iis访问文件
A. 如何 iis 下 文件 用户 验证 访问
身份验证和模拟类型
当 IIS 为 HTTP 请求提供服务时,IIS 将执行模拟,以便对处理请求的资源访问权限进行适当的限制。模拟的安全上下文基于为请求执行的身份验证类型。IIS 4.0 提供五种不同的身份验证类型:
身份验证类型 模拟类型
匿名访问(无身份验证) 网络
自动密码同步为
ON(ON 为默认值)
匿名访问(无身份验证) IIS 明文
自动密码同步为 OFF
基本身份验证 IIS 明文
NT 质询/响应身份验证 网络
客户端 SSL 证书映射 交互式
令牌类型
是否允许访问网络资源取决于在什么类型的模拟令牌下处理请求。
“不”允许网络令牌访问网络资源。(之所以将它命名为网络令牌,原因是此类令牌过去通常是当用户在整个网络中经过身份验证时由服务器创建的。允许服务器使用网络令牌充当网络客户端并访问其他服务器,这种做法称为“委派”且被视为潜在的安全漏洞。)
过去,当在计算机上对本地用户进行身份验证时会使用交互式令牌。允许交互式令牌访问整个网络的资源。
批处理令牌旨在为批处理作业的运行提供安全上下文。批处理令牌具有网络访问权限。
IIS 有一个明文登录的概念。之所以称其为明文登录,原因是 IIS 具有以明文方式访问用户名和密码的权限。通过置配置元数据库中的 LogonMethod 属性,您可以控制明文登录创建的令牌类型:“网络”令牌、“交互式”令牌或“批处理”令牌。默认情况下,明文登录收到“交互式”令牌,可以访问网络资源。您可以在服务器、站点、虚拟目录、目录或文件级别配置 LogonMethod。
匿名访问模拟配置为请求的匿名用户的帐户。默认情况下,IIS 有一个称为 IUSR_<machinename> 的匿名用户帐户,在处理不需要身份验证的请求时模拟该帐户。默认情况下,IIS 4.0 具有一项称为“启用自动密码同步”的可配置功能,它使用安全次权限创建令牌。通过这种方式创建的令牌是网络令牌,它们“不能”访问网络中的其他计算机。如果禁用“自动密码同步”,IIS 以与前面所述的明文登录相同的方式创建令牌。“自动密码同步”只用于 IIS 所在计算机上的帐户。因此,如果将匿名帐户更改为域帐户,则无法使用“自动密码同步”,而会收到明文登录。但这种情况有一个例外,那就是在“主域控制器”上安装 IIS 时。在此情况下,域帐户位于本地计算机上。您可以在服务器、站点、虚拟目录、目录或文件级别配置匿名帐户和“自动密码同步”选项。
访问网络资源的第一步是必须具有正确的令牌类型。您还必须模拟对整个网络的资源有访问权限的帐户。默认情况下,IIS 为匿名请求创建的 IUSR_<machinename> 帐户只在本地计算机上存在。即使通过禁用“自动密码同步”获得了可以访问网络资源的“交互式”令牌,IUSR_<machinename> 帐户通常也不能访问大多数网络资源,因为其他计算机不识别该帐户。如果要用匿名请求访问网络资源,则必须将默认帐户替换为可由网络中的所有计算机识别的域帐户。如果在“域控制器”上安装 IIS,IUSR_<machinename> 帐户就是域帐户,您不需要执行额外操作,网络中的其他计算机一定识别该帐户。
避免问题
从 IIS 应用程序访问网络资源时若要避免发生问题,请尝试以下方法:
将文件保留在本地计算机上。
某些网络通信方法不要求安全检查。使用 Windows 套接字就是一个示例。
您可以提供对计算机网络资源的直接访问,方法是将虚拟目录配置为:
“另一计算机上的共享位置”。
对共享网络资源的计算机的所有访问都在连接为.. 对话框下所指定用户的上下文中执行。不论为虚拟目录配置什么类型的身份验证,都会发生同样的情况。通过使用此选项,用户可以从访问 IIS 计算机的浏览器访问网络共享位置的所有文件。
使用基本身份验证或匿名身份验证的同时禁用“自动密码同步”。
默认情况下,Internet Information Server 为基本身份验证所做的模拟提供可以访问网络资源的令牌(这一点与“Windows NT 质询/响应”不同,它提供不能访问网络资源的令牌)。对于匿名身份验证,该令牌只有在禁用“自动密码同步”的情况下才能访问网络资源。第一次安装 Internet Information Server 时默认启用“自动密码同步”。在此默认配置下,匿名用户令牌不能访问网络资源。 有关 IIS 中“自动密码同步”的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
190005
(http://support.microsoft.com/kb/190005/ )
用于在匿名访问时提示用户输入密码的站点设置
259353
(http://support.microsoft.com/kb/259353/ )
设置密码同步后必须手动输入密码
将匿名帐户配置为域帐户。
这样可以防止匿名请求对网络资源进行潜在访问。要防止所有匿名请求访问网络资源,您只能让匿名帐户成为专门需要访问的虚拟目录上的域帐户。
将匿名帐户的用户名和密码配置为与共享网络资源的计算机上所用的用户名和密码相同,并禁用“自动密码同步”。
如果这样做,必须确保两个密码完全一致。只有在出于某些原因而无法采用前面所述的“将匿名帐户配置为域帐户”方法时,才能使用此方法。
当用网络令牌处理请求时,可使用 NullSessionShares 和 NullSessionPipes 允许对特定网络共享位置或命名管道的访问。
如果您有一个网络令牌并且尝试与网络资源建立连接,那么操作系统尝试将该连接建立为无需身份验证的连接(称为“空会话”)。您必须在共享网络资源的计算机(而非 IIS 计算机)上进行该注册表设置。如果尝试用非网络令牌访问 NullSessionShare 或 NullSessionPipe,则会使用典型的 Microsoft Windows 身份验证,对资源的访问将基于模拟用户的帐户所具备的用户权限。
您可以通过执行自己的模拟来创建具有网络访问权限的“线程”令牌。
LogonUser 函数和 ImpersonateLoggedOnUser 函数可以用来模拟另一不同的帐户。该方法要求您为代码提供另一帐户的“明文”用户名和密码。LogonUser 还要求调用 LogonUser 的帐户在“用户管理器”中具有“作为操作系统的一部分”的特权。默认情况下,IIS 在处理 HTTP 请求时模拟的大多数用户都没有此用户权限。不过,对于“进程内应用程序”,您可以通过多种方式来使当前的安全上下文更改为 LocalSystem 帐户,该帐户具有“作为操作系统的一部分”管理凭据。对于在进程内运行的 ISAPI DLL,将 IIS 创建的安全上下文更改为 LocalSystem 帐户的最佳方式是调用 RevertToSelf 函数。如果在“进程外”运行 IIS 应用程序,该机制默认不起作用,因为进程在 IWAM_<machinename> 帐户下运行,而不在本地系统帐户下运行。默认情况下,IWAM_<machinename>“没有”“作为操作系统的一部分”管理凭据。
在 Microsoft Transaction Server (MTS) 服务器包或 COM+ Server 应用程序中添加从 ASP 页调用的组件,然后指定某个用户作为包的标识。
注意:该组件在 IIS 外部单独的 .exe 文件中运行。
使用基本/明文身份验证时,建议使用 SSL 加密数据,因为该身份验证方式极易通过网络跟踪获得凭据。 有关如何安装 SSL 的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
228991
(http://support.microsoft.com/kb/228991/ )
如何在 Internet Information Server 4.0 中创建和安装 SSL 证书
注意:切记,如果将 LogonMethod 元数据库属性设置为“2”(表示使用网络登录创建模拟令牌),则在禁用密码同步且使用基本身份验证(明文登录)对请求进行身份验证的情况下,可以防止匿名请求进行网络访问。有了此设置,请求避免网络令牌限制的唯一方式就是连接到 NullSessionShares 或 NullSessionPipes。
不要使用已映射到网络共享位置的驱动器号。不仅只能从 26 个驱动器号中进行选择,而且如果尝试使用在另一不同的安全上下文中映射的驱动器号,也会发生问题。您必须始终使用“通用命名约定”(UNC) 名称访问资源。格式必须类似如下所示:
\\MyServer\filesharename\directoryname\filename
有关使用 UNC 的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
280383
(http://support.microsoft.com/kb/280383/ )
在您使用 UNC 共享、用户名和密码凭据时的 IIS 安全建议
本文中的信息只适用于 Internet Information Server 4.0。在 Internet Information Server 5.0(随 Windows 2000 提供)中,一些新的身份验证类型和功能有了很大的更改。虽然本文中的大多数概念仍然适用于 IIS 5.0,但本文中的某些身份验证方案生成的模拟令牌类型的相关详细信息只适用于 IIS 4.0。
319067
(http://support.microsoft.com/kb/319067/ )
如何在 IIS 中运行不在系统帐户上下文中的应用程序
如果无法确定您的 IIS 服务器上目前由何种类型的登录来处理请求,则可打开“登录”和“注销”的审核。执行下列步骤:
依次单击开始、设置、控制面板、管理工具、本地安全策略。
打开“本地安全策略”后,在左侧的“树视图”窗格中依次单击安全设置、本地策略、审核策略。
双击审核登录事件,然后单击成功和失败。“事件日志”条目将添加到“安全”日志下。查看“登录类型”下的事件详细信息即可确定登录类型:
2=交互式
3=网络
4=批处理
5=服务
B. win7如何本地让IIS服务器可以读取json文件
首先,就需要配置本机IIS服务,在win7下找到“打开或关闭windows功能”,选择“Internet信息服务”,然后确定,等待系统更新,成功后,就可以直接在浏览器输入“localhost”显示出IIS7消息。然后在运行中输入iis,打开IIS管理器,在网站下有一个Default web site,右键选择“浏览”,就可以看到本地服务器的根目录,把需要访问的html等资源文件放在这里就可以直接用“localhost/xxx.html”的形式从浏览器访问他们了。问题此时又出现了,当我把.json和.html放进来以后,发现仍然是空白页,于是再一次查阅资料,知道了IIS7默认不能解析.json文件,所以需要配置,方法如下:
1、在IIS管理器左边选择你要设置的网站,在右侧选择MIME类型,双击进入。
2、进入后选择添加,会弹出添加MIME类型对话框,在文件扩展名中输入".json",在MIME类型中输入"text/json”(不要双引号).点击确认,再重启网站即可
3、若以上步骤还不能读到JSON数据,则在IIS需要再添加“处理程序映射“
然后重新启动IIS7服务即可。
就这样,几番周折,终于显示出了想要的结果。
C. 如何给IIS添加能访问的文件类型
使用 MIME 类型
Multipurpose Internet Mail Exchange (MIME) 类型说明了 Web 浏览器或邮件应用程序如何处理从服务器接收的文件。例如,当 Web 浏览器请求服务器上的某一项目时,也会请求此对象的 MIME 类型。某些 MIME 类型(例如图形)可以在浏览器内部显示。其他的 MIME 类型(例如文字处理文档)则需要使用外部帮助应用程序来显示。
当 IIS 传递邮件消息给邮件应用程序或传递网页给客户端 Web 浏览器时,IIS 也发送了所传递数据的 MIME 类型。如果存在以特定格式传递的附加或嵌入文件,那么 IIS 就会通知客户端应用程序嵌入或附加文件的 MIME 类型。然后客户端应用程序就知道了如何处理或显示正从 IIS 接收的数据。
IIS 只为具有已在 MIME 类型列表中注册的扩展名的文件提供服务,并且也允许配置其他的 MIME 类型和更改或删除 MIME 类型。
IIS 预配置为识别全局 MIME 类型的默认设置。您在 IIS 中创建的所有网站可以识别这些 MIME 类型。MIME 类型还可以独立于其他的或全局定义的类型,在网站和目录级别上定义。当在网站或目录级别上查看 MIME 类型时,只显示唯一对应于此级别的类型,并非从上一级别继承的所有类型。如果在较低级别修改 MIME 类型后,又在全局级别上应用相同的 MIME 类型,那么全局级别的 MIME 类型将覆盖在较低级别修改过的MIME 类型。
如果客户端请求引用了其扩展名未在 MIME 类型中定义的文件扩展名,那么 IIS 将返回一个 404.3 错误。通过添加通配符 (*) MIME 类型,也可以将 IIS 配置成向所有的文件提供服务,而忽略文件扩展名。
要点 您必须是本地计算机上 Administrators 组的成员或者必须被委派了相应的权限,才能执行下列步骤。作为安全性的最佳操作,请使用不属于 Administrators 组的帐户登录计算机,然后使用运行方式命令以管理员身份运行 IIS 管理器。在命令提示符下,键入 runas /user:administrative_accountname "mmc %systemroot%\system32\inetsrv\iis.msc"。
添加全局 MIME 类型
在 IIS 管理器中,展开本地计算机,右键单击要向其添加 MIME 类型的计算机,单击“属性”。
单击“MIME 类型”选项卡。
单击“新建”。
在“扩展名”框中,键入文件扩展名。
在“MIME 类型”框中,键入与客户端计算机上所定义的文件类型完全匹配的说明。
注意 还可以为无扩展名或未定义 MIME 类型的文件创建 MIME 类型。要完成此操作,在“扩展名”框中键入星号 (*),并且在“MIME 类型”框中键入 application/octet-stream。
单击“确定”。
将 MIME 类型添加到网站或目录
在 IIS 管理器中,右键单击要为其添加 MIME 类型的网站或网站目录,单击“属性”。
单击“HTTP 头”选项卡。
单击“MIME 类型”。
单击“新建”。
在“扩展名”框中,键入文件扩展名。
在“MIME 类型”框中,键入与客户端计算机上所定义的文件类型完全匹配的说明。如果定义一个已在较高级别定义的 MIME 类型,那么系统将提示您选择此 MIME 类型应该驻留的级别。
单击“确定”。
下图显示了在 IIS 中定义的 MIME 类型和在客户端计算机上定义的文件类型之间的关系。
将 MIME 类型从网站或目录中删除
在 IIS 管理器中,右键单击要从中删除 MIME 类型的网站或网站目录,单击“属性”。
单击“HTTP 头”选项卡。
单击“MIME 类型”。
从“注册的 MIME 类型”列表中,单击要删除的 MIME 类型,然后单击“删除”。
单击“确定”。
如:
要增加*.ISO文件为可下载,操作步骤有如下两种方法:
1、为所有IIS中的网站添加下载类型:
执行:开始-程序-管理工具-本地计算机-属性-MIME类型-新建。
然后点击确定-应用-确定,就可以了。其它类型可以参照同样设置。
2、IIS 管理器中,右键单击要为其添加 MIME 类型的网站或网站目录,单击“属性”。
单击“HTTP 头”选项卡。
单击“MIME 类型”。
单击“新建”。
在“扩展名”框中,键入文件扩展名:.iso。
在“MIME 类型”框中,键入ISO File
单击“确定”。
D. iis 访问需要下载的文件
可能是你输入的路径不对。文件要放在同网页一个目录,如是虚拟空间,更是如此,不然是没法访问的。如果是IIS限制的文件也不能下载。你可以压缩一下或改一下扩展名试试,下载要如下格式
www.work.com/ddd.rar
E. IIS访问本机电脑的共享文件夹
在服务器和你另外一台计算上设置一个相同的用户名和密码。当然为了安全问题,得设置的最小权限。
简单列举一下步骤,把IIS机简称为A,另外一台为B:
1.在B电脑上新建一个账户web,密码:web 当然这里的用户权限为:user
2.将B电脑上需要被Internet访问的文件夹共享出来,共享的权限也设置为只读。
3.在A服务器上也同样新建一个账户web,密码:web,同理也为user权限。这里一定要注意的是A和B上各自新建的用户名一定要一样。
4.在A服务器IIS上新建一个虚拟目录,指向到你刚才共享出来的文件夹,按照提示输入用户名和密码(当然是刚才新建的用户名和密码)
5.按一般设置方式设置好默认文档就Ok了。
F. 如何设置共享文件夹的IIS 访问
当然为了安全问题,得设置的最小权限。
我这里简单的列举一下步骤,这里我把服务器简称为A,另外一台为B:
1.在B电脑上新建一个账户web,密码:web 当然这里的用户权限为:user
2.将B电脑上需要被Internet访问的文件夹共享出来,共享的权限也设置为只读。
3.在A服务器上也同样新建一个账户web,密码:web,同理也为user权限。这里一定要注意的是A和B上各自新建的用户名一定要一样。
4.在A服务器IIS上新建一个虚拟目录,指向到你刚才共享出来的文件夹,按照提示输入用户名和密码(当然是刚才新建的用户名和密码)
5.按一般设置方式设置好默认文档就Ok了。
G. IIS访问不了.asp文件,但可以访问.htm文件
你这个情况我前天才出现过,但已经解决,现与你分享:
1、在iis中右击你的项目,选择属性,请确保执行权限为纯脚本;
2、在iis中右击你的项目,选择权限,请确保有everyone用户,并且该用户已经有写入权限。
就以上两点,问题应该就可以解决了,不到万不得已不要重装iis,会有意想不到的麻烦。
H. WIN7 下如何利用iis来访问php文件
日志记录对于任何一个服务器来说,都是至关重要的。对于IIS服务器也不例外。在Windows7操作系统中,相比2003来说,对于IIS日志记录来说有了很大的改进。不仅仅是日志的格式,还是其他的一些可选项上,操作系统管理员有了更多的选择。 IIS日志 在Windows7操作系统中,IIS日志记录应该视为ISS所必需的而不是可选的组件。这主要是因为日志文件对于管理IIS服务器来说具有很关键的作用。如在这个IIS服务器在受到安全威胁的情况下,可以利用日志文件并对其中包含的内在细节执行排疑式审查。如到IIS服务器发生故障后也可以利用这个日志文件中所记录的信息来检查维护过程并识别系统中的问题。笔者这里就给大家介绍一下Windows7操作系统中IIS日志记录相比Windows2003操作系统的一些新特性,并帮助大家部署一种得心应手的日志管理模式。 一、 选择合适的日志记录级别。 在IIS7.0版本中,系统管理员可以根据自己的需要选择合适的日志记录级别。如可以在服务器级别上进行日志记录管理,也可以在网站、WEB应用程序文件或者目录级别上实现它。具体要在那个级别上实现,主要看系统管理员的需要。不过需要注意的是,其实现级别的不同,所支持的日志文件格式也是不同的。如在“服务器”级别实现的话,其支持的日志格式就只有两种,分别为“W3C”格式与二进制格式。而如果选择“网站”级别上实现日志管理的话,则其支持的日志格式有三种,分别为IIS、NCSA、W3C格式。而且系统管理员如果觉得这些格式还不满足的话,可以通过“自定义”的方式来自定义自己需要的格式。所以在选择日志记录级别的时候,除了需要考虑在什么级别上进行日志管理比较方便与安全,同时还需要结合自己喜欢的日志格式。笔者个人喜欢在网站级别上对日志进行管理。因为在一台服务器上,如果只部署IIS服务的话,可能比较浪费。也就是说,在同一台服务器上可能有多个应用服务。为了跟其他应用服务与服务器操作系统的日志区分开来,笔者就建议大家在网站级别上进行管理。当然,在哪个级别上进行日志管理,对于日志的内容没有实际性的差异。主要是看服务器的部署以及系统管理员的工作习惯而定。 二、 为日志记录选择合适的格式。 如果选择网站级别来管理日志的话,这个日志的格式有多种选择。最重要的是,系统管理员可以选择IIS的日志记录格式。这个IIS日志记录格式是基于文本的日志记录。跟W3C日志记录格式类似,都是通过HTTP.SYS来控制的。不过这个IIS日志记录格式是一个核心模式过程。而以前的日志记录都是通过用户模式来管理的。两者之间有比较大的变化。超文本传输协议侦听程序被实现为名为 HTTP.SYS的内核模式设备驱动程序。HTTP.SYS 是 Windows 网络子系统的一个重要组成部分。在以前的版本中,当在 IIS 中创建网站时,使用 HTTP.SYS注册站点,然后HTTP.SYS将 Web 请求传送到正在运行网站的用户模式进程中。同时HTTP.SYS也将响应送回客户端。除了从其内部缓存中检索存储的响应以外,HTTP.SYS并不处理它所接收到的请求。因此,应用程序特定代码永远不会加载到内核模式中。但是有些系统管理员希望HTTP.SYS能够以核心模式运行。此时就需要采用IIS日志格式。另外IIS是基于文本的日志记录,跟二进制格式的日志记录不同,直接可以通过文本浏览器等工具来查看日志信息。所以阅读起来也更加的方便。 当然,日志文件的格式不同,其所存储的内容都是相同的。所以日志文件的格式并不会影响日志的实际管理价值。不过为了日后管理维护的方便,笔者建立系统管理员最好还是根据自己的工作习惯来选择合适的日志格式。 三、 选择合适的编码格式。 一般情况下,IIS日志文件的编码格式有两种,分别为UTF-8与ANSI两种格式。在所有的字符集中,虽然ANSI比较有名。但是这个编码格式可以说是专门为英文所设计的。用来存储其他的语言时会出现乱码的情况。如对于汉语就支持的不是很好。为了解决这个问题,特意提出了一种新的编码格式,即UTF-8。这是一种UNICODEd 一种变长字符编码。如果UNICODE字符由2个字节表示,则编码成UTF-8很可能需要3个字节,而如果UNICODE字符由4个字节表示,则编码成UTF-8可能需要6个字节。UTF-8编码可以通过屏蔽位和移位操作快速读写。字符串比较时strcmp()和wcscmp()的返回结果相同,因此使排序变得更加容易。字节FF和FE在UTF-8编码中永远不会出现,因此他们可以用来表明UTF-16或UTF-32文本。 UTF-8 是字节顺序无关的。它的字节顺序在所有系统中都是一样的。 这些字符集的格式对于某些系统管理员来说可能有点深奥。其实系统管理员也不需要了解的这么清楚。只需要明白一个原则。即如果日志中显示的如果都是英文的话,那么采用ANSI编码格式也不会有问题。但是如果日志中还会存在其他语言的话,则可能会出现乱码。为此笔者建议,还是采用UTF-8的编码格式为好。毕竟,其对于英文的支持力度也是很好的。为此还不如一劳永逸的将其设置为UTF-8格式为好。免得以后再日志阅读中遇到乱码的烦恼。 四、 选择合适的日志文件滚动更新机制。 如果将IIS的日志记录都保存在一个文件中,显然文件会很长。到时候,查看记录的时候,会很麻烦。为此最好能够将日志文件进行分割,分割成一个个小文件。这方便与后续的查询与阅读。在Windows7操作系统的IIS日志中,提供了很多的日志文件滚动更新的方法。如可以根据时间来创建新的日志文件。如可以按天、按周或者按月来实现日志文件的滚动更新。一般情况下,按月来更新即可。如果IIS服务器访问比较频繁,也可以适当缩短这个日志文件滚动更新的时间间隔。如可以将时间间隔调整为一周或者一天等等。这个时间间隔到底多少为好,主要是看其记录的数量。如果日志记录数量多的话,那么可以适当缩短时间。相反,如果日志记录数量不是很多的话,则可以以月为单位建立新的日志文件。 除了可以根据时间来建立新的日志文件之外,还可以根据日志文件的大小来创建新的日志文件。在IIS日志管理器中可以选择“最大文件大小”。然后输入一个合适的尺寸。如此的话,当这个日志文件达到指定的大小之后,系统就会自动对其进行日志切换。不过笔者并不赞同采用这种方法。虽然其可以将重做日志文件控制在一个合理的大小内,但是其会打破其内在的时间联系。到时候,在遇到问题时查询起来会非常的不方便。故笔者还是建立按时间来对重做日志文件进行分割。 另外管理器还提供另一个有用的选项,即是否要将本地时间用户文件命名与翻滚。这是一个很有用途的选项。选中这个选项后,在系统自动建立的日志文件中就会反映这个时间信息。这对于系统管理员来查找日志文件,能够提供很大的帮助。特别是如果按文件大小来分割重做日志文件的话,一定要选中这个选项,以方便后续的查找。
I. 请问IIS访问文件夹如何不显示文件列表
打开IIS 进入到当前网站的属性 默认状态就是鼠标右键点“默认网站”选择“属性”
在打开的属性窗口里面点开“主目录”选项卡
在输入本地路径的文本框下面有几个勾选框
你把“目录浏览”前面的勾勾去掉
这个就是让你浏览整个文件目录的罪魁祸首