4 votes

Dani Duran avatar

Configuration du serveur Win2008 R2 - Permissions IIS_IUSRS

Demandé el 19 de Mars, 2010
Quand la question a-t-elle été
6364 affichage
Nombre de visites la question a
3 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Je suis en train de mettre en place un serveur web et j'ai remarqué qu'il donne IIS_IUSRS les droits de lecture et d'exécution (et par conséquent la liste du contenu des dossiers) sur le wwwroot. J'essaie de m'assurer que c'est aussi sécurisé que possible, et je me demande juste si c'est correct de laisser cela ?

Sur mon dernier serveur (Win2003), je n'ai donné que des droits de lecture aux utilisateurs sur le wwwroot, puis j'ai ajouté manuellement les droits d'écriture et d'exécution sur les dossiers selon les besoins.

Je me demande juste si tout le monde laisse les permissions telles quelles ?

Demandé el 19 de Mars, 2010 par Dani Duran

Réponses

Trop de publicités?

2voto

Vivek Kumbhar avatar
Vivek Kumbhar Points 3053

Vous pouvez consulter l'article http://learn.iis.net/page.aspx/140/understanding-the-built-in-user-and-group-accounts-in-iis-70/ . Comme TomTom l'a dit, la sécurité a beaucoup changé par rapport à ce qu'elle était dans IIS 6.0. L'article donne de bons détails sur les changements au niveau des utilisateurs et des groupes qui ont eu lieu dans IIS 7.0.

Vous trouverez ci-dessous une partie du lien du site Web et de l'aide disponible dans IIS 7.

Le groupe IIS_IUSRS a été accordé. l'accès à tous les fichiers et ressources ressources système, de sorte qu'un compte, lorsqu'il est ajouté à ce groupe, puisse agir comme une identité de pool d'applications de manière transparente. Par défaut, le compte compte ApplicationPoolIdentity est sélectionné. Le compte ApplicationPoolIdentity est créé dynamiquement lorsqu'un pool d'applications est démarré, et ce compte offre donc la plus grande la plus grande sécurité pour vos applications.

Répondu el 29 de Mars, 2010 par Vivek Kumbhar (3053 Points )

1voto

aximili avatar
aximili Points 6760

Voici ce que je comprends :

Selon aquí :

IIS 7 rend également le processus de configuration d'un pool d'applications d'applications et d'effectuer toutes les nécessaires. Lorsque IIS démarre un processus de travail, il doit créer un jeton jeton que le processus utilisera. Lorsque ce jeton est créé, IIS 7 ajoute automatiquement l'adhésion IIS_IUSRS au jeton des processus de travail au moment de l'exécution. Les comptes qui s'exécutent en tant qu'"identités de pool d'applications n'ont plus besoin d'être une partie explicite du groupe IIS_IUSRS. Cette modification vous permet de configurer vos systèmes avec moins d'obstacles et rend votre expérience expérience globale plus favorable.

On peut donc dire que, quel que soit le compte utilisé comme identité de pool d'applications, ce compte recevra l'autorisation du groupe IIS_IUSRS au moment de l'exécution. de manière dynamique et implicite . Ce site soi-disant La commodité est censée fournir la le plus sécurité. De toute façon, qui ne veut pas des permissions IIS_IUSRS si le compte fonctionne comme une identité de pool d'applications. Mais j'aime bien que tout soit au soleil.

Gracias

Répondu el 17 de Mars, 2011 par aximili (6760 Points )

1 votes

Avatar de TristanK

Si vous n'aimez pas cela : activez manualGroupMembership :)

Commenté el 17 de Mars, 2011 par TristanK

0 votes

Avatar de aximili

Merci de me le rappeler. Maintenant, j'ai une chose de plus à faire... >_<

Commenté el 17 de Mars, 2011 par aximili

0voto

TomTom avatar
TomTom Points 50635

Je vous suggère de vous documenter sur la gestion des autorisations dans IIS 7 - elle est TOTALEMENT différente de celle que vous connaissez. Totalement ;)

J'ai normalement mis en place : * Un utilisateur pour chaque site web * Un pool d'applications pour chaque site web, fonctionnant sous l'identité de l'utilisateur. * C'est tout - les droits vont à l'utilisateur de l'application.

Répondu el 19 de Mars, 2010 par TomTom (50635 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X