默认 NTFS 文件系统权限
本节中的表列出了默认 NTFS 权限分配给特定的文件夹和文件。
\inetpub
| 用户 / 组 | 允许的权限 | 注释 |
| 创建者所有者 | 特殊权限 | 等效于完全的控制。 适用于子文件夹和文件。 |
| 系统 | 完全控制 | |
| 管理员 | 完全控制 | |
| 用户 | 读取和执行 列出文件夹内容 读 |
|
| TrustedInstaller | 完全控制 |
\inetpub\AdminScripts
| 用户 / 组 | 允许的权限 | 注释 |
| 创建者所有者 | 特殊权限 | 等效于完全的控制。 适用于子文件夹和文件。 |
| 系统 | 完全控制 | |
| 管理员 | 完全控制 | |
| 用户 | 读取和执行 列出文件夹内容 读 |
|
| TrustedInstaller | 完全控制 |
\inetpub\AdminScripts\0409
| 用户 / 组 | 允许的权限 | 注释 |
| 创建者所有者 | 特殊权限 | 等效于完全的控制。 适用于子文件夹和文件。 \Inetpub\AdminScripts\ 从继承。 |
| 系统 | 完全控制 | \Inetpub\AdminScripts\ 从继承。 |
| 管理员 | 完全控制 | \Inetpub\AdminScripts\ 从继承。 |
| 用户 | 读取和执行 列出文件夹内容 读 |
\Inetpub\AdminScripts\ 从继承。 |
| TrustedInstaller | 完全控制 | \Inetpub\AdminScripts\ 从继承。 |
\inetpub\custerr
| 用户 / 组 | 允许的权限 | 注释 |
| 创建者所有者 | 特殊权限 | 等效于完全的控制。 适用于子文件夹和文件。 从\Inetpub 继承。 |
| 系统 | 完全控制 特殊权限 |
从 \inetpub 继承完全控制。 特殊权限相等,为完全控制。 适用于仅此文件夹。 |
| 管理员 | 完全控制 特殊权限 |
从 \inetpub 继承完全控制。 等效于完全的控制。 适用于仅此文件夹。 |
| 用户 | 读取和执行 列出文件夹内容 读 特殊权限 |
\Inetpub 除特殊权限被继承权限。
特殊权限将应用于此文件夹,并包括以下: 遍历文件夹/执行文件 |
| TrustedInstaller | 完全控制 | 从\Inetpub 继承。 |
\inetpub\custerr\en-us
| 用户 / 组 | 允许的权限 | 注释 |
| 创建者所有者 | 特殊权限 | 等效于完全的控制。 适用于子文件夹和文件。 从\Inetpub 继承。 |
| 系统 | 完全控制 | 从\Inetpub 继承。 |
| 管理员 | 完全控制 | 从\Inetpub 继承。 |
| 用户 | 读取和执行 列出文件夹内容 读 |
从\Inetpub 继承。 |
| TrustedInstaller | 完全控制 | 从\Inetpub 继承。 |
\inetpub\ftproot
| 用户 / 组 | 允许的权限 | 注释 |
| 创建者所有者 | 特殊权限 | 等效于完全的控制。 适用于子文件夹和文件。 从\Inetpub 继承。 |
| 系统 | 完全控制 | 从\Inetpub 继承。 |
| 管理员 | 完全控制 | 从\Inetpub 继承。 |
| 用户 | 读取和执行 列出文件夹内容 读 |
从\Inetpub 继承。 |
| TrustedInstaller | 完全控制 | 从\Inetpub 继承。 |
\inetpub\history 和子文件夹
| 用户 / 组 | 允许的权限 | 注释 |
| 系统 | 完全控制 | |
| 管理员 | 完全控制 |
\inetpub\logs
| 用户 / 组 | 允许的权限 | 注释 |
| 创建者所有者 | 特殊权限 | 等效于完全的控制。 适用于子文件夹和文件。 从\Inetpub 继承。 |
| 系统 | 完全控制 | 从\Inetpub 继承。 |
| 管理员 | 完全控制 | 从\Inetpub 继承。 |
| 用户 | 读取和执行 列出文件夹内容 读 |
从\Inetpub 继承。 |
| WMSvc | 列出文件夹内容 | |
| TrustedInstaller | 完全控制 | 从\Inetpub 继承。 |
\inetpub\logs\FailedReqLogFiles
| 用户 / 组 | 允许的权限 | 注释 |
| IIS_USRS | 特殊权限 | 特殊权限如下所示:
列出文件夹/读取数据 |
| 系统 | 完全控制 | |
| 管理员 | 完全控制 |
\inetpub\logs\wmsvc
| 用户 / 组 | 允许的权限 | 注释 |
| 创建者所有者 | 特殊权限 | 等效于完全的控制。 适用于子文件夹和文件。 从\Inetpub 继承。 |
| 系统 | 完全控制 | 从\Inetpub 继承。 |
| 管理员 | 完全控制 | 从\Inetpub 继承。 |
| 用户 | 读取和执行 列出文件夹内容 读 |
从\Inetpub 继承。 |
| WMSvc | 修改 读取和执行 列出文件夹内容 读 写入 |
列表中的文件夹内容权限继承自 \inetpub\logs。 |
| TrustedInstaller | 完全控制 | 从\Inetpub 继承。 |
\inetpub\temp
| 用户 / 组 | 允许的权限 | 注释 |
| 创建者所有者 | 特殊权限 | 等效于完全的控制。 适用于子文件夹和文件。 从\Inetpub 继承。 |
| 系统 | 完全控制 | 从\Inetpub 继承。 |
| 管理员 | 完全控制 | 从\Inetpub 继承。 |
| 用户 | 读取和执行 列出文件夹内容 读 |
从\Inetpub 继承。 |
| TrustedInstaller | 完全控制 | 从\Inetpub 继承。 |
\inetpub\temp\appPools
| 用户 / 组 | 允许的权限 | 注释 |
| 创建者所有者 | 特殊权限 | 等效于完全的控制。 适用于子文件夹和文件。 |
| 系统 | 完全控制 | |
| 管理员 | 完全控制 | |
| IIS_USRS | 读取和执行 | 从\Inetpub 继承。 |
\inetpub\temp\ASP 编译模板
| 用户 / 组 | 允许的权限 | 注释 |
| 默认情况下,任何权限都不分配到此文件夹中。 |
\inetpub\temp\IIS 临时压缩的文件
| 用户 / 组 | 允许的权限 | 注释 |
| 系统 | 完全控制 | |
| 管理员 | 完全控制 | |
| IIS_USRS | 完全控制 |
\inetpub\wwwroot
| 用户 / 组 | 允许的权限 | 注释 |
| 创建者所有者 | 特殊权限 | 等效于完全的控制。 适用于子文件夹和文件。 从\Inetpub 继承。 |
| 系统 | 完全控制 | 从\Inetpub 继承。 |
| 管理员 | 完全控制 | 从\Inetpub 继承。 |
| 用户 | 读取和执行 列出文件夹内容 读 |
从\Inetpub 继承。 |
| IIS_USRS | 读取和执行 | |
| TrustedInstaller | 完全控制 | 从\Inetpub 继承。 |
\inetpub\wwwroot\aspnet_client
| 用户 / 组 | 允许的权限 | 注释 |
| 每个人都 | 读 | |
| 系统 | 完全控制 | |
| 管理员 | 完全控制 | |
| 用户 | 读取和执行 列出文件夹内容 读 |
%windir%\system32\inetsrv
| 用户 / 组 | 允许的权限 | 注释 |
| 创建者所有者 | 特殊权限 | 等效于完全的控制。 适用于子文件夹和文件。 |
| 系统 | 特殊权限 | 只允许使用系统帐户对该文件夹的特殊权限包括以下:
遍历文件夹/执行文件 子文件夹和文件系统所允许的特殊权限仅相当于完全控制。 |
| 管理员 | 特殊权限 | 管理员组对该文件夹所允许的特殊权限只包括:
遍历文件夹/执行文件 允许的子文件夹和文件管理员组的特殊权限仅相当于完全控制。 |
| 用户 | 读取和执行 列出文件夹内容 读 |
|
| TrustedInstaller | 特殊权限 | 权限等同于完全控制,并应用于此文件夹及其子文件夹。 |
%windir%\System32\inetsrv\0409
| 用户 / 组 | 允许的权限 | 注释 |
| 创建者所有者 | 特殊权限 | 等效于完全的控制。 适用于子文件夹和文件。 %Windir%\system32\inetsrv 从继承。 |
| 系统 | 完全控制 | %Windir%\system32\inetsrv 从继承。 |
| 管理员 | 完全控制 | 从 %windir%\System32\inetsrv 继承 |
| 用户 | 读取和执行 列出文件夹内容 读 |
从 %windir%\System32\inetsrv 继承 |
| TrustedInstaller | 特殊权限 | 等效于完全的控制。 适用于子文件夹和文件。 从 %windir%\System32\inetsrv 继承 |
%windir%\System32\inetsrv\config
| 用户 / 组 | 允许的权限 | 注释 |
| 创建者所有者 | 特殊权限 | 等效于完全的控制。 适用于子文件夹和文件。 |
| 系统 | 完全控制 | |
| 管理员 | 完全控制 | |
| 用户 | 读取和执行 列出文件夹内容 读 |
|
| TrustedInstaller | 完全控制 | |
| WMSvc | 读 |
%windir%\System32\inetsrv\config\Export
| 用户 / 组 | 允许的权限 | 注释 |
| 创建者所有者 | 特殊权限 | 等效于完全的控制。 适用于子文件夹和文件。 |
| 系统 | 完全控制 | |
| 管理员 | 完全控制 | |
| TrustedInstaller | 完全控制 |
%windir%\System32\inetsrv\config\schema
| 用户 / 组 | 允许的权限 | 注释 |
| 创建者所有者 | 特殊权限 | 等效于完全的控制。 适用于子文件夹和文件。 |
| 系统 | 特殊权限 | 只允许使用系统帐户对该文件夹的特殊权限包括以下:
遍历文件夹/执行文件 子文件夹和文件系统所允许的特殊权限仅相当于完全控制。 |
| 管理员 | 特殊权限 | 管理员组对该文件夹所允许的特殊权限只包括:
遍历文件夹/执行文件 允许的子文件夹和文件管理员组的特殊权限仅相当于完全控制。 |
| 用户 | 读取和执行 列出文件夹内容 读 |
|
| TrustedInstaller | 特殊权限 | 等效于完全的控制。 应用于此文件夹及其子文件夹。 |
%windir%\System32\inetsrv\en-us
| 用户 / 组 | 允许的权限 | 注释 |
| 创建者所有者 | 特殊权限 | 等效于完全的控制。 适用于子文件夹和文件。 |
| 系统 | 特殊权限 | 只允许使用系统帐户对该文件夹的特殊权限包括以下:
遍历文件夹/执行文件 子文件夹和文件系统所允许的特殊权限仅相当于完全控制。 |
| 管理员 | 特殊权限 | 管理员组对该文件夹所允许的特殊权限只包括:
遍历文件夹/执行文件 允许的子文件夹和文件管理员组的特殊权限仅相当于完全控制。 |
| 用户 | 读取和执行 列出文件夹内容 读 |
|
| TrustedInstaller | 列出文件夹内容 特殊权限 |
等效于完全的控制。 应用于此文件夹及其子文件夹。 |
%windir%\System32\inetsrv\History
| 用户 / 组 | 允许的权限 | 注释 |
| 管理员 | 完全控制 | |
| 系统 | 完全控制 |
%windir%\System32\inetsrv\MetaBack
| 用户 / 组 | 允许的权限 | 注释 |
| 管理员 | 完全控制 | |
| 系统 | 完全控制 |
默认的注册表权限
本节中的表列出了安装 IIS 7.0,IIS 7.5 或 IIS 8.0 时分配的默认注册表权限。读取权限的用户列出,请在下面的权限包括:
- 查询值
- 枚举子项
- 通知
- 读取控制
HKEY_LOCAL_MACHINE\Software\Microsoft\Inetmgr
| 用户 / 组 | 允许的权限 | 注释 |
| 创建者所有者 | 特殊权限 | 等效于完全的控制。 适用于仅子项。 |
| 系统 | 完全控制 | |
| 管理员 | 完全控制 | |
| 用户 | 读 |
HKEY_LOCAL_MACHINE\Software\Microsoft\InetStp
| 用户 / 组 | 允许的权限 | 注释 |
| 创建者所有者 | 特殊权限 | 等效于完全的控制。 适用于仅子项。 |
| 系统 | 完全控制 | |
| 管理员 | 完全控制 | |
| 用户 | 读 |
HKEY_LOCAL_MACHINE\Software\Microsoft\W3SVC
| 用户 / 组 | 允许的权限 | 注释 |
| 创建者所有者 | 特殊权限 | 等效于完全的控制。 适用于仅子项。 |
| 系统 | 完全控制 | |
| 管理员 | 完全控制 | |
| 用户 | 读 |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ASP
| 用户 / 组 | 允许的权限 | 注释 |
| 创建者所有者 | 特殊权限 | 等效于完全的控制。 适用于仅子项。 |
| 系统 | 完全控制 | |
| 管理员 | 完全控制 | |
| 用户 | 读 |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ASP.NET
| 用户 / 组 | 允许的权限 | 注释 |
| 创建者所有者 | 特殊权限 | 等效于完全的控制。 适用于仅子项。 |
| 系统 | 完全控制 | |
| 管理员 | 完全控制 | |
| 用户 | 读 |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ASP.NET_2.0.50727
| 用户 / 组 | 允许的权限 | 注释 |
| 创建者所有者 | 特殊权限 | 等效于完全的控制。 适用于仅子项。 |
| 系统 | 完全控制 | |
| 管理员 | 完全控制 | |
| 用户 | 读 |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\aspnet_state
| 用户 / 组 | 允许的权限 | 注释 |
| 创建者所有者 | 特殊权限 | 等效于完全的控制。 适用于仅子项。 |
| 系统 | 完全控制 | |
| 管理员 | 完全控制 | |
| 用户 | 读 |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP
| 用户 / 组 | 允许的权限 | 注释 |
| 创建者所有者 | 特殊权限 | 等效于完全的控制。 适用于仅子项。 |
| 系统 | 完全控制 | |
| 管理员 | 完全控制 | |
| 用户 | 读 |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\IISAdmin
| 用户 / 组 | 允许的权限 | 注释 |
| 创建者所有者 | 特殊权限 | 等效于完全的控制。 适用于仅子项。 |
| 系统 | 完全控制 | |
| 管理员 | 完全控制 | |
| 用户 | 读 |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\W3SVC
| 用户 / 组 | 允许的权限 | 注释 |
| 创建者所有者 | 特殊权限 | 等效于完全的控制。 适用于仅子项。 |
| 系统 | 完全控制 | |
| 管理员 | 完全控制 | |
| 用户 | 读 |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WAS
| 用户 / 组 | 允许的权限 | 注释 |
| 创建者所有者 | 特殊权限 | 等效于完全的控制。 适用于仅子项。 |
| 系统 | 完全控制 | |
| 管理员 | 完全控制 | |
| 用户 | 读 |
注意:WAS 键用于 Windows 进程激活服务。这是所需的依赖关系,与 IIS 一起安装。
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WMsvc
| 用户 / 组 | 允许的权限 | 注释 |
| 创建者所有者 | 特殊权限 | 等效于完全的控制。 适用于仅子项。 |
| 系统 | 完全控制 | |
| 管理员 | 完全控制 | |
| 用户 | 读 |
默认 Windows 用户权限分配
本节中的表列出了默认本地安全策略以及用户、 组或用户和安装 IIS 7.0,IIS 7.5 或 IIS 8.0 时分配策略的组。
Windows 用户权利指派的本地安全策略
| 允许的权限 | 用户 / 组 | |
| 从网络访问此计算机 | 每个人都 管理员 用户 备份操作员 |
|
| 调整进程的内存配额 | 本地服务 网络服务 管理员 ApplicationPoolIdentity |
|
| 允许在本地登录 | 管理员 用户 备份操作员 |
|
| 跳过遍历检查 | 每个人都 本地服务 网络服务 管理员 用户 备份操作员 |
|
| 生成安全审核的详细信息 | ApplicationPoolIdentity | |
| 在身份验证后模拟客户端 | 本地服务 网络服务 管理员 IIS_IUSRS 服务 |
|
| 作为批处理作业登录 | 管理员 备份操作员 性能日志用户 IIS_IUSRS |
|
| 作为服务登录 | ApplicationPoolIdentity | |
| 替换进程级令牌 | 本地服务 网络服务 ApplicationPoolIdentity |
时间: 2024-10-30 05:03:15