IIS 6.0 中引入的新用戶和組及其默認權限
問：我們使用 IIS 已經有些年頭了，現在正在將 Web 站點遷移至 IIS 6.0（新服務器，不是升級）。我希望控制安全性，但是不希望過分控制它，以至于系統無法處理文件。我還發現安裝了 IIS 6.0 的 Windows Server 2003 中添加了新的用戶和組，例如 ASPNET 用戶和 IIS_WPG 組，我想了解將這些用戶和組的安全設置，以確保新 Web 站點的安全。請告訴我，在創建新 Web 站點時，我應該如何設置權限。這樣我可以按需添加其他設置。我下面列出了 wwwroot 文件夾的默認權限供您參考。

Administrators（組- Administrator）：完全控制
IIS_WPG（組 - IWAM_服務器名、Local Service、
Network Service 與 System）：讀取和執行
Interactive：列出文件夾內容
IUSR_服務器名：列出文件夾內容
Network：列出文件夾內容
Network Service：列出文件夾內容
OWS_123456789_admin（組 - Administrators 組）：列出文件夾內容
OWS_987654321_admin（組 - Administrator）：列出文件夾內容
System：完全控制
Users（組 – ASPNET、Authenticated Users 組、Interactive）：
讀取和執行
您可以看到，這里設置了許多權限，而且有些還是冗余的。我需要為其他 Web 站點創建新的主文件夾，而且希望確保權限設置完全符合我的需要。

答：對于“應該具備什么權限”的回答是，“滿足需求的最低權限”。IIS 傳送靜態內容和腳本只需 NTFS 讀取權限。其他一切權限都是依您的業務需求而定的。

從您所列出的權限我可以看出，您的服務器上全新安裝了 IIS 6 與 FrontPage 2002 Extensions。值得注意的一點是，每次添加服務或產品時，服務器上所需的權限（有時是用戶和組），都會發生變化。首先，讓我們看一下在沒有安裝 FrontPage Server Extensions 的 Windows Server 2003上，按默認值安裝 IIS 6 時 wwwroot 文件夾的權限設置。它們是：

Administrators - 完全控制
System - 完全控制
IIS_WPG – 列出文件夾內容、讀取和執行、讀取
Users – 列出文件夾內容、讀取和執行、讀取
Internet Guest 帳戶– 拒絕寫入
我所列出的 IIS 6 默認權限和您的服務器上的不同，這是因為您已經安裝了 FrontPage Server Extensions（FPSE） 2002。您可以看到，權限設置不同之處很多。添加 FPSE 后的權限：

Network - 列出文件夾內容
Network Service - 列出文件夾內容
Interactive – 列出文件夾內容
OWS_<后綴>? - 權限根據角色不同而不同。
Internet Guest 帳戶 – 列出文件夾內容
您說得很對，其中有些設置是重疊的。其中最大的一個變化就是 Internet Guest 帳戶 的權限，

刪除了“拒絕寫入”，添加了“列出文件夾內容”。這樣一來，匿名 Web 用戶的權限和 Network 與 Interactive 組完全相同。由于 IUSR 帳戶要么是 Network 組的成員，要么是 Interactive 組的成員，因此從理論上說，沒必要列出 IUSR 帳戶的權限。另外，Network Service 組是 IIS_WPG 的成員，因此也不需要特別列出。

FPSE 使用權限的方法可能比較讓人感到困惑。它主要是用于解決如下所示的問題：用戶首先使用用戶帳戶經過身份驗證進入 Web 站點，然后瀏覽其他只能使用 NTFS 權限進行匿名訪問的其他內容。在這種情況下，用戶可能會被拒絕訪問，而您可能希望用戶能夠讀取這些內容。幸運的是，在 Windows Server 2003 中，您可以讓 FSPE 使用本地用戶組，而不是內置 Network 和 Interactive 組的權限。要了解詳細信息，可以仔細閱讀 http://www.microsoft.com/technet/prodtechnol/ sppt/sharepnt/proddocs/admindoc/owsj03.asp 以及 http://www.microsoft.com/serviceproviders/whitepapers/fpse2002.asp 處的內容。

最后，IIS 6 服務器上默認情況下沒有 ASPNet 用戶，只有在安裝了 ASP.net 后才會加載。除非是為了與 IIS 5兼容而在工作進程隔離模式下運行 ASP.net，否則不會使用 ASPNet 用戶；默認情況下，這些應用程序運行在 Network Services 帳戶下。要了解 ASP.net 和 IIS 6 的詳細信息，請參閱 IIS 6 資源指南，其網址為 http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/webapp/iis/iis6perf.mspx。

返回頁首
什么是 Web 園？
問： IIS 6.0 具有一個名為 Web 園的新功能，有了它，可以將應用程序池配置為使用多個工作進程。IIS 何時創建額外的工作進程？在我們實施 Web 園之前，我們應該了解哪些知識？

答：在您創建應用程序池時，就會通知 IIS 6 創建一個工作進程，以傳送指派給該應用程序池的 Web 站點、文件和文件夾的內容。您可以將應用程序池配置為啟動多個，而非一個工作進程，這樣可以提高可擴展性。這個功能的名為 Web 園，是小型的“Web 農場”。您無需使用多臺計算機來傳送相同的內容（Web 農場），而是可以使用一臺計算機中的多個進程來傳送相同的內容。

在將 IIS 6 應用程序配置為 Web 園時，您只需在“應用程序池屬性”的“性能”選項卡的“最大工作進程數”框中，設置一個大于 1 的工作進程數。如果這個值大于 1，每個請求都將啟動一個新的工作進程實例，可啟動的最多進程數為您所指定的最大工作進程數。后續的請求將以循環的方式發送至工作進程。

Web 園在您的應用程序資源有限的情況下非常有用。例如，如果您到數據庫的連接很慢，那么您可以使用多個工作進程來增加用戶吞吐量，從而增加到數據庫的連接數。

盡管在有些情況下使用 Web 園的用處非常大，但是要注意，每個工作進程的會話信息都是唯一的。由于請求以循環的方式路由到應用程序池工作進程，因此 Web 園對于會話信息存儲在進程中的應用程序作用可能不大。

在少數情況下，讓多個工作進程運行同一個應用程序會造成資源競爭。例如，如果所有工作進程都試圖將信息記錄到日志文件中，或是使用那些不是專用于多個并發訪問的資源，那么可能出現資源競爭問題。

如果不存在這些問題，那么 Web 園可能正是您所需的功能之一，而且其作用會非常大。

返回頁首
基本身份驗證與集成的 Windows 身份驗證
問：我有一個企業內部網站，我希望所有通過驗證的用戶可以訪問另一臺服務器上的一個目錄。我已經將遠程服務器的內容映射到 Web 服務器的驅動器上，并且為了測試，為 Everyone 組授予了對這個共享資源的完全控制 NTFS 權限然后我們的應用程序通過引用驅動器盤符來訪問內容。

當我們為這個目錄配置集成的 Windows 身份驗證時，所有用戶都無法訪問遠程位置，但是如果我們使用基本身份驗證，并指定域，用戶則可以訪問遠程內容。我的問題是，集成的 Windows 身份驗證為什么會無法記住用戶訪問遠程服務器的憑證，而基本身份驗證則可以？

答：盡管這看起來像是因為集成的 Windows 身份驗證無法記住憑證而引起的問題，但事實并非如此。在確保任何站點或服務器的安全時，問題的關鍵在于在功能與安全性之間進行權衡。基本身份驗證使用本地登錄類型，也稱為“交互式”登錄。這種憑證類型可以委派給其他服務器。因此，可以使用通過基本身份驗證獲得的憑證成功地訪問遠程系統。訪問 SQL 服務器也是如此。您可以使用基本身份驗證來驗證客戶端，并將憑證轉發給配置為使用 SQL 身份驗證的 SQL 服務器。但是，當您使用集成的 Windows 身份驗證來驗證 IIS 服務器時，將會使用“網絡”登錄類型。這種登錄類型的安全性遠遠高于基本身份驗證，但是除非在企業內部網中使用 Kerberos，否則憑證無法轉發至其他服務器。一旦使用了 Kerberos（且正確配置后），用戶憑證就可以在整個目錄林中委派（請參見 Microsoft 知識庫文章 326089）。

為了方便且可靠地訪問遠程內容，且無需考慮身份驗證類型，在配置虛擬目錄來訪問遠程內容時，將會提示您提供對 IIS 服務器和遠程服務器均有效的用戶名和密碼。當您訪問虛擬目錄時，請求將會傳遞至指定用戶，不管該用戶使用何種驗證方式，都可以訪問遠程內容。

除非您可以使用 Kerberos，否則我建議您修改應用程序，改為使用標準的虛擬目錄，而不是映射的驅動器。這樣可以可靠地訪問遠程內容。另外，不建議使用映射的驅動器，這是因為映射驅動器包含在創建映射的用戶的配置文件中。如果其他用戶登錄這臺 IIS 服務器，映射驅動器將不存在，它們和您的應用程序之間不再存在關聯關系。

將您的問題提交給 IIS 有問必答。雖然不能肯定一定會予以回復，但是挑選出的問題會連同答案一起刊登在下一期的 IIS 有問必答 專欄中。

要獲取 IIS 有問必答 專欄前幾個月的問題與解答，請單擊此處。

我們代表 Microsoft 公司衷心希望本文章中的信息能對您有所幫助，但是應由您自己承擔使用本文所帶來的風險。本文中的所有信息都“按原樣”提供，對于其準確性、完整性、特殊用途的適用性、所有權和不侵權原則，并沒有任何明示或暗示的保證；本著作提及的任何第三方產品和信息，Microsoft 公司都并未參與創作，也不向您推薦、支持或作出任何保證。對使用該信息而造成的任何損失，不管是直接的、間接的、特別的，還是偶然的或必然的，即使已經警告過可能會有這種損失，Microsoft 公司將不承擔任何責任。

?

本文來自CSDN博客，轉載請標明出處：http://blog.csdn.net/xushen8314/archive/2008/02/23/2115551.aspx

轉載于:https://www.cnblogs.com/niuxiaohao/archive/2010/12/28/1918737.html

總結

以上是生活随笔為你收集整理的【转】 IIS_WPG 用户组权限问题的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。