Iis
試圖了解 IIS 權限
我試圖了解 IIS 權限是如何工作的,因為我今天遇到了一個奇怪的場景。
因此,其中一位開發人員在伺服器上安裝了 IIS 10,並在 C:\WebSites\Site1 下創建了一個站點
現在,該特定站點也在將一些 txt 日誌文件寫入 C:\Site1-Logs。
Site1 的應用程序池作為“ApplicationPoolIdentity”執行。
從理論上講,執行站點的使用者(IIS AppPool\Site1)應該有權在 C:\Site1-Logs 目錄下寫入/創建 txt 文件,而無需手動設置權限?
因為我在安全選項卡下找不到任何與 IIS_USRS 組或“IIS AppPool\Site1”使用者相關的內容。
當我嘗試將寫入的日誌移動到另一個分區 (E:) 時,我必須向“IIS AppPool\Site1”授予寫入權限,我實際上可以在“安全”選項卡下看到該權限。
所以也許我錯過了什麼?預設情況下,IIS 安裝為系統服務,並且他已經授予寫入 C: 的權限?
在安全性方面有最佳實踐嗎?可以在 C: 下執行 Web 應用程序嗎?
感謝並抱歉解釋不好:P
icacls C:\Site1-Logs C:\Site1-Logs NT AUTHORITY\SYSTEM:(I)(OI)(CI)(F) BUILTIN\Administrators:(I)(OI)(CI)(F) BUILTIN\Users:(I)(OI)(CI)(RX) BUILTIN\Users:(I)(CI)(AD) BUILTIN\Users:(I)(CI)(WD) CREATOR OWNER:(I)(OI)(CI)(IO)(F)
該組對您的目錄
BUILTIN\Users
具有寫入權限。C:\Site1-Logs
使用者
IIS AppPool\Site1
自動成為該Users
組的成員,因為這是 Windows 下的一個特殊組。這就是您的網站具有寫入權限的原因。
您不能從中刪除
IIS AppPool\Site1
,users
但可以users
從目錄中刪除組的權限。