iis網站訪問許可權設置
A. IIS許可權問題
iis配置問題google一下,這個比較全,你試試1、錯誤號401.1
症狀:HTTP 錯誤 401.1 - 未經授權:訪問由於憑據無效被拒絕。
分析:
由於用戶匿名訪問使用的賬號(默認是IUSR_機器名)被禁用,或者沒有許可權訪問計算機,將造成用戶無法訪問。
解決方案:
(1)查看IIS管理器中站點安全設置的匿名帳戶是否被禁用,如果是,請嘗試用以下辦法啟用:
控制面板->管理工具->計算機管理->本地用戶和組,將IUSR_機器名賬號啟用。如果還沒有解決,請繼續下一步。
(2)查看本地安全策略中,IIS管理器中站點的默認匿名訪問帳號或者其所屬的組是否有通過網路訪問伺服器的許可權,如果沒有嘗試用以下步驟賦予許可權:
開始->程序->管理工具->本地安全策略->安全策略->本地策略->用戶許可權分配,雙擊「從網路訪問此計算機」,添加IIS默認用戶或者其所屬的組。
注意:一般自定義 IIS默認匿名訪問帳號都屬於組,為了安全,沒有特殊需要,請遵循此規則。2、錯誤號401.2
症狀:HTTP 錯誤 401.2 - 未經授權:訪問由於伺服器配置被拒絕。
原因:關閉了匿名身份驗證
解決方案:
運行inetmgr,打開站點屬性->目錄安全性->身份驗證和訪問控制->選中「啟用匿名訪問」,輸入用戶名,或者點擊「瀏覽」選擇合法的用戶,並兩次輸入密碼後確定。3、錯誤號:401.3
症狀:HTTP 錯誤 401.3 - 未經授權:訪問由於 ACL 對所請求資源的設置被拒絕。
原因:IIS匿名用戶一般屬於Guests組,而我們一般把存放網站的硬碟的許可權只分配給administrators組,這時候按照繼承原則,網站文件夾也只有administrators組的成員才能訪問,導致IIS匿名用戶訪問該文件的NTFS許可權不足,從而導致頁面無法訪問。
解決方案:
給IIS匿名用戶訪問網站文件夾的許可權,方法:進入該文件夾的安全選項,添加IIS匿名用戶,並賦予相應許可權,一般是讀、寫。
您未被授權查看該頁
您不具備使用所提供的憑據查看該目錄或頁的許可權,因為 Web 瀏覽器正在發送 Web 伺服器未配置接受的 WWW-Authenticate 報頭欄位。請嘗試以下操作:如果您認為自己應該能夠查看該目錄或頁面,請與網站管理員聯系。
單擊刷新按鈕,並使用其他憑據重試。
HTTP 錯誤 401.2 - 未經授權:訪問由於伺服器配置被拒絕。
Internet 信息服務 (IIS)技術信息(為技術支持人員提供)轉到 Microsoft 產品支持服務並搜索包括「HTTP」和「401」的標題。
打開「IIS 幫助」(可在 IIS 管理器 (inetmgr) 中訪問),然後搜索標題為「關於安全」、「身份驗證」和「關於自定義錯誤消息」的主題。只要一打開WEB這個目錄就不行
換個名子就可以了~!
暈~1
把WEB這個目錄刪了
你在打還是您未被授權查看該頁
換個就可以了/~!IIS特有的問題在IIS中選中這個文件夾點右鍵-屬性-執行許可選「純腳本」試試iis里你的虛擬目錄,屬性-〉目錄安全性-〉編輯身份驗證和訪問控制網站屬性里把「目錄安全」-點「身分驗證和訪問控制」-「編輯」-去掉「啟用匿名訪問「鉤去了就可以了很多朋友在用IIS6架網站的時候遇到不少問題,而這些問題有些在過去的IIS5裡面就遇到過,有些是新出來的,俺忙活了一下午,做了很多次試驗,結合以前的排錯經驗,做出了這個總結,希望能給大家幫上忙:)
問題1:未啟用父路徑
症狀舉例:
Server.MapPath() 錯誤 'ASP 0175 : 80004005'
不允許的 Path 字元
/0709/dqyllhsub/news/OpenDatabase.asp,行 4
在 MapPath 的 Path 參數中不允許字元 '..'。
原因分析:
許多Web頁面里要用到諸如../格式的語句(即回到上一層的頁面,也就是父路徑),而IIS6.0出於安全考慮,這一選項默認是關閉的。
解決方法:
在IIS中屬性->主目錄->配置->選項中。把」啟用父路徑「前面打上勾。確認刷新。問題2:ASP的Web擴展配置不當(同樣適用於ASP.NET、CGI)
症狀舉例:
HTTP 錯誤 404 - 文件或目錄未找到。
原因分析:
在IIS6.0中新增了web程序擴展這一選項,你可以在其中對ASP、ASP.NET、CGI、IDC等程序進行允許或禁止,默認情況下ASP等程序是禁止的。
解決方法:
在IIS中的Web服務擴展中選中Active Server Pages,點擊「允許」。問題3:身份認證配置不當
症狀舉例:
HTTP 錯誤 401.2 - 未經授權:訪問由於伺服器配置被拒絕。
原因分析:IIS 支持以下幾種 Web 身份驗證方法:
匿名身份驗證
IIS 創建 IUSR_計算機名稱 帳戶(其中 計算機名稱 是正在運行 IIS 的伺服器的名稱),用來在匿名用戶請求 Web 內容時對他們進行身份驗證。此帳戶授予用戶本地登錄許可權。你可以將匿名用戶訪問重置為使用任何有效的 Windows 帳戶。
基本身份驗證
使用基本身份驗證可限制對 NTFS 格式 Web 伺服器上的文件的訪問。使用基本身份驗證,用戶必須輸入憑據,而且訪問是基於用戶 ID 的。用戶 ID 和密碼都以明文形式在網路間進行發送。
Windows 集成身份驗證
Windows 集成身份驗證比基本身份驗證安全,而且在用戶具有 Windows 域帳戶的內部網環境中能很好地發揮作用。在集成的 Windows 身份驗證中,瀏覽器嘗試使用當前用戶在域登錄過程中使用的憑據,如果嘗試失敗,就會提示該用戶輸入用戶名和密碼。如果你使用集成的 Windows 身份驗證,則用戶的密碼將不傳送到伺服器。如果該用戶作為域用戶登錄到本地計算機,則他在訪問此域中的網路計算機時不必再次進行身份驗證。
摘要身份驗證
摘要身份驗證克服了基本身份驗證的許多缺點。在使用摘要身份驗證時,密碼不是以明文形式發送的。另外,你可以通過代理伺服器使用摘要身份驗證。摘要身份驗證使用一種挑戰/響應機制(集成 Windows 身份驗證使用的機制),其中的密碼是以加密形式發送的。
.NET Passport 身份驗證
Microsoft .NET Passport 是一項用戶身份驗證服務,它允許單一簽入安全性,可使用戶在訪問啟用了 .NET Passport 的 Web 站點和服務時更加安全。啟用了 .NET Passport 的站點會依* .NET Passport 中央伺服器來對用戶進行身份驗證。但是,該中心伺服器不會授權或拒絕特定用戶訪問各個啟用了 .NET Passport 的站點。
解決方法:
根據需要配置不同的身份認證(一般為匿名身份認證,這是大多數站點使用的認證方法)。認證選項在IIS的屬性->安全性->身份驗證和訪問控制下配置。
問題4:IP限制配置不當
症狀舉例:
HTTP 錯誤 403.6 - 禁止訪問:客戶端的 IP 地址被拒絕。
原因分析:
IIS提供了IP限制的機制,你可以通過配置來限制某㊣P不能訪問站點,或者限制僅僅只有某些IP可以訪問站點,而如果客戶端在被你阻止的IP范圍內,或者不在你允許的范圍內,則會出現錯誤提示。
解決方法:
進入IIS的屬性->安全性->IP地址和域名限制。如果要限制某些IP地址的訪問,需要選擇授權訪問,點添加選擇不允許的IP地址。反之則可以只允許某些IP地址的訪問。
問題5:IUSR賬號被禁用
症狀舉例:
HTTP 錯誤 401.1 - 未經授權:訪問由於憑據無效被拒絕。
原因分析:
由於用戶匿名訪問使用的賬號是IUSR_機器名,因此如果此賬號被禁用,將造成用戶無法訪問。
解決辦法:
控制面板->管理工具->計算機管理->本地用戶和組,將IUSR_機器名賬號啟用。
問題6:NTFS許可權設置不當
症狀舉例:
HTTP 錯誤 401.3 - 未經授權:訪問由於 ACL 對所請求資源的設置被拒絕。
原因分析:
Web客戶端的用戶隸屬於user組,因此,如果該文件的NTFS許可權不足(例如沒有讀許可權),則會導致頁面無法訪問。
解決辦法:
進入該文件夾的安全選項卡,配置user的許可權,至少要給讀許可權。關於NTFS許可權設置這里不再饋述。
問題7:IWAM賬號不同步
症狀舉例:
HTTP 500 - 內部伺服器錯誤
原因分析:
IWAM賬號是安裝IIS時系統自動建立的一個內置賬號。IWAM賬號建立後被Active Directory、IIS metabase資料庫和COM+應用程序三方共同使用,賬號密碼被三方分別保存,並由操作系統負責這三方保存的IWAM密碼的同步工作。系統對IWAM賬號的密碼同步工作有時會失效,導致IWAM賬號所用密碼不統一。
解決辦法:
如果存在AD,選擇開始->程序->管理工具->Active Directory用戶和計算機。為IWAM賬號設置密碼。
運行c:\\Inetpub\\AdminScripts>adsutil SET w3svc/WAMUserPass +密碼 同步IIS metabase資料庫密碼
運行cscript c:\\inetpub\\adminscripts\\synciwam.vbs -v 同步IWAM賬號在COM+應用程序中的密碼
問題8:MIME設置問題導致某些類型文件無法下載(以ISO為例)
症狀舉例:
HTTP 錯誤 404 - 文件或目錄未找到。
原因分析:
IIS6.0取消了對某些MIME類型的支持,例如ISO,致使客戶端下載出錯。
解決方法:
在IIS中屬性->HTTP頭->MIME類型->新建。在隨後的對話框中,擴展名填入.ISO,MIME類型是application。
另外,防火牆阻止,ODBC配置錯誤,Web伺服器性能限制,線程限制等因素也是造成IIS伺服器無法訪問的可能原因,這里就不再一一饋述了
B. IIS的許可權設置,
許可權只與網站安全性相關的
一般IIS裡面設置為網站匿名訪問的,除非你打算使用區域網訪問,這樣的話,就得設置IIS許可權,採用windows驗證了
提高網站性能的話,建議採取以下措施:
1.資料庫優化
2.緩存最大化
C. iis無許可權訪問,怎麼辦
先確認IIS匿名賬戶是否有許可權訪問這個目錄,右擊該目錄右鍵共享和安全-安全,添加IIS匿名賬戶進去,一般為IUSR這個賬戶,如果實在不懂可以直接添加everyone進去再測試一下看看,一般都可以的
出現的錯誤如下:
您無權查看該網頁
您可能沒有許可權用您提供的憑據查看此目錄或網頁。
解決辦法:
1、沒有設置好首頁文件
打開IIS然後依次打開該網站的屬性--文檔--添加,把需要設置成首頁的文件填上去,如index.html,iis默認文檔上是index.htm而不是index.html,注意這一點,當初在這個細節上耽誤了些時間;
2、沒有允許ASP
打開IIS然後找到「web 服務擴展」,把「Active Server Pages」允許就行了
3、許可權設置錯誤
全部都使用「IUSR_計算機名稱」這個賬戶
打開網站目錄的文件夾,右鍵屬性--共享和安全--添加,右邊會有一個「立即查找」,然後找到「IUSR_計算機名稱」這個用戶即可
打開IIS然後依次打開該網站的屬性--目錄安全性,這里會有一個IP和身份驗證,點擊一下「編輯」,然後會選「瀏覽」,就會有一個「立即查找」,然後找到「IUSR_計算機名稱」這個用戶即可
匿名身份驗證
IIS 創建 IUSR_計算機名稱 帳戶(其中 計算機名稱 是正在運行 IIS 的伺服器的名稱),用來在匿名用戶請求 Web 內容時對他們進行身份驗證。此帳戶授予用戶本地登錄許可權。你可以將匿名用戶訪問重置為使用任何有效的 Windows 帳戶。
4、沒有設置執行的許可權
打開IIS然後依次打開該網站的屬性--主目錄,
首先勾選「腳本資源訪問」,然後將最下面的「執行許可權」修改成「純腳本」
D. IIS中的許可權該怎麼設置
你可能理解錯了,網站讀寫許可權是文件系統級別的,並不是說IIS許可權的設置,IIS一般默認設置就是最好的。關於讀寫許可權問題,是因為你的網站目錄存放的並非是NTFS文件系統下,不能做詳細的許可權分配!需要先轉換所在分區的文件系統格式!具體可以參見FAT32轉NTFS系統。然後在WEB目錄屬性里調整許可權為完全控制即可
E. win7 iis6部署網站怎麼配置許可權
打開iis6,展開「網站」文件夾,右擊部署好的網站的名稱,如下圖的Test,在菜單中選擇「編輯許可權」
win7 iis6部署網站怎麼配置許可權
在彈出框中,可以看到Test網站對應的物理文件夾
win7 iis6部署網站怎麼配置許可權
點擊彈出窗口的「安全」,可以看到目前可以訪問文件夾的組或用戶名,以及他們的許可權
win7 iis6部署網站怎麼配置許可權
4
點擊某個「組或用戶名」,在下方就會顯示他擁有的各項許可權
win7 iis6部署網站怎麼配置許可權
5
需要注意的是,這里設置的是網站對應的物理文件夾的許可權。一般在部署完網站時,會默認給Authenticated Users賦予相應許可權,有這個默認許可權,網站就可以正常運行了。如下圖所示
F. 如何使用IIS授予對Web伺服器許可權
不過,您可以更改網站中任何文件夾或文件的許可權。例如,您可以使用 Web 伺服器許可權來控制是否允許網站訪問者查看某一特定網頁、載入信息或運行腳本。
當同時配置 Web 伺服器許可權和 Windows NTFS 許可權時,您可以在多個級別(從整個網站到單個文件)控制用戶訪問 Web 內容的方式。
1. 啟動 Internet 服務管理器。或者啟動 IIS 管理單元。
2. 單擊以展開* server name,其中 server name 是伺服器的名稱。
3. 右鍵單擊要為用戶授予訪問許可權的網站、虛擬目錄、文件夾或文件,然後單擊屬性。
4. 根據您的具體情況單擊下列選項卡之一:
主目錄、 虛擬目錄、目錄、文件
5. 單擊以選中或清除下列任何一個對應要授予的 Web 許可權級別的復選框(如果存在): 腳本資源訪問:授予此許可權將允許用戶訪問源代碼。腳本資源訪問包含腳本的源代碼,如 Active Server Pages (ASP) 程序中的腳本。注意,此許可權只有在授予讀取或寫入許可權時才可用。
注意:如果單擊腳本資源訪問,用戶將可以從 ASP 程序的腳本中查看到敏感信息,例如用戶名和密碼。他們還將能夠更改您的伺服器上運行的源代碼,這會嚴重影響伺服器的安全和性能。建議您使用單個的 Windows 帳戶和更高級別的身份驗證(如集成的 Windows 身份驗證)來處理對此類信息和這些功能的訪問。
讀取:授予此許可權將允許用戶查看或下載文件或文件夾及其相關屬性。讀取許可權默認情況下是選中的。
寫入:授予此許可權將允許用戶把文件及其相關屬性上載到伺服器中啟用的文件夾,或允許用戶更改啟用了寫入許可權的文件的內容或屬性。
目錄瀏覽:授予此許可權將允許用戶查看虛擬目錄中的文件和子文件夾的超文本列表。請注意,文件夾列表中並不顯示虛擬目錄;用戶必須知道虛擬目錄的別名。
注意:如果下列兩個條件都滿足,則當用戶試圖訪問伺服器上的文件或文件夾時,Web 伺服器將在用戶的 Web 瀏覽器中顯示一條Access Forbidden(禁止訪問)錯誤信息: 目錄瀏覽被禁用。
用戶未在地址框中指定文件名,如 Filename.htm。
記錄訪問:授予此許可權可在日誌文件中記錄對此文件夾的訪問。只有在為網站啟用了日誌記錄時才會記錄日誌條目。
索引資源:授予此許可權將允許 Microsoft 索引服務在網站的全文索引中包含該文件夾。授予此項許可權後,用戶將可以對此資源執行查詢。
6. 在執行許可權框中,選擇一個設置以確定想讓腳本在此網站上以何種方式運行。可以使用以下設置:? 無:如果不希望用戶在伺服器上運行腳本或可執行的程序,則請單擊此設置。當使用此設置時,用戶只能訪問靜態文件,如超文本標記語言 (HTML) 文件和圖像文件。
僅腳本:單擊此設置可在伺服器上運行諸如 ASP 程序之類的腳本。
腳本和可執行文件:單擊此設置可在伺服器上同時運行 ASP 程序之類的腳本和可執行程序。
7. 單擊確定,然後退出Internet 服務管理器或退出 IIS 管理單元。
注意: 在您嘗試更改網站或虛擬目錄的安全屬性時,IIS 會檢查該網站或虛擬目錄中包含的子節點(虛擬目錄和文件)上的現有設置。如果在較低級別上設置的許可權不同,則 IIS 會顯示一個繼承覆蓋對話框。要指定哪些子節點應該繼承您在較高級別上設置的許可權,請單擊子節點列表中的一個或多個節點,然後單擊確定。子節點將繼承新的許可權設置。
如果文件夾或文件的 Web 許可權和 NTFS 許可權不同,則將使用這兩種設置中限制條件較嚴格的設置。
G. 如何在iis中配置許可權,使區域網用戶可以訪問,其他用戶不能訪問(詳細講解)
樓上說的對,但我想你問的不是外網訪問區域網的問題吧?
進路由設置MAC地址過濾吧。這樣比較簡單也容易弄。
如果是IIS伺服器的話,就需要點專業知識了。看看網路老師怎麼說的吧:
搭建IIS伺服器應該注意的安全問題 1.iis安全設置之安裝系統補丁。對於伺服器來說就特別重要,因為安全補丁關乎到系統安全,而微軟網站經常發布最新的系統安全補丁,可以用系統自帶的windows update程序隨時更新。 2.iis安全設置之FTP目錄的設定。FTP目錄沒有設置也容易被別人攻擊,一般的就是將主目錄指定到邏輯盤。為了安全,要對每個目錄按不同的用戶設置不同的訪問許可權,然後關閉一些不需要的服務,這樣可以對不良人士利用IIS溢出漏洞訪問到系統盤作個第一級防護。 3.iis安全設置之埠設置。IIS有默認的埠設置,只要稍有計算機知識的人都會記得這些埠的,要破解的話就十分的方便,所以盡量不要使用21這個默認埠號,並啟用日誌,以便FTP服務出現異常時檢查。
編輯本段對IIS服務的遠程管理
三、對IIS服務的遠程管理 1.在「管理Web站點」上單擊右鍵,選「屬性」,再進入「Web站點」窗口,選擇好「IP地址」。 2.轉到「目錄安全性」窗口,單擊「IP地址及域名限制」下的「編輯」按鈕,點選中「授權訪問」以能接受客戶端從本機之外的地方對IIS進行管理;最後單擊「確定」按鈕。 3.則在任意計算機的瀏覽器中輸入如「http://192.168.0.1:80」(80為其埠號)的格式後,將會出現一個密碼詢問窗口,輸入管理員帳號名(Administrator)和相應密碼之後就可登錄成功,現在就可以在瀏覽器中對IIS進行遠程管理了!在這里可以管理的范圍主要包括對Web站點和FTP站點進行的新建、修改、啟動、停止和刪除等操作。
H. iis許可權如何設置
如何設置Web 伺服器的許可權?如果Web伺服器的許可權沒有設置好,那麼網站就會出現漏洞並且很可能會出現被不懷好意的人黑掉的情況。我們不應該把這歸咎於 IIS 的不安全。如果對站點的每個目錄都配以正確的許可權,出現漏洞被人黑掉的機會還是很小的(Web 應用程序本身有問題和通過其它方式入侵黑掉伺服器的除外)。下面是我在配置過程中總結的一些經驗,希望對大家有所幫助。
IIS 下網站-站點-屬性-主目錄(或站點下目錄-屬性-目錄)面板上有:
腳本資源訪問讀取寫入瀏覽記錄訪問索引資源6 個選項。這 6 個選項中,記錄訪問和索引資源跟安全性關系不大,一般都設置。但是如果前面四個許可權都沒有設置的話,這兩個許可權也沒有必要設置。在設置許可權時,記住這個規則即可,後面的例子中不再特別說明這兩個許可權的設置。
另外在這 6 個選項下面的執行許可權下拉列表中還有:無純腳本純腳本和可執行程序3 個選項。
而網站目錄如果在 NTFS 分區(推薦用這種)的話,還需要對 NTFS 分區上的這個目錄設置相應許可權,許多地方都介紹設置 everyone 的許可權,實際上這是不好的,其實只要設置好 Internet 來賓帳號(IUSR_xxxxxxx)或 IIS_WPG 組的帳號許可權就可以了。如果是設置 ASP、php 程序的目錄許可權,那麼設置 Internet 來賓帳號的許可權,而對於 ASP.NET 程序,則需要設置 IIS_WPG 組的帳號許可權。在後面提到 NTFS 許可權設置時會明確指出,沒有明確指出的都是指設置 IIS 屬性面板上的許可權。
例1 ASP、PHP、ASP.NET 程序所在目錄的許可權設置:
如果這些程序是要執行的,那麼需要設置讀取許可權,並且設置執行許可權為純腳本。不要設置寫入和腳本資源訪問,更不要設置執行許可權為純腳本和可執行程序。NTFS 許可權中不要給 IIS_WPG 用戶組和 Internet 來賓帳號設置寫和修改許可權。如果有一些特殊的配置文件(而且配置文件本身也是 ASP、PHP 程序),則需要給這些特定的文件配置 NTFS 許可權中的 Internet 來賓帳號(ASP.NET 程序是 IIS_WPG 組)的寫許可權,而不要配置 IIS 屬性面板中的寫入許可權。
IIS 面板中的寫入許可權實際上是對 HTTP PUT 指令的處理,對於普通網站,一般情況下這個許可權是不打開的。
IIS 面板中的腳本資源訪問不是指可以執行腳本的許可權,而是指可以訪問源代碼的許可權,如果同時又打開寫入許可權的話,那麼就非常危險了。
執行許可權中純腳本和可執行程序許可權可以執行任意程序,包括 exe 可執行程序,如果目錄同時有寫入許可權的話,那麼就很容易被人上傳並執行木馬程序了。
對於 ASP.NET 程序的目錄,許多人喜歡在文件系統中設置成 Web 共享,實際上這是沒有必要的。只需要在 IIS 中保證該目錄為一個應用程序即可。如果所在目錄在 IIS 中不是一個應用程序目錄,只需要在其屬性-目錄面板中應用程序設置部分點創建就可以了。Web 共享會給其更多許可權,可能會造成不安全因素。
總結:也就是說一般不要打開-主目錄-(寫入),(腳本資源訪問) 這兩項以及不要選上(純腳本和可執行程序),選(純腳本)就可以了.需要asp.net的應用程序的如果應用程序目錄不止應用程序一個程序的可以在應用程序文件夾上(屬性)-目錄-點創建就可以了.不要在文件夾上選web共享.
例2 上傳目錄的許可權設置:
用戶的網站上可能會設置一個或幾個目錄允許上傳文件,上傳的方式一般是通過 ASP、PHP、ASP.NET 等程序來完成。這時需要注意,一定要將上傳目錄的執行許可權設為無,這樣即使上傳了 ASP、PHP 等腳本程序或者 exe 程序,也不會在用戶瀏覽器里就觸發執行。
同樣,如果不需要用戶用 PUT 指令上傳,那麼不要打開該上傳目錄的寫入許可權。而應該設置 NTFS 許可權中的 Internet 來賓帳號(ASP.NET 程序的上傳目錄是 IIS_WPG 組)的寫許可權。
如果下載時,是通過程序讀取文件內容然後再轉發給用戶的話,那麼連讀取許可權也不要設置。這樣可以保證用戶上傳的文件只能被程序中已授權的用戶所下載。而不是知道文件存放目錄的用戶所下載。瀏覽許可權也不要打開,除非你就是希望用戶可以瀏覽你的上傳目錄,並可以選擇自己想要下載的東西。
總結:一般的一些asp.php等程序都有一個上傳目錄.比如論壇.他們繼承了上面的屬性可以運行腳本的.我們應該將這些目錄從新設置一下屬性.將(純腳本)改成(無).
例3 Access 資料庫所在目錄的許可權設置:
許多 IIS 用戶常常採用將 Access 資料庫改名(改為 asp 或者 aspx 後綴等)或者放在發布目錄之外的方法來避免瀏覽者下載它們的 Access 資料庫。而實際上,這是不必要的。其實只需要將 Access 所在目錄(或者該文件)的讀取、寫入許可權都去掉就可以防止被人下載或篡改了。你不必擔心這樣你的程序會無法讀取和寫入你的 Access 資料庫。你的程序需要的是 NTFS 上 Internet 來賓帳號或 IIS_WPG 組帳號的許可權,你只要將這些用戶的許可權設置為可讀可寫就完全可以保證你的程序能夠正確運行了。
總結:Internet 來賓帳號或 IIS_WPG 組帳號的許可權可讀可寫.那麼Access所在目錄(或者該文件)的讀取、寫入許可權都去掉就可以防止被人下載或篡改了
例4 其它目錄的許可權設置:
你的網站下可能還有純圖片目錄、純 html 模版目錄、純客戶端 js 文件目錄或者樣式表目錄等,這些目錄只需要設置讀取許可權即可,執行許可權設成無即可。其它許可權一概不需要設置。
上面的幾個例子已經包含了大部分情況下的許可權設置,只要掌握了設置的基本原理,也就很容易地完成能其它情況下的許可權設置。
I. iis的用戶許可權怎樣設置
ASP 執行時,是以"IUSR_機器名"的身份訪問硬碟的,這里沒給該用戶帳號許可權,ASP
也就不能讀寫硬碟上的文件了。 下面要做的就是給每個虛擬主機用戶設置一個單獨的用戶帳號,然後再給每個帳號分配一個允許其完全控制的目錄。 如下圖所示,打開"計算機管理"→"本地用戶和組"→"用戶",在右欄中點擊滑鼠右鍵,在彈出的菜單中選擇"新用戶":
在彈出的"新用戶"對話框中根據實際需要輸入"用戶名"、"全名"、"描述"、"密碼"、"確認密碼",並將"用戶下次登錄時須更改密碼"前的對號去掉,選中"用戶不能更改密碼"和"密碼永不過期"。本例是給第一虛擬主機的用戶建立一個匿名訪問
Internet 信息服務的內置帳號"IUSR_VHOST1", 訪問此虛擬主機時,都是以這個身份來訪問的。輸入完成後點"創建"即可。可以根據實際需要,創建多個用戶,創建完畢後點"關閉":
現在新建立的用戶已經出現在帳號列表中了,在列表中雙擊該帳號,以便進一步進行設置:
在彈出的"IUSR_VHOST1"(即剛才創建的新帳號)屬性對話框中點"隸屬於"選項卡:
剛建立的帳號默認是屬於"Users"組,選中該組,點"刪除":
現在出現的是如下圖所示,此時再點"添加":
在彈出的"選擇
組"對話框中找到"Guests",點"添加",此組就會出現在下方的文本框中,然後點"確定":
出現的就是如下圖所示的內容,點"確定"關閉此對話框:
打開"Internet
信息服務",開始對虛擬主機進行設置,本例中的以對"第一虛擬主機"設置為例進行說明,右擊該主機名,在彈出的菜單中選擇"屬性":
彈出一個"第一虛擬主機
屬性"的對話框,從對話框中可以看到該虛擬主機用戶的使用的是"F:\VHOST1"這個文件夾:
暫時先不管剛才的"第一虛擬主機
屬性"對話框,切換到"資源管理器",找到"F:\VHOST1"這個文件夾,右擊,選"屬性"→"安全"選項卡,此時可以看到該文件夾的默認安全設置是"Everyone"完全控制(視不同情況顯示的內容不完全一樣),首先將最將下的"允許將來自父系的可繼承許可權傳播給該對象"前面的對號去掉:
此時會彈出如下圖所示的"安全"警告,點"刪除":
此時安全選項卡中的所有組和用戶都將被清空(如果沒有清空,請使用"刪除"將其清空),然後點"添加"按鈕。
將如圖中所示的"Administrator"及在前面所創建的新帳號"IUSR_VHOST1"添加進來,
將給予完全控制的許可權,還可以根據實際需要添加其他組或用戶,但一定不要將"Guests"組、
"IUSR_機器名"這些匿名訪問的帳號添加上去!
再切換到前面打開的"第一虛擬主機
屬性"的對話框,打開"目錄安全性"選項卡,點匿名訪問和驗證控制的"編輯":
在彈出的"驗證方法"對方框(如下圖所示),點"編輯":
彈出了"匿名用戶帳號",默認的就是"IUSR_機器名",點"瀏覽":
在"選擇
用戶"對話框中找到前面創建的新帳號"IUSR_VHOST1",雙擊:
此時匿名用戶名就改過來了,在密碼框中輸入前面創建時,
為該帳號設置的密碼:
再確定一遍密碼:
OK,完成了,點確定關閉這些對話框。 經此設置
後,"第一虛擬主機"的用戶,使用 ASP 的
FileSystemObject 組件也只能訪問自己的目錄:
F:\VHOST1
下的內容,當試圖訪問其他內容時,會出現諸如
"沒有許可權"、"硬碟未准備好"、"5a8zd_00
伺服器內部錯誤"等出錯提示了。
另:如果該用戶需要讀取硬碟的分區容量及硬碟的序列號,那這樣的設置將使其無法讀取。如果要允許其讀取這些和整個分區有關的內容,請右鍵點擊該硬碟的分區(卷),選擇"屬性"→"安全",將這個用戶的帳號添加到列表中,並至少給予"讀取"許可權。由於該卷下的子目錄都已經設置為"禁止將來自父系的可繼承許可權傳播給該對象",所以不會影響下面的子目錄的許可權設置。
J. 如何設置IIS網站目錄的訪問許可權
打開網站根目錄的「屬性」窗體,然後切換到「安全」選項框
在「安全」選項框中,有該目錄許可權的組或用戶,以及對應的許可權。
點擊「編輯」按鈕,在打開的「許可權」對話框中,再點擊「添加」按鈕,依次添加匿名用戶IUSR和和用戶組IIS_IUSRS
對於網站的根目錄,通常只需要賦予「讀取」,「列出文件夾內容」和「讀取和執行」的許可權。
如果在網站下某些文件或目錄需要寫入許可權,則單獨在這些文件或目錄的IUSR和IIS_USRS許可權上添加「寫入」
通過這種方式完成網站的訪問許可權設置,之前碰到的問題就迎刃而解。