WWW验证
WWW验证方式共有五种。
匿名验证
匿名验证可让使用者存取Web或FTP站台的公共区域,而不需要提示使用者输入名称或密码。当使用者尝试连接您的公共Web或FTP站台时,您的 Web伺服器会指定给使用者一个称为IUSR_电脑名称的Windows使用者帐户,此处的电脑名称是执行IIS的伺服器名称。
在预设情况下,IUSR_ 电脑名称帐户是包含在Windows的Guests使用者群组中。这个群组利用NTFS权限指定存取等级及公共使用者可用内容的类型,因而有安全性的限制。
若您的伺服器上有多个站台,或者您的站台区域中需要不同的存取权限,您可以建立多个匿名帐户给每个Web或FTP站台、目录,或档案使用,而每一个帐户都给予不同的存取权限,或指定这些帐户给不同的Windows使用者群组;这麽一来,您就可以授与使用者以匿名的方式存取不同的公共Web及FTP内容区域。
IIS使用IUSR_电脑名称帐户的方法如下:
IUSR_电脑名称帐户会加入至电脑上的Guests群组中。
当收到要求时,IIS在执行任何程式码或存取之前,会先模拟IUSR_电脑名称帐户。IIS能够模拟IUSR_电脑名称帐户,是因为IIS已经知道这个帐户的使用者名称和密码。
在传回网页给用户端之前,IIS会检查NTFS档案和目录的权限,看看是否允许IUSR_ 电脑名称帐户存取这个档案。
若允许存取,则验证完成,且使用者可使用资源。
若不允许存取,则IIS会尝试使用其他的验证方法。如果没有选择使用任何其他验证方法,IIS会传回一个「HTTP 403拒绝存取」的错误讯息给浏览器。
说明:
若启用「匿名」验证,即使启用了其他的授权方法,IIS也一定会先使用「匿名」验证。
在某些状况下,浏览器会提示使用者输入使用者名称和密码。
您可以在Internet Information Services嵌入式管理单元变更用於「匿名」验证的帐户,无论是在Web伺服器服务层级,还是个别的虚拟目录和档案。匿名帐户必须要有本机登入的使用者权利。如果帐户没有 登入本机 权限,IIS就不能服务任何的匿名要求。IIS安装会特别授与 登入本机 的权限给IUSR_电脑名称帐户。在预设的情况下,网域主控站 的IUSR_电脑名称帐户并没有赋予来宾帐户的权利,因此必须要改成 登入本机 ,才能允许匿名登入。
说明:
您可以使用「Active Directory 服务介面」(ADSI)来变更登入本机权利。
您也可以使用MMC的「群组原则管理员」嵌入式管理单元,在Windows 中变更IUSR_电脑名称帐户的安全特殊权限。但是,如果匿名使用者帐户并没有某些资源的存取权限时,伺服器会拒绝建立该档案或资源的匿名连线。若需其他资讯,请参阅稍后之 〈设定Web服务器的权限〉 。
重要
一旦您变更了IUSR_电脑名称帐户,将会影响到Web 伺服器所服务的所有匿名HTTP要求。因此,修改这个帐户时,请务必小心。