Поделиться через

Разрешения для общего доступа и NTFS

  • Статья

Уолтер Оливер

Введение

Разрешения файлового сервера должны быть тщательно реализованы, чтобы обеспечить соответствующий доступ к содержимому. Это включает блокировку разрешений для общей папки и физических папок.

Разрешения

В следующей таблице перечислены разрешения, которые использовались для общей папки и папок файлового сервера в программе установки общего размещения , указанной в разделе Planning the Web Hosting Architecture (Планирование архитектуры веб-размещения ) руководства по размещению. В зависимости от используемой общей среды размещения администраторы серверов должны разработать собственные настраиваемые разрешения, соответствующие их потребностям.

Путь Разрешения Причина
\server\share$ (общий доступ) Администраторы домена — пользователи домена с полным доступом — изменение machineAccounts$ — полный доступ Разрешения общего доступа должны разрешать администраторам и учетным записям сайтов доступ к содержимому. Физический путь будет ограничен фактическими необходимыми разрешениями.
E:\Content (физический путь к общей папке) Администраторы — система полного контроля — полный доступ Это папка, к которой предоставлен общий доступ. Ему не требуются разрешения для учетных записей, кроме встроенной группы "Администраторы" и системной учетной записи.
E:\Content\<sitename> (контейнер для определенного сайта или пользователя) Администраторы — система полного контроля — владелец сайта полного контроля — вывод списка содержимого папки Эта папка используется в качестве контейнера для таких папок, как домашний каталог сайта и его файлы журналов. Владелец сайта должен иметь возможность читать эту папку, но ей не нужен доступ на запись.
E:\Content\<имя_сайта> \wwwroot (домашний каталог IIS для сайта) Администраторы — система полного управления — владелец сайта полного контроля — изменение имени пользователя пула приложений — чтение Это корень веб-сайта, принадлежащего учетной записи пользователя. Имя пользователя пула приложений используется в качестве удостоверения пула приложений и анонимного имени пользователя для веб-сайта.
E:\Content\<sitename>\Logs (контейнер для журналов) Администраторы — система полного контроля — владелец сайта полного контроля — чтение Обратите внимание, что эта папка для журналов хранится НАД корнем сайта, поэтому она недоступна для посетителей, просматривающих сайт. Не рекомендуется помещать эту папку в любое место, доступное из веб-браузера, в целях безопасности.
E:\Content\<имя_>сайта\Logs\FailedReqLogs (контейнер для журналов трассировки неудачных запросов) Администраторы — система полного управления — имя пользователя пула приложений с полным доступом — полный доступ Это папка, используемая для хранения файлов журнала неудачных запросов, которые позволяют владельцу сайта диагностировать проблемы с веб-сайтом. Эти журналы записываются удостоверением рабочего процесса, именем пользователя пула приложений.
E:\Content\<sitename>\Logs\W3SVCLogFiles (контейнер для журналов трафика W3SVC) Администраторы - Система полного контроля - Полный доступ MachineAccount$ - Полный доступ Это папка, используемая для хранения файлов журналов для веб-сайта, которые позволяют владельцу сайта просматривать шаблоны трафика. Если администратор сервера не хочет предоставлять общий доступ к этим файлам или хочет предоставить альтернативный метод определения трафика, эти файлы можно хранить в другом месте. MachineAccount$ — это учетная запись компьютера веб-сервера, так как эти журналы записываются HTTP.SYS.

Настройка разрешений

Настройка разрешений для общей папки

  1. В Windows Обозреватель щелкните правой кнопкой мыши папку, к которой вы хотите предоставить общий доступ, и выберите пункт Свойства.

  2. На вкладке Общий доступ щелкните Расширенный общий доступ.

  3. В разделе Контроль учетных записей нажмите кнопку Продолжить , чтобы принять запрос о том, что Windows требуется ваше разрешение на выполнение действия.

  4. В диалоговом окне Расширенный общий доступ проверка поделиться этой папкой.

  5. Задайте имя общего ресурса и примечания соответствующим образом. Чтобы сделать общую папку скрытой, добавьте $ в конец имени общей папки.

    Примечание

    Скрытие общего ресурса означает, что при подключении к [\server](file://server/) вы не увидите общую папку, если не введете путь [\server\share$](file://server/share$).

  6. Щелкните Разрешения.

  7. В диалоговом окне Разрешения удалите группу Все, если она существует.

  8. Добавьте соответствующего пользователя или группу, которые должны иметь доступ к общей папке.

  9. Укажите разрешения (полный доступ, изменение, чтение) для пользователя или группы.

  10. Дважды нажмите кнопку ОК , а затем нажмите кнопку Закрыть , чтобы закрыть диалоговые окна.

Настройка разрешений для структуры папок

  1. В Windows Обозреватель щелкните правой кнопкой мыши папку, к которой вы хотите предоставить общий доступ, и выберите пункт Свойства.
  2. На вкладке Безопасность нажмите Изменить.
  3. В диалоговом окне Разрешения добавьте соответствующих пользователей или группы, которые должны иметь доступ на каждом уровне структуры папок.
  4. Укажите разрешения (Полный доступ, Изменение, Чтение & выполнение, Вывод содержимого папки, Чтение, Специальные разрешения на запись) для пользователей или групп.
  5. Дважды нажмите кнопку ОК , чтобы закрыть диалоговые окна.

Пример скрипта для настройки документов по умолчанию см. в статье Примеры скриптов C# и PowerShell . в качестве примера создания общей папки и настройки разрешений.