1.Windows 2008 R2のユーザーグループ関係
私は長い間 Windows 2008r2 iis7.5 を使用していますが、Windows ユーザー グループ間の関係がまだわかりません。
最近検索すると以下のように整理されました
Windows ユーザー グループ マネージャーを開きます (サーバー管理 -> 構成 -> ローカル ユーザーとグループ -> グループ)
以下のグループに注目
グループ | グループの人(仲間)たち | 述べる |
管理者 | 管理者 | スーパー管理者 |
ゲスト | 匿名アカウントは通常無効になっています | |
パワーユーザー | 管理者を除く最高の権限を持つグループ | |
IIS_IUSRS | すべての iis 仮想アカウントはこのグループに属します | |
ユーザー | NT AUTHORITY\INTERACTIVE(S-1-5-4) NT Authority\認証されたユーザー |
グループ内のメンバーには特に注意してください。基本的にすべてのユーザー (ゲストを除く) がユーザーに属していることがわかります。そのため、ユーザーは権限を割り当てるときに注意する必要があります。 |
2. 任意のファイルを右クリックし、[セキュリティ] -> [編集] -> [追加] -> [詳細設定] -> [今すぐ検索] を選択します。
その他のユーザー グループはここで確認できます (これらは組み込みグループです)
* みんな | Guests グループのメンバーを含むすべてのユーザーがこのグループに属しているため、Guests を有効にする場合は、Everyone を割り当てるときに特に注意する必要があります。 | |
* 認証されたユーザー | 有効なユーザー アカウントでこのコンピュータにログインしているすべてのユーザーがこのグループに属します。Everyone との違いは、ゲストが含まれていないことです。 |
|
* 相互の作用 | ローカル (リモート デスクトップ、ターミナル) にログインしているユーザーはすべて、このグループに属します。 | |
NT オーソリティ\インタラクティブ(S-1-5-4) | インタラクティブに似ているはずです | |
NT 権限\認証されたユーザー | 認証されたユーザーと同様である必要があります | |
匿名ログオン | これは、ユーザーが FTP、ネットワーク ネイバーなどを開いてログインしていない場合の最も低い権限グループです。 | |
クリエイターグループ | クリエイターズグループ | |
クリエイターオーナー | 作成者(グループを除く) | |
*IUSR | IIS 7 の匿名 ID 認証は、このユーザーを通じて実行されます。IIS_IUSRS との違いは 、以下に実際のユーザーを追加できることです (次は IIS_IUSRS の仮想アカウントです) (推奨されません。 IIS_IUSRS 仮想ユーザーを直接) 1. IIS マネージャーを開き、セットアップするサイトをダブルクリックします。 2. 機能ビューで、「認証」をダブルクリックします。 3. 「匿名認証」を選択し、「編集」をクリックします。 4. 特定のユーザーをクリックして設定します。 5. ユーザーのユーザー名とパスワードを入力し、確認します。 http://blog.chinaunix.net/uid-20344928-id-3306130.html |
|
ローカルサービス | ローカルサービス | |
通信網 | ネットワーク経由でこのコンピュータにログインするすべてのユーザーは、このグループに属します。 | |
ネットワークサービス | インターネットサービス | |
所有者の権利 | 所有者 | |
リモート対話型ログオン | リモート対話型ログイン (リモート デスクトップ、コンソール) | |
* システム | このグループには、管理者と同等またはそれ以上の権限があります。 |
「*」が付いたグループには特に注意が必要です。
2.Windows仮想ユーザー
Windows 2003 時代では、Web サイトに個別の権限を設定する必要がある場合は、Web サイトごとに個別のユーザーを作成する必要がありました。
Windows 2008 iis7.5 では新しい仮想アカウントが追加され、Web サイトごとに個別のユーザーを作成する必要がなくなります。
1. 仮想アカウントを有効にする
Web サイト -> 基本設定 -> 接続 -> アプリケーション ユーザー
この時点で、仮想アカウントが有効になります。
プロセス マネージャーを確認します。
php-cgi.exe w3wp.exe のユーザーが「アプリケーション プール名」であることがわかります。
これは仮想ユーザーです
Baidu の「applicationpoolidentity」または iis7.5 仮想アカウントを使用して、関連するナレッジをクエリできます。
3. Web サイトのアクセス許可を設定します (サーバーは主に Web サイトへのアクセスに使用され、サーバー プログラムは iis+php であると仮定します)。
ユーザー グループの関係によれば、Web サイトが仮想アカウントで実行されている場合、iis php が属するグループは IIS_IUSRS です。
1.C ドライブにはデフォルトで「ユーザー」の読み取り専用権限があります (Web サイトのディレクトリが C ドライブにないことを前提としています)。
2. c ドライブ以外のドライブ文字については、システム管理者とユーザー以外のユーザー権限を削除します (元の権限は保持します。理論的には削除できます。最大でもユーザーに読み取り専用の権限を与え、ユーザーには読み取り/書き込み権限を与えないでください)許可)。
3. c ドライブ以外のドライブ文字を設定して、IIS_IUSRS グループのすべてのアクセス許可へのアクセスを拒否します (アクセス許可を拒否 > アクセス許可を許可)
4. 読み取りおよび書き込み権限が必要な php ディレクトリ、 php アップロード ディレクトリ、および php セッション ディレクトリに特に注意してください (変更しておらず、php が C ドライブ上にある場合、これらのディレクトリにはデフォルトの一時ディレクトリで読み取りおよび書き込み権限があります) Windowsの)
5. php.ini open_basedir を設定して、PHP の読み取りおよび書き込みディレクトリを Web サイトのディレクトリに制限します (複数のディレクトリを設定できます)
6. Web サイト ディレクトリを設定し、アカウント「 IIS AppPool\アプリケーション プール名」に読み取り権限を付与し、Web サイト プログラムに基づいて特定のディレクトリに読み取りおよび書き込み権限を付与します。
アカウント「 IIS AppPool\アプリケーション プール名」が見つからないため、手動で入力する必要があります。
7.php 他のセキュリティ設定はオンライン決定を参照するため、実行権限を持つことはできません。
4.例
前提: PHP は C ドライブのセッション ディレクトリにインストールされており、アップロード ディレクトリは変更されていません。
Web サイトは「d:\www」です。
Web サイト 1 d:\www\www.a.com アプリケーション プール名 www.a.com
Web サイト 2 d:\www\www.b.com アプリケーション プール名 www.b.com
1. d:disk IIS_IUSRS には読み取りおよび書き込み権限がありません
2.php.ini open_basedir= d:\www\
3.d:\www\www.a.com アカウント「IIS AppPool\www.a.com」に読み取り権限を付与します。
4.d:\www\www.b.com アカウント「IIS AppPool\www.b.com」に読み取り権限を付与します。
(1) www.a.com の iis php は、「IIS AppPool\www.a.com」権限で実行され、d:\www\www.a.com のデータのみを読み取ることができます。
(2) さらに、「IIS AppPool\www.a.com」アカウントは、認証されたユーザー「users」に属しており、ユーザーの C ドライブ上の一部のディレクトリに対する読み取り権限を持っています。
iis は c ドライブ構成ファイルを読み取る必要があり、また他の理由 (php の実行など) により、「IIS AppPool\www.a.com」には読み取り権限が必要です (本当に禁止している場合、c ドライブはデフォルトで変更されるべきではありません) it を読み取ると、iis はエラーになります)。
(3) ただし、PHP でのファイルの読み取りおよび書き込みディレクトリも .d:\www\ に制限したため、www.a.com の PHP プログラムは d:\www\www.a.com のディレクトリ データのみを読み取ることができます。
d:\www\www.b.com およびその他の非 Web サイト ディレクトリにアクセスできません (クロスサイトを防ぐため)
基本的な権限の説明:
php.ini 設定により d:\www\ へのアクセスが制限されています
IIS_IUSRS アクセスが拒否されました "d:\"
「IIS AppPool\www.a.com」により、d:\www\www.a.com へのアクセスが許可されます。
このように、Web サイトは現在の Web サイトのディレクトリにのみアクセスできるようになり、設定は比較的簡単です。
4. 参照手順
https://www.cnblogs.com/yjmyzz/archive/2009/10/26/1590033.html iis 仮想アカウント
https://blog.csdn.net/kexiuyi/article/details/51704688 Windows2008 ユーザーグループ
その他の Baidu の検索と個人的な経験