委派的管理
IIS 7 及更高版本的管理用户界面称为 IIS 管理器,提供了一种更高效的工具来管理 Web 服务器。 它支持 IIS 和 ASP.NET 配置设置。 它还让托管或管理网站的人能够将管理控制权限委派给开发人员或内容所有者,由此减少服务器管理员的拥有成本和管理负担。 它支持通过 HTTP 进行远程连接,你可以通过防火墙使用它。
有关 IIS 中管理功能的详细信息,请参阅委派管理。
启用远程委派之前,应考虑要将哪些功能和属性委派给站点所有者。
下表列出了一组示例功能、其委派的设置以及在 Web 服务器上委派或不委派的原因。 你应根据所使用的共享托管环境,开发一组自己的委派功能,以满足你的需求。
注意
如果尚未安装这些功能,则其中一些功能可能不会显示在要管理的功能列表中。 例如,如果选择不安装摘要式身份验证,它将不会显示在 Web 服务器上的列表中。
在某些情况下,需要在 applicationhost.config 中委派特定设置而不委派整个部分,以下是两个关键示例:
| 功能 | 委派的设置 | 原因 |
|---|---|---|
| .NET 编译 | 只读(更改自读/写) | 指定 ASP.NET 编译处理指令的设置,例如临时编译目录。 阻止用户手动设置临时编译目录。 |
| .NET 全球化 | 读取/写入 | 指定 Web 请求的默认区域性和全球化属性的设置。 |
| .NET 配置文件 | 读取/写入 | 指定 ASP.NET 应用程序中用户所选选项的设置。 |
| .NET 角色 | 配置读/写 | 指定用于 .NET 用户和表单身份验证的组的设置。 |
| .NET 信任级别 | 只读(更改自读/写) | 指定信任级别。 按照本文档中的 ASP.NET 指南操作时锁定信任级别,即可将其设置为只读,并将其锁定到服务器。 防止网站所有者将信任级别设置为高于服务器管理员设置的级别。 例如,如果管理员可以设置自定义信任级别,则可将此设置设为只读,这样便没有人可以替代此设置。 |
| .NET 用户 | 配置读/写 | 指定管理属于角色并使用表单身份验证的用户的设置。 |
| 应用程序设置 | 读取/写入 | 指定用于存储托管代码应用程序在运行时使用的数据(名称和值对)的设置。 |
| ASP | 只读 | 指定经典 ASP 设置。 |
| ASP.NET 模拟 | 读取/写入 | 指定模拟设置。 站点所有者可以使用此设置在不同的安全上下文下运行其站点。 |
| 身份验证 - 匿名 | 只读 | 指定匿名身份验证设置。 |
| 身份验证 - 基本 | 只读 | 指定基本身份验证设置。 |
| 身份验证 - 摘要式 | 只读 | 指定摘要式身份验证设置。 |
| 身份验证 - 表单 | 读取/写入 | 指定表单身份验证设置。 |
| 身份验证 - Windows | 只读 | 指定 Windows 身份验证设置。 |
| 授权规则 | 读取/写入 | 指定控制内容访问权限的允许或拒绝规则的列表。 |
| CGI | 只读 | 指定 CGI 应用程序的属性。 应将此设置保留为只读,以防止用户更改设置。 |
| 压缩 | 读取/写入 | 指定要配置压缩的设置。 |
| 连接字符串 | 读取/写入 | 指定应用程序使用的连接字符串。 |
| 默认文档 | 读取/写入 | 指定网站的默认文档。 通过将此设置设置为“读/写”,用户可以为其站点指定自定义默认文档,而无需联系服务器管理员。 |
| 目录浏览 | 读取/写入 | 指定目录浏览设置。 |
| 错误页 | 只读 | 指定返回的 HTTP 错误响应。 |
| 失败请求跟踪规则 | 读取/写入 | 指定失败请求跟踪规则的设置。 让用户能够基于所用时间或状态代码等参数创建跟踪请求的规则,并诊断其站点的问题。 |
| 功能委派 | 未委派(更改自读/写) | 指定用于将功能委派给应用程序的设置。 除非服务器管理员希望为站点所有者启用此功能,否则可以将其关闭。 |
| 处理程序映射 | 读取/写入 | 指定处理某些文件类型请求的处理程序(包括脚本映射、托管处理程序等) |
| HTTP 重定向 | 读取/写入 | 指定 HTTP 重定向设置。 |
| HTTP 响应标头 | 读取/写入 | 指定添加到 Web 服务器响应中的 HTTP 标头。 |
| IPv4 地址和域限制 | 只读 | 指定 IP 和域限制列表。 |
| ISAPI 筛选器 | 只读 | 指定处理对站点或服务器发出的请求的 ISAPI 筛选器,例如 ASP.NET。 |
| 日志记录 | 未委派 | 指定 Web 服务器的日志记录设置。 |
| 计算机密钥 | 读取/写入 | 指定应用程序服务的哈希和加密设置,例如视图状态、表单身份验证以及成员资格和角色。 |
| MIME 类型 | 只读(更改自读/写) | 指定可以用作静态文件的文件类型。 |
| 模块 | 读取/写入 | 指定处理对站点或服务器发出的请求的本机和托管代码模块。 |
| 输出缓存 | 读取/写入 | 指定用于缓存输出的规则。 |
| 页面和控件 | 读取/写入 | 指定应用程序的页面和控件设置。 |
| 重定向规则 | 读取/写入 | 指定用于将请求重定向到其他文件或 URL 的设置。 |
| 会话状态 | 读取/写入 | 指定会话状态和表单身份验证 Cookie 设置。 |
| SMTP 电子邮件 | 读取/写入 | 指定从站点发送的电子邮件的电子邮件地址和发送选项。 |
| SSL 设置 | 只读 | 指定 SSL 的设置。 |
使用 IIS 管理器启用远程委派服务
- 导航到“管理工具”,然后单击“Internet Information Services (IIS) 管理器”。
- 单击服务器名称节点。
- 双击“功能委派”图标。
- 在“功能委派”页上,更改任何应该或不应该委派的属性。
- 单击“后退”按钮或选择服务器名称节点以返回到服务器功能列表。
- 双击“管理服务”图标。
- 在“管理服务”页上的“操作”窗格中,启动服务以启用配置。
- “停止”服务以进行更改。
- 单击“启用远程连接”。
- 选择是只允许 Windows 用户还是同时允许 Windows 用户和成员资格用户。
- 根据需要更改端口或证书。
- 在“操作”窗格中,单击“开始”以启用远程委派服务。