Попытка добавить папку на D:\ в качестве виртуального каталога на веб-сайт в IIS.

"Очевидно", мне нужно добавить ACL в папку для субъекта безопасности, который использует IIS. В большинстве случаев это выглядит как IIS_IUSRS .

Я собирался сделать это

icacls D:\sites /grant:r "IIS_IUSRS":(OI)(OC)RX

но сначала я пошел, чтобы проверить, что IIS сделал для C:\Inetpub\wwwroot, но когда я запустил icacls c:\Inetpub\wwwroot я получил следующее

    BUILTIN\IIS_IUSRS:(RX)
    BUILTIN\IIS_IUSRS:(OI)(CI)(IO)(GR,GE)

Поэтому мне было интересно, какова эффективная разница между (GR, GE) и RX? и / или если есть «более правильный» способ убедиться, что для папки задан правильный набор разрешений, который будет использоваться в качестве корня содержимого IIS.

И, как продолжение: если я указываю виртуальный каталог, скажем, «D:\test», IIS очень рад обслуживать содержимое из этой папки, несмотря на отсутствие явных записей IIS_IUSRS . Исследуя ACL, я получаю это:

test BUILTIN\Administrators:(I)(F)
     BUILTIN\Administrators:(I)(OI)(CI)(IO)(F)
     NT AUTHORITY\SYSTEM:(I)(F)
     NT AUTHORITY\SYSTEM:(I)(OI)(CI)(IO)(F)
     NT AUTHORITY\Authenticated Users:(I)(M)
     NT AUTHORITY\Authenticated Users:(I)(OI)(CI)(IO)(M)
     BUILTIN\Users:(I)(RX)
     BUILTIN\Users:(I)(OI)(CI)(IO)(GR,GE)

Какие учетные записи мне нужно удалить, чтобы продолжить безопасное резервное копирование и развертывание в этой папке, но IIS на самом деле IIS_IUSRS?

1 ответ1

0

Эти разрешения не совпадают. RX сильнее, но разница не может быть значимой для вас.

GR и GE являются общими разрешениями, которые включают чтение, запись и обход. RX также включает разрешение на "чтение расширенных атрибутов", которое не требуется для IIS. Расширенные атрибуты определяются программами, поэтому могут различаться, и, скорее всего, у вас их нет.

В вашем случае оба будут работать, хотя они не идентичны. Однако всегда желательно ограничить разрешения для папок IIS до самого предела, поскольку некоторые разрешения могут использоваться хакерами непредвиденным образом.

Смотрите эту статью, которая рассекает все разрешения NTFS.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .