1. Windows 2008 R2-Benutzergruppenbeziehung
Ich verwende Windows 2008r2 iis7.5 schon lange, habe aber die Beziehung zwischen Windows-Benutzergruppen immer noch nicht herausgefunden.
Kürzlich durch Suche wie folgt organisiert
Öffnen Sie den Windows-Benutzergruppenmanager (Serververwaltung -> Konfiguration -> Lokale Benutzer und Gruppen -> Gruppen).
Konzentrieren Sie sich auf die folgenden Gruppen
| Gruppe | Gruppenmitglieder | Anmerkung |
| Administratoren | Administrator | Superadministrator |
| Gäste | Anonyme Konten sind grundsätzlich deaktiviert | |
| Power-User | Die Gruppe mit den höchsten Berechtigungen außer Admin | |
| IIS_IUSRS | Alle virtuellen iS-Konten gehören zu dieser Gruppe | |
| Benutzer | NT-Autorität\Interaktiv (S-1-5-4) NT-Autorität\Authentifizierter Benutzer |
Achten Sie besonders auf die Mitglieder der Gruppe. Sie sehen, dass grundsätzlich alle Benutzer (außer Gästen) zu Benutzern gehören, daher sollten Benutzer bei der Vergabe von Berechtigungen vorsichtiger sein. |
2. Klicken Sie mit der rechten Maustaste auf eine beliebige Datei -> Sicherheit -> Bearbeiten -> Hinzufügen -> Erweitert -> Jetzt suchen
Weitere Benutzergruppen finden Sie hier (dies sind integrierte Gruppen).
| * Alle | Jeder Benutzer gehört zu dieser Gruppe, einschließlich der Mitglieder der Gruppe „Gäste“. Wenn Sie also „Gäste“ aktivieren, müssen Sie beim Zuweisen von „Jeder“ besonders vorsichtig sein. | |
| * Authentifizierte Benutzer | Jeder Benutzer, der sich mit einem gültigen Benutzerkonto an diesem Computer anmeldet, gehört zu dieser Gruppe. Der Unterschied zu „Jeder“ besteht darin, dass Gäste nicht berücksichtigt werden. |
|
| * interaktiv | Jeder lokal angemeldete Benutzer (Remotedesktop, Terminal) gehört zu dieser Gruppe. | |
| NT-AUTORITÄT\INTERAKTIV(S-1-5-4) | Es sollte ähnlich wie interaktiv sein | |
| NT-Autorität\Authentifizierter Benutzer | Sollte ähnlich wie „Authentifizierte Benutzer“ sein | |
| anonyme Anmeldung | Dies ist die niedrigste Berechtigungsgruppe, wenn der Benutzer FTP, Netzwerknachbarn usw. öffnet und nicht angemeldet ist. | |
| Erstellergruppe | Gruppe des Erstellers | |
| Ersteller-Besitzer | Ersteller (ohne Gruppe) | |
| * IUSR | Die anonyme Identitätsauthentifizierung von IIS 7 erfolgt über diesen Benutzer. Der Unterschied zu IIS_IUSRS besteht darin, dass Sie unten echte Benutzer hinzufügen können (im Folgenden ist das virtuelle Konto unter IIS_IUSRS) (dies wird nicht empfohlen, die Verwendung ist bequemer). (Virtueller Benutzer IIS_IUSRS direkt) 1. Öffnen Sie den IIS-Manager und doppelklicken Sie auf die Site, die Sie einrichten möchten. 2. Doppelklicken Sie in der Funktionsansicht auf Authentifizierung. 3. Wählen Sie Anonyme Authentifizierung und klicken Sie auf Bearbeiten. 4. Klicken Sie auf den jeweiligen Benutzer und legen Sie ihn fest. 5. Geben Sie den Benutzernamen und das Passwort des Benutzers ein und bestätigen Sie. http://blog.chinaunix.net/uid-20344928-id-3306130.html |
|
| Service vor Ort | Service vor Ort | |
| Netzwerk | Jeder Benutzer, der sich über das Netzwerk an diesem Computer anmeldet, gehört zu dieser Gruppe | |
| Netzwerkdienst | Internetdienst | |
| Eigentümerrechte | Eigentümer | |
| Remote-interaktive Anmeldung | Interaktive Remote-Anmeldung (Remote-Desktop, Konsole) | |
| * System | Diese Gruppe verfügt über die gleichen oder sogar höhere Berechtigungen als Administratoren |
Besondere Aufmerksamkeit ist der Gruppe mit „*“ zu widmen.
2. Virtueller Windows-Benutzer
Wenn Sie in der Windows 2003-Ära separate Berechtigungen für Websites festlegen müssen, müssen Sie für jede Website separate Benutzer erstellen.
Windows 2008 iis7.5 fügt ein neues virtuelles Konto hinzu, wodurch die Notwendigkeit entfällt, für jede Website separate Benutzer zu erstellen.
1. Virtuelles Konto aktivieren
Unter Website->Grundeinstellungen->Verbinden als->Anwendungsbenutzer
Zu diesem Zeitpunkt ist das virtuelle Konto aktiviert.
Überprüfen Sie den Prozessmanager:
Sie können sehen, dass der Benutzer hinter php-cgi.exe w3wp.exe „Name des Anwendungspools“ ist.
Dies ist der virtuelle Benutzer
Sie können Baidu „applicationpoolidentity“ oder das virtuelle Konto iis7.5 verwenden, um zugehöriges Wissen abzufragen.
3. Legen Sie Website-Berechtigungen fest (vorausgesetzt, der Server wird hauptsächlich für den Website-Zugriff verwendet und das Serverprogramm ist iis + php).
Gemäß der Benutzergruppenbeziehung ist IIS_IUSRS die Gruppe, zu der iS PHP gehört, wenn die Website mit einem virtuellen Konto ausgeführt wird
1. Laufwerk C verfügt standardmäßig über eine schreibgeschützte Berechtigung für „Benutzer“ (vorausgesetzt, das Website-Verzeichnis befindet sich nicht auf Laufwerk C).
2. Löschen Sie für andere Laufwerksbuchstaben als das Laufwerk C alle Benutzerberechtigungen außer Systemadministratoren und Benutzern (behalten Sie die ursprünglichen Berechtigungen bei, die theoretisch gelöscht werden können. Geben Sie Benutzern höchstens Leseberechtigungen und keine Lese-/Schreibberechtigungen Berechtigungen).
3. Legen Sie andere Laufwerksbuchstaben als Laufwerk C fest, um den Zugriff auf alle Berechtigungen der Gruppe IIS_IUSRS zu verweigern (Zugriffsberechtigungen verweigern > Berechtigungen zulassen).
4. Achten Sie besonders auf das PHP-Verzeichnis, das PHP-Upload-Verzeichnis und das PHP- Sitzungsverzeichnis, für die Lese- und Schreibberechtigungen erforderlich sind (wenn Sie keine Änderungen vorgenommen haben und sich PHP auf dem Laufwerk C befindet, verfügen diese Verzeichnisse über Lese- und Schreibberechtigungen im standardmäßigen temporären Verzeichnis von Windows)
5. Stellen Sie php.ini open_basedir ein, um die Lese- und Schreibverzeichnisse von PHP auf das Website-Verzeichnis zu beschränken (es können mehrere Verzeichnisse festgelegt werden).
6. Richten Sie das Website-Verzeichnis ein und erteilen Sie dem Konto „ IIS AppPool\Application Pool Name“ Leseberechtigungen sowie Lese- und Schreibberechtigungen für bestimmte Verzeichnisse basierend auf dem Website-Programm.
Das Konto „ IIS AppPool\Application Pool Name“ kann nicht gefunden werden und muss manuell eingegeben werden.
7.php Andere Sicherheitseinstellungen beziehen sich auf die Online-Entscheidung und dürfen nicht über Exec-Berechtigungen ausgeführt werden.
4.Beispiel
Annahme: PHP ist auf Laufwerk C, Sitzungsverzeichnis, installiert und das Upload-Verzeichnis wurde nicht geändert.
Die Website ist unter: „d:\www“
Website 1 d:\www\www.a.com Name des Anwendungspools www.a.com
Website 2 d:\www\www.b.com Name des Anwendungspools www.b.com
1. d:disk IIS_IUSRS verfügt nicht über Lese- und Schreibberechtigungen
2. php.ini open_basedir= d:\www\
3.d:\www\www.a.com Autorisieren Sie das Konto „IIS AppPool\www.a.com“, um Berechtigungen zu lesen
4.d:\www\www.b.com Autorisieren Sie das Konto „IIS AppPool\www.b.com“, um Berechtigungen zu lesen
(1) Das IIS-PHP von www.a.com wird mit der Berechtigung „IIS AppPool\www.a.com“ ausgeführt und kann nur die Daten von d:\www\www.a.com lesen.
(2) Darüber hinaus gehört das Konto „IIS AppPool\www.a.com“ den „Benutzern“ authentifizierter Benutzer und verfügt über Leseberechtigungen für einige Verzeichnisse auf dem Laufwerk c des Benutzers.
Da iS die Konfigurationsdatei des Laufwerks C lesen muss und aus anderen Gründen (z. B. wenn PHP ausgeführt wird) muss „IIS AppPool\www.a.com“ über eine Leseberechtigung verfügen (das Laufwerk C sollte standardmäßig nicht geändert werden, wenn Sie dies wirklich verbieten). Beim Lesen führt iis zu einem Fehler.
(3) Wir haben jedoch auch das Verzeichnis zum Lesen und Schreiben von Dateien in PHP auf .d:\www\ beschränkt, sodass das PHP-Programm von www.a.com nur die Verzeichnisdaten von d:\www\www.a.com lesen kann
Zugriff auf d:\www\www.b.com und andere Nicht-Website-Verzeichnisse nicht möglich (um Cross-Site zu verhindern)
Grundlegende Berechtigungsbeschreibung:
php.ini-Einstellungen beschränken den Zugriff auf d:\www\
IIS_IUSRS-Zugriff verweigert „d:\“
„IIS AppPool\www.a.com“ ermöglicht den Zugriff auf d:\www\www.a.com
Auf diese Weise kann die Website nur auf das aktuelle Website-Verzeichnis zugreifen. Die Einstellung ist relativ einfach.
4. Referenzanweisungen
https://www.cnblogs.com/yjmyzz/archive/2009/10/26/1590033.html iis virtuelles Konto
https://blog.csdn.net/kexiuyi/article/details/51704688 Windows2008-Benutzergruppe
Weitere Baidu-Suchanfragen und persönliche Erfahrungen