VPS服务器上Web站点的NTFS权限

Internet Information Services仰赖NTFS权限来确保个别档案和目录不会受到未经授权存取。vps服务器Web权限适用於所有的使用者,而NTFS权限则用来明确定义使用者存取内容的资格,以及处理内容的方式。

NTFS权限的等级有:

◇ 完全控制 使用者可修改、新增、移动、删除档案及和档案相关的属性与目录。除此之外,他们还可变更所有档案及子目录的权限设定。

◇ 修改 使用者可浏览、修改档案及档案属性,包括:在目录下删除、新增档案或增加档案属性。

◇ 读取与执行 使用者可以执行执行档(包括指令档在内)。

◇ 列出资料夹内容 使用者可检视资料夹之内容的清单。

◇ 读取 使用者可检视档案及档案属性。

◇ 写入 使用者可写入档案。

◇ 不允许存取 如果没有选取任何核取方块,那麽使用者绝对无法存取资源,即使使用者拥有上层目录之存取权。

重要:如果将IUSR_电脑名称帐户设定为「不允许存取」,则所有的匿名使用者皆无法存取该项资源。

您可针对个别档案或目录定义一份权限清单,即自由定义存取控制清单(DACL)。在定义这份清单时,您必须先选择一个特定的Windows使用帐户或使用群组,然后再定义该使用者或群组的存取权限。

下面这份表格,便是针对一份假想的Microsoft Word文件 MYSERVER:\Administration\Accounts.doc所做的权限清单:

Windows 2000使用者帐户或使用者群组权限
MYSERVER\Administrators完全控制
MYSERVER\JeffSmith变更
MYSERVER\Guests不允许存取

除了Administrator群组之外,只有JeffSmith这个帐户才可对Accounts.doc 作变更。一般以Windows Guests使用者群组成员名义登入的使用者,都被明确规定不允许存取该档案。

设定好NTFS权限之后, Web服务器必须有一套方法,在使用者进入受控制的档案前,先行识别(或验证)其身份。您可设定服务器的验证功能,要求使用者在登入时必须具有合法的Windows帐户名称及密码。若需其他资料,请参阅之前《关于验证》 。

重要:如果NTFS DACL设定错误,浏览器会要求使用者输入其他使用者资讯。例如:使用者也许并没有某个档案的存取权(因为DACL 的关系)因此IIS回以拒绝存取的讯息;而这项回应却可能导致浏览器要求使用者输入其他使用者名称及密码。

说明:为确保服务器的安全,尽可能移除不必要的使用者与群组,或那些过於普遍而不合乎使用目的的群组。不过,在您将Everyone群组从Web服务器之DACL移除之后,如果不做进一步的修正,会造成连匿名使用者都无法存取的情形。假使您希望匿名存取能够正常运作,那麽一定要将下列权限和特定的使用者或使用群组合并在一起:

◇ Administrator完全控制

◇ reator/Owner完全控制

◇ System完全控制

若需其他程序性的资讯,请参阅稍后《使用NTFS确保档案的安全性》及《设定目录或档案的NTFS权限》部分。