作者:沃尔特·奥利弗
介绍
必须仔细实施文件服务器权限才能提供对内容的适当访问权限。 这涉及到锁定对共享文件夹和物理文件夹的权限。
权限
下表列出了在托管指南的“规划 Web 托管体系结构”部分中提到的共享托管安装程序中用于文件服务器共享文件夹的权限。 根据使用的共享托管环境,服务器管理员应开发自己的自定义权限以满足其需求。
| 路径 | 权限 | 原因 |
|---|---|---|
| \server\share$ (share) | 域管理员 - 完全控制域用户 - 更改 MachineAccounts$ - 完全控制 | 共享权限需要允许管理员和网站帐户访问内容。 物理路径将仅限于实际需要的权限。 |
| E:\Content (共享的物理路径) | 管理员 - 完全控制系统 - 完全控制 | 这是共享的文件夹。 除了内置的管理员组和系统帐户外,它不需要任何其他帐户的权限。 |
| E:\Content\<sitename> (特定网站或用户的容器) | 管理员 - 完全控制系统 - 完全控制网站所有者 - 列表文件夹内容 | 此文件夹用作网站主目录及其日志文件等文件夹的容器。 网站所有者应能够读取此文件夹,但不需要写入访问权限。 |
| E:\Content\<sitename> \wwwroot (站点的 IIS 主目录) | 管理员 - 完全控制系统 - 完全控制网站所有者 - 修改应用池用户名 - 读取 | 这是属于用户帐户的网站根目录。 应用池用户名用作应用程序池标识和网站的匿名用户名。 |
| E:\Content\<sitename>\Logs (日志容器) | 管理员 - 完全控制系统 - 完全控制网站所有者 - 读取 | 请注意,日志的此文件夹存储在站点根目录上方,以便浏览网站的访问者无法访问该文件夹。 出于安全考虑,不建议将此文件夹置于可从 Web 浏览器访问的任何位置。 |
| E:\Content\<sitename>\Logs\FailedReqLogs (失败请求跟踪日志的容器) | 管理员 - 完全控制系统 - 完全控制应用池用户名 - 完全控制 | 这是用于存储失败请求日志文件的文件夹,允许网站所有者诊断其网站的问题。 这些日志由工作进程标识“应用池用户名”编写。 |
| E:\Content\<sitename>\Logs\W3SVCLogFiles (W3SVC 流量日志的容器) | 管理员 - 完全控制系统 - 完全控制 MachineAccount$ - 完全控制 | 这是用于存储网站的日志文件的文件夹,允许网站所有者查看其流量模式。 如果服务器管理员不希望共享这些文件或想要提供用于确定流量的备用方法,则可以将这些文件存储在其他位置。 MachineAccount$ 是 Web 服务器的计算机帐户,因为这些日志由HTTP.SYS编写。 |
配置权限
配置共享的权限
在 Windows 资源管理器中,右键单击要共享的文件夹,然后单击“ 属性”。
在“ 共享 ”选项卡上,单击“ 高级共享”。
在“用户帐户控制”中,单击“ 继续 ”接受 Windows 需要你执行操作权限的提示。
在“ 高级共享 ”对话框中,选中“ 共享此文件夹”。
根据需要设置共享名称和批注。 若要隐藏共享,请将 $添加到共享名称的末尾。
注释
隐藏共享意味着连接到 [\server]
(file://server/)时,除非专门输入路径 [\server\share$](file://server/share$),否则不会看到共享。单击权限。
在 “权限 ”对话框中,删除“每个人”组(如果存在)。
添加应该有权访问共享的相应用户或组。
指定用户或组的权限(完全控制、更改、读取)。
单击“ 确定 ”两次,然后单击“ 关闭 ”以关闭对话框。
配置文件夹结构的权限
- 在 Windows 资源管理器中,右键单击要共享的文件夹,然后单击“ 属性”。
- 在“ 安全 ”选项卡上,单击“ 编辑”。
- 在 “权限 ”对话框中,添加应在文件夹结构的每个级别具有访问权限的相应用户或组。
- 指定用户或组的权限(完全控制、修改、读取和执行、列出文件夹内容、读取、写入特殊权限)。
- 单击“ 确定 ”两次以关闭对话框。
有关配置默认文档的示例脚本,请参阅 C# 和 PowerShell 脚本示例 。 作为创建共享和权限设置的示例。