” 也可通过UNC路径可以读取“公共资源”文件夹中的文件并且可以完全控制“洪晓

卫”文件夹但无法读取其他员工的私人文件夹。

看了这篇文章大概了解“win2003文件服务器权限设置”的概念和操作现在简单介绍我的实验我没有使用域啊

1 在“管理工具”—“计算机管理”—“本地用户和组”添加3个用户并设置密码:user1 user2 user3

2 然后建立一个community文件夹管理员拥有所有权限客服端都只能读

继续分别建立3个文件夹分别私人隶属于3个用户 user1 user2 user3

3最后用“管理工具”—“文件服务器管理”中设置4个文件夹community(administrators everynoe) 、user1 (administrators user1) 、 user2(administrators user2) 、 user3(administrators user3)各

自隶属于用户和权限

4 然后用一台进行测试分别以三种身份访问文件服务器

1管理员administrator能访问所有文件夹并有所有权限

2客户端everyone只能读community且不能访问user1 user2 user3

3user1能读community且完全控制user1文件夹user2和user3同理

如何配置Win2003的NTFS文件系统权限

一、首先了解权限设置的方案

1、被授予权限的对象分用户和用户组两种

2、批量设置有两大方案 当设置某个目录的权限时进入高级

I可设置是否继承父级权限设置 第一个勾

II可设置是否替换子目录及文件的权限设置 第二个勾

二、系统盘主要目录的权限设置

C:只授予System和Administrators完全控制权限删除其他用户或组不替换子目录

C:\Documents and Settings

仅继承父级并替换子目录

C:\Inetpub

删除之不要使用该目录作为网站发布的目录。

C:\Program Files

仅继承父级并替换子目录

C:\Program Files\Common Files\Microsoft Shared

删除继承并保留设置在“高级”中取消第一个勾再在弹出的对话中选“复制” 添加Users组只授予读取权限

将该目录的设置替换它的子目录勾中第二个勾

C:\Windows

删除继承并保留设置

添加Users组只授予读取权限

将该目录的设置替换它的子目录

具体做法和上面/Microsoft Shared 目录设置一样

C:\Windows\Temp

添加IIS_WPG、 ASPNET、 Network Services、 Network用户或组

授予完全控制权限替换它的子目录

C:\Windows\Microsoft.NET\Framework\v1. 1.4322\Temporary ASP.NET Files

添加Everyone授予完全控制权限将该设置替换它的子目录

三、其他盘的设置

C盘设置完成其他盘均仅给System和Administrators授予完全控制即可。

网站发布目录授予I IS匿名用户读取访问权限。需要.NET权限的目录添加I IS_WPG组或隶属于该组的某个用户 授予完全控制权限。

IIS权限设置参考

虽然Apache的名声可能比IIS好但我相信用IIS来做Web服务器的人一定也不少。说实话我觉得IIS还是不错的性能和稳定性都相当不错。但是我发现许多用IIS的人不太会设置Web服务器的权限 因此 出现漏洞被人黑掉也就不足为奇了。但我们不应该把这归咎于IIS的不安全。如果对站点的每个目录都配以正确的权限 出现漏洞被人黑掉的机会还是很小的

Web应用程序本身有问题和通过其它方式入侵黑掉服务器的除外 。下面是我在配置过程中总结的一些经验希望对大家有所帮助。

IISWeb服务器的权限设置有两个地方一个是NTFS文件系统本身的权限设置另一个是IIS下网站->站点->属性->主目录或站点下目录->属性->目录面板上。这两个地方是密切相关的。下面我会以实例的方式来讲解如何设置权限。

IIS下网站->站点->属性->主目录或站点下目录->属性->目录面板上有脚本资源访问

免费收录网站www.admin5.net

读取

写入

浏览

记录访问

索引资源

6个选项。这6个选项中 “记录访问”和“索引资源”跟安全性关系不大一般都设置。但是如果前面四个权限都没有设置的话这两个权限也没有必要设置。在设置权限时记住这个规则即可后面的例子中不再特别说明这两个权限的设置。

另外在这6个选项下面的执行权限下拉列表中还有

无

纯脚本

纯脚本和可执行程序

3个选项。

而网站目录如果在NTFS分区推荐用这种的话还需要对NTFS分区上的这个目录设置相应权限许多地方都介绍设置everyone的权限实际上这是不好的其实只要设置好I nte rnet来宾帐号I U SR_xxxxxxx或IIS_WPG组的帐号权限就可以了。如果是设置ASP、 PHP程序的目录权限那么设置Internet来宾帐号的权限而对于ASP.NET程序则需要设置IIS_WPG组的帐号权限。在后面提到NTFS权限设置时会明确指出没有明确指出的都是指设置IIS属性面板上的权限。

例1——ASP、 PHP、 ASP.NET程序所在目录的权限设置

如果这些程序是要执行的那么需要设置“读取”权限并且设置执行权限为“纯

脚本”。不要设置“写入”和“脚本资源访问”更不要设置执行权限为“纯脚本和可执行程序”。 NTFS权限中不要给IIS_WPG用户组和Internet来宾帐号设置写和修改权限。如果有一些特殊的配置文件而且配置文件本身也是ASP、 PHP程序 则需要给这些特定的文件配置NTFS权限中的Internet来宾帐号

ASP.NET程序是IIS_WPG组的写权限而不要配置IIS属性面板中的“写入”权限。

站长必看的网站www.admin5.com

IIS面板中的“写入”权限实际上是对HTTP PUT指令的处理对于普通网站一般情况下这个权限是不打开的。

IIS面板中的“脚本资源访问”不是指可以执行脚本的权限而是指可以访问源代码的权限如果同时又打开“写入”权限的话那么就非常危险了。

执行权限中“纯脚本和可执行程序”权限可以执行任意程序包括exe可执行程序如果目录同时有“写入”权限的话那么就很容易被人上传并执行木马程序了。对于ASP.NET程序的目录许多人喜欢在文件系统中设置成Web共享实际上这是没有必要的。只需要在IIS中保证该目录为一个应用程序即可。如果所在目录在IIS中不是一个应用程序目录只需要在其属性->目录面板中应用程序设置部分点创建就可以了。Web共享会给其更多权限可能会造成不安全因素。

剑心总结:也就是说一般不要打开-主目录-(写入),(脚本资源访问)这两项以及不要选上(纯脚本和可执行程序),选(纯脚本)就可以了.需要a s p.net的应用程序的如果应用程序目录不止应用程序一个程序的可以在应用程序文件夹上(属性)-目录-点创建就可以了.不要在文件夹上选web共享.

例2——上传目录的权限设置

用户的网站上可能会设置一个或几个目录允许上传文件上传的方式一般是通过ASP、 PHP、ASP.NET等程序来完成。这时需要注意一定要将上传目录的执行权限设为“无”这样即使上传了ASP、 PHP等脚本程序或者exe程序也不会在用户浏览器里就触发执行。 网站精华top.admin5.com

同样如果不需要用户用PUT指令上传那么不要打开该上传目录的“写入”权限。而应该设置NTFS权限中的Internet来宾帐号ASP.NET程序的上传目录是I I S_W PG组的写权限。

如果下载时是通过程序读取文件内容然后再转发给用户的话那么连“读取”权限也不要设置。这样可以保证用户上传的文件只能被程序中已授权的用户所下载。而不是知道文件存放目录的用户所下载。 “浏览”权限也不要打开除非你就是希望用户可以浏览你的上传目录并可以选择自己想要下载的东西。

剑心总结:一般的一些asp.php等程序都有一个上传目录.比如论坛.他们继承了上面的属性可以运行脚本的.我们应该将这些目录从新设置一下属性.将(纯脚本)改成(无).

例3——Access数据库所在目录的权限设置

许多IIS用户常常采用将Access数据库改名改为asp或者aspx后缀等或者放在发布目录之外的方法来避免浏览者下载它们的Access数据库。而实际上这是不必要的。其实只需要将Access所在目录或者该文件的“读取”、 “写入”权限都去掉就可以防止被人下载或篡改了。你不必担心这样你的程序会无法读取和写入你的Access数据库。你的程序需要的是NTFS上Internet来宾帐号或IIS_WPG组帐号的权限你只要将这些用户的权限设置为可读可写就完全可以保证你的程序能够正确运行了。

站长网www.admin5.com

剑心总结:Internet来宾帐号或IIS_WPG组帐号的权限可读可写.那么Access所在目录或者该文件的“读取”、 “写入”权限都去掉就可以防止被人下载或篡改了

例4——其它目录的权限设置

你的网站下可能还有纯图片目录、纯html模版目录、纯客户端js文件目录或者样式表目录等这些目录只需要设置“读取”权限即可执行权限设成“无”即可。其它权限一概不需要设置。

好了我想上面的几个例子已经包含了大部分情况下的权限设置其它情况根据这些例子我想你一定可以想到该如何设置了吧。

Window s2003服务器安装及设置教程---文件及文件夹权限

删除所有的E verone权限包括

所有磁盘根目录

C:\Window s

C:\Documents and Settings

C:\Documents and Settings\All Users

C:\Documents and Settings\All Users\Documents

C:\Inetpub\wwwroot\aspnet_c lien t

C:\Documents and Settings\All Users\Applic ation Data\Microsoft

C:\Documents and Settings\All Users\Applic ation Data\Microsoft\HTML Help

删除所有的C REATOR OWNER权限包括

所有磁盘根目录

C:\Window s

C:\Window s\repair

C:\Window s\system32

C:\Window s\system32\wbem

C:\Window s\system32\config

C:\Program Files

C:\Program Files\WindowsUpdate

C:\Documents and Settings\All Users\Documents

C:\Documents and Settings\All Users\Applic ation Data

删除所有的P ower Users权限包括

所有磁盘根目录

C:\Window s

C:\Window s\repair

C:\Window s\system32

C:\Window s\system32\wbem

C:\Window s\system32\config

C:\Program Files

C:\Documents and Settings

C:\Program Files\WindowsUpdate

C:\Documents and Settings\All Users

C:\Documents and Settings\All Users\Documents

C:\Documents and Settings\All Users\Applic ation Data

C:\Documents and Settings\All Users\Applic ation Data\Microsoft

C:\Documents and Settings\All Users\Applic ation Data\Microsoft\HTML Help删除所有的T ERMINA LSERVER USER权限包括

C:\Program Files

删除的所有的users的访问权限包括

所有磁盘根目录

C:\Documents and Settings\All Users

C:\Documents and Settings\All Users\Documents" \r"users" \e

C:\Documents and Settings\All Users\Applic ation Data" \r "users" \e

C:\Documents and Settings

C:\Window s

C:\Window s\addins

C:\Window s\AppPatch

C:\Window s\Connection Wizard

C:\Window s\Debug

C:\Window s\Driver Cache

C:\Window s\He lp

C:\Window s\IIS Temporary Compressed Files

C:\Window s\java

C:\Window s\ms agent

C:\Window s\mui

C:\Window s\repair

C:\Window s\Res ourc es

C:\Window s\s ecurity