IIS 6.0 的默认权限和用户权限

转自：http://support.microsoft.com/kb/812614/zh-cn/

本文介绍了在全新安装的带有 Internet Information Services (IIS) 6.0 的应用程序服务器上的默认权限和用户权限。

下表记录了 NTFS 文件系统权限、注册表权限和 Microsoft Windows 用户权限。此信息在安装套件中包含 Microsoft ASP.NET 时适用。本文重点关注 World Wide Web 发布服务，并不考虑文件传输协议 (FTP) 服务、简单邮件传输协议 (SMTP) 服务和 Microsoft FrontPage Server Extensions (FPSE) 等其他组件。

注意：为便于说明，本文档中的 IUSR_MachineName 帐户和配置的匿名帐户在使用时可以互换。

NTFS 权限

目录用户\组权限%windir%\help\iishelp\commonAdministrators完全控制%windir%\help\iishelp\commonSystem完全控制%windir%\help\iishelp\commonIIS_WPG读取、执行%windir%\help\iishelp\commonUsers（请参见“注意 1”。）读取、执行%windir%\IIS Temporary Compressed FilesAdministrators完全控制%windir%\IIS Temporary Compressed FilesSystem完全控制%windir%\IIS Temporary Compressed FilesIIS_WPG完全控制%windir%\IIS Temporary Compressed FilesCreator owner完全控制%windir%\system32\inetsrvAdministrators完全控制%windir%\system32\inetsrvSystem完全控制%windir%\system32\inetsrvUsers读取、执行%windir%\system32\inetsrv\*.vbsAdministrators完全控制%windir%\system32\inetsrv\ASP compiled templatesAdministrators完全控制%windir%\system32\inetsrv\ASP compiled templatesIIS_WPG完全控制%windir%\system32\inetsrv\HistoryAdministrators完全控制%windir%\system32\inetsrv\HistorySystem完全控制%windir%\system32\LogfilesAdministrators完全控制%windir%\system32\inetsrv\metabackAdministrators完全控制%windir%\system32\inetsrv\metabackSystem完全控制Inetpub\AdminscriptsAdministrators完全控制Inetpub\wwwroot（或内容目录）Administrators完全控制Inetpub\wwwroot（或内容目录）System完全控制Inetpub\wwwroot（或内容目录）IIS_WPG读取、执行Inetpub\wwwroot（或内容目录）IUSR_MachineName读取、执行Inetpub\wwwroot（或内容目录）ASPNET（请参见“注意 2”。）读取、执行

注意 1：在使用基本身份验证或集成身份验证时以及在配置自定义错误时，都必须对此目录拥有相应的权限。例如，在出现错误 401.1 时，只有向已登录用户授予了读取 4011.htm 文件的权限，该用户才会看到预期的自定义错误详细信息。

注意 2：默认情况下，IIS 5.0 隔离模式中使用 ASP.NET 作为 ASP.NET 进程标识。如果将 ASP.NET 切换到 IIS 5.0 隔离模式，则 ASP.NET 必须对内容区域具有访问权限。IIS 帮助中对 ASP.NET 进程隔离进行了详细说明。有关其他信息，请访问下面的 Microsoft 网站：

ASP.NET 进程隔离

http://www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/e409289d-2786-4a34-bb7e-9c546602c2c8.mspx

（可能为英文网页）

注册表权限

位置用户\组权限HKLM\System\CurrentControlSet\Services\ASPAdministrators完全控制HKLM\System\CurrentControlSet\Services\ASPSystem完全控制HKLM\System\CurrentControlSet\Services\ASPIIS_WPG读取HKLM\System\CurrentControlSet\Services\HTTPAdministrators完全控制HKLM\System\CurrentControlSet\Services\HTTPSystem完全控制HKLM\System\CurrentControlSet\Services\HTTPIIS_WPG读取HKLM\System\CurrentControlSet\Services\IISAdminAdministrators完全控制HKLM\System\CurrentControlSet\Services\IISAdminSystem完全控制HKLM\System\CurrentControlSet\Services\IISAdminIIS_WPG读取HKLM\System\CurrentControlSet\Services\w3svcAdministrators完全控制HKLM\System\CurrentControlSet\Services\w3svcSystem完全控制HKLM\System\CurrentControlSet\Services\w3svcIIS_WPG读取

Windows 用户权限

策略Users从网络访问此计算机Administrators从网络访问此计算机ASPNET从网络访问此计算机IUSR_MachineName从网络访问此计算机IWAM_MachineName从网络访问此计算机Users调整进程内存配额Administrators调整进程内存配额IWAM_MachineName调整进程内存配额Local service调整进程内存配额Network service跳过遍历检查IIS_WPG允许本地登录（请参见“注意”）Administrators允许本地登录（请参见“注意”）IUSR_MachineName拒绝本地登录ASPNET在身份验证之后模拟客户端Administrators在身份验证之后模拟客户端ASPNET在身份验证之后模拟客户端IIS_WPG在身份验证之后模拟客户端Service作为批处理作业登录ASPNET作为批处理作业登录IIS_WPG作为批处理作业登录IUSR_MachineName作为批处理作业登录IWAM_MachineName作为批处理作业登录Local service作为服务登录ASPNET作为服务登录Network service替换进程级别令牌IWAM_MachineName替换进程级别令牌Local service替换进程级别令牌Network service

注意：在以默认设置全新安装的带有 IIS 6.0 的 Microsoft Windows Server 2003 中，Users 组和 Everyone 组都拥有“跳过遍历检查”权限。工作进程标识通过这两个组当中的一个继承“跳过遍历检查”权限。如果从“跳过遍历检查”权限中删除这两个组，工作进程标识将不会通过任何其他分配继承“跳过遍历检查”权限，因此工作进程将无法启动。如果必须从“跳过遍历检查”权限中删除 Users 组和 Everyone 组，请添加 IIS_WPG 组以允许 IIS 按预期方式运行。

注意：在 IIS 6.0 中，如果将基本身份验证配置为身份验证选项之一，则基本身份验证的LogonMethod 元数据库属性将为 NETWORK_CLEARTEXT。NETWORK_CLEARTEXT 登录类型不需要“允许本地登录”用户权限。这同样适用于匿名身份验证。有关其他信息，请参见 IIS 帮助中的“基本身份验证默认登录类型”主题。您也可以访问下面的 Microsoft 网站：

基本身份验证

http://www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/cf438d2c-f9c7-4351-bf56-d2ab950d7d6e.mspx

（可能为英文网页）