Попытка добавить папку на D:\ в качестве виртуального каталога на веб-сайт в IIS.
"Очевидно", мне нужно добавить ACL в папку для субъекта безопасности, который использует IIS.
В большинстве случаев это выглядит как IIS_IUSRS .
Я собирался сделать это
icacls D:\sites /grant:r "IIS_IUSRS":(OI)(OC)RX
но сначала я пошел, чтобы проверить, что IIS сделал для C:\Inetpub\wwwroot, но когда я запустил icacls c:\Inetpub\wwwroot я получил следующее
BUILTIN\IIS_IUSRS:(RX)
BUILTIN\IIS_IUSRS:(OI)(CI)(IO)(GR,GE)
Поэтому мне было интересно, какова эффективная разница между (GR, GE) и RX? и / или если есть «более правильный» способ убедиться, что для папки задан правильный набор разрешений, который будет использоваться в качестве корня содержимого IIS.
И, как продолжение: если я указываю виртуальный каталог, скажем, «D:\test», IIS очень рад обслуживать содержимое из этой папки, несмотря на отсутствие явных записей IIS_IUSRS . Исследуя ACL, я получаю это:
test BUILTIN\Administrators:(I)(F)
BUILTIN\Administrators:(I)(OI)(CI)(IO)(F)
NT AUTHORITY\SYSTEM:(I)(F)
NT AUTHORITY\SYSTEM:(I)(OI)(CI)(IO)(F)
NT AUTHORITY\Authenticated Users:(I)(M)
NT AUTHORITY\Authenticated Users:(I)(OI)(CI)(IO)(M)
BUILTIN\Users:(I)(RX)
BUILTIN\Users:(I)(OI)(CI)(IO)(GR,GE)
Какие учетные записи мне нужно удалить, чтобы продолжить безопасное резервное копирование и развертывание в этой папке, но IIS на самом деле IIS_IUSRS?