Безопасность IIS

Присвоение прав и разрешений группе распределенного администрирования


Минимальный набор прав для менеджера сайта – это разрешения на доступ к каталогу для изменения папок с информацией веб-сайта. Вероятно, нужно наделить некоторыми полномочиями и пользователей, работающих под контролем менеджера. Если членам группы распределенного администрирования нужны полные права операторов IIS по умолчанию, используйте MMC Interent Services Manager (Диспетчер служб интернета) для добавления группы в список ACL Operators (Операторы). Для более ограниченного набора прав настройте их непосредственно в списках ACL Windows 2000.

Выполните следующие процедуры для присвоения прав и разрешений в локальном списке ACL сервера.

  1. С помощью Проводника Windows найдите корневой каталог содержимого веб-сайта в окне My Computer (Мой компьютер).
  2. Щелкните на нем правой кнопкой мыши, выберите Properties (Свойства), чтобы открыть диалоговое окно, откройте вкладку Security (Безопасность), после чего появится окно настроек Properties (см. рисунок).


  3. На вкладке Security (Безопасность) отображены группы Admini-strators и System, которым ранее были присвоены полные разрешения на доступ ко всему жесткому диску. Теперь, находясь в корневом каталоге папок содержимого, добавьте новую группу с правами на доступ к ним.
  4. Нажмите на кнопку Add (Добавить), чтобы открыть диалоговое окно Select Users, Computers, or Groups (Выбор пользователей, компьютеров или групп) (см. рисунок). Прокрутите вниз список групп, чтобы отобразить новую группу администрирования, созданную для управления содержимым сайта. Выберите эту группу и нажмите на кнопку Add (Добавить).


  5. Нажмите на OK, чтобы сохранить изменения и закрыть окно. Вы вернетесь в диалоговое окно Properties для корневого каталога веб-сайта.
  6. В окне Properties корневого каталога в списке ACL появилась новая группа администрирования. При ее выделении отобразятся свойства, приписанные этой группе по умолчанию (убедитесь, что выделена нужная группа). Этих разрешений, по умолчанию установленных в IIS, недостаточно для управления содержимым сайта, поэтому расширьте их.
  7. Для добавления возможности изменения и записи данных отметьте опции разрешений Modify (Изменение) и Write (Запись).
    Нажмите на кнопку Apply (Применить) для сохранения изменений.
Предупреждение. В левом нижнем углу диалогового окна Properties корневого каталога веб-сайта (см. шаг 2) находится опция Allow Inheritable Permissions From Parent To Propagate To This Object (Разрешить наследование этим объектом разрешений от родительских объектов). Убедитесь, что она отмечена. Данный параметр не относится к учетным записям; он влияет на всю директорию в целом. При отключении наследуемых разрешений все учетные записи в родительских каталогах будут игнорироваться. Также будут игнорироваться права учетных записей Administrators и System, с помощью которых присваиваются права полного доступа к разделу диска. Отменять эти права сейчас не требуется.

Повторите указанные шаги для домашнего каталога каждого из веб-сайтов сервера, если эти процедуры соответствуют тем полномочиям, которыми наделяются менеджеры веб-содержимого. В зависимости от политики безопасности можно присваивать дополнительные права и разрешения профилям менеджеров. В таблицах 4.1, 4.2 представлен перечень остальных разрешений, присваиваемых или отключаемых в группах распределенного администрирования.

Ниже приведены процедуры для изменения подкатегорий разрешений Windows.

  1. Нажмите на кнопку Advanced (Дополнительно) внизу вкладки Security (Безопасность) окна домашнего каталога веб-сайта (см. шаг 2 предыдущей процедуры). Откроется новое диалоговое окно Access Control Settings (Параметры контроля доступа), показанное на рисунке. Внесите изменения в настройки на вкладке Permissions (Разрешения) данного окна.



  2. В левом нижнем углу находятся две опции, относящиеся ко всем учетным записям в данном каталоге. Выполните следующие действия, если они соответствуют политике безопасности организации.
    • Отметьте опцию Allow Inheritable Permissions From Parent To Propagate To This Object (Разрешить наследование этим объектом разрешений от родительских объектов), чтобы учетные записи, содержащие права на родительские каталоги данной учетной записи, передавали по наследству свои права этой учетной записи.
    • Отметьте опцию Reset Permissions On All Child Objects And Enable Propagation Of Inheritable Permissions (Сброс разрешений на всех дочерних объектах и передача наследуемых разрешений).


      Нажмите на кнопку Apply (Применить) для сохранения изменений.
Предупреждение. В левом нижнем углу диалогового окна Properties корневого каталога веб-сайта (см. шаг 2) находится опция Allow Inheritable Permissions From Parent To Propagate To This Object (Разрешить наследование этим объектом разрешений от родительских объектов). Убедитесь, что она отмечена. Данный параметр не относится к учетным записям; он влияет на всю директорию в целом. При отключении наследуемых разрешений все учетные записи в родительских каталогах будут игнорироваться. Также будут игнорироваться права учетных записей Administrators и System, с помощью которых присваиваются права полного доступа к разделу диска. Отменять эти права сейчас не требуется.

Повторите указанные шаги для домашнего каталога каждого из веб-сайтов сервера, если эти процедуры соответствуют тем полномочиям, которыми наделяются менеджеры веб-содержимого. В зависимости от политики безопасности можно присваивать дополнительные права и разрешения профилям менеджеров. В таблицах 4.1, 4.2 представлен перечень остальных разрешений, присваиваемых или отключаемых в группах распределенного администрирования.

Ниже приведены процедуры для изменения подкатегорий разрешений Windows.

  1. Нажмите на кнопку Advanced (Дополнительно) внизу вкладки Security (Безопасность) окна домашнего каталога веб-сайта (см. шаг 2 предыдущей процедуры). Откроется новое диалоговое окно Access Control Settings (Параметры контроля доступа), показанное на рисунке. Внесите изменения в настройки на вкладке Permissions (Разрешения) данного окна.



  2. В левом нижнем углу находятся две опции, относящиеся ко всем учетным записям в данном каталоге. Выполните следующие действия, если они соответствуют политике безопасности организации.
    • Отметьте опцию Allow Inheritable Permissions From Parent To Propagate To This Object (Разрешить наследование этим объектом разрешений от родительских объектов), чтобы учетные записи, содержащие права на родительские каталоги данной учетной записи, передавали по наследству свои права этой учетной записи.
    • Отметьте опцию Reset Permissions On All Child Objects And Enable Propagation Of Inheritable Permissions (Сброс разрешений на всех дочерних объектах и передача наследуемых разрешений).

      Содержание раздела