共用和NTFS許可權
作者: Olive Oliver
簡介
必須仔細實作檔伺服器許可權,才能提供適當的內容存取權。 這牽涉到鎖定共用和實體資料夾的許可權。
權限
下表列出在裝載指引的規劃 Web 裝載架構一節中所述的共用裝載安裝程式中,用於文件伺服器共用資料夾和資料夾的許可權。 根據所使用的共用裝載環境,伺服器管理員應該開發自己的自定義許可權,以符合其需求。
路徑 | 權限 | 原因 |
---|---|---|
\server\share$ (共用) | 網域系統管理員 - 完全控制網域使用者 - 變更 MachineAccounts$ - 完全控制 | 共用許可權需要允許系統管理員和網站帳戶存取內容。 實體路徑會限制為實際所需的許可權。 |
E:\Content (共用) 的實體路徑 | 系統管理員 - 完全控制系統 - 完全控制 | 這是共享的資料夾。 除了內建的 Administrators 群組和系統帳戶之外,它不需要任何帳戶的許可權。 |
E:\Content\<sitename> (特定網站或使用者) 的容器 | 系統管理員 - 完全控制系統 - 完全控制網站擁有者 - 列出資料夾內容 | 此資料夾會作為網站主目錄及其記錄檔等資料夾的容器。 網站擁有者應該能夠讀取此資料夾,但不需要寫入許可權。 |
E:\Content\<sitename> \wwwroot (月臺的 IIS 主目錄) | 系統管理員 - 完全控制系統 - 完全控制網站擁有者 - 修改應用程式集區使用者名稱 - 讀取 | 這是屬於用戶帳戶的網站根目錄。 應用程式集區使用者名稱會作為應用程式集區身分識別和網站的匿名用戶名稱。 |
E:\Content\<sitename>\Logs (記錄) | 系統管理員 - 完全控制系統 - 完全控制網站擁有者 - 讀取 | 請注意,此記錄資料夾會儲存在網站的根目錄上方,因此瀏覽網站的訪客無法存取該資料夾。 基於安全性考慮,不建議將此資料夾放在可從網頁瀏覽器存取的任何位置。 |
E:\Content\<sitename>\Logs\FailedReqLogs (失敗要求追蹤記錄的容器) | 系統管理員 - 完全控制系統 - 完全控制應用程式集區用戶名稱 - 完全控制 | 這是用來儲存失敗要求記錄檔的資料夾,可讓網站擁有者診斷其網站的問題。 這些記錄是由背景工作進程身分識別應用程式集區用戶名稱所寫入。 |
E:\Content\<sitename>\Logs\W3SVCLogFiles (W3SVC 流量記錄) | 系統管理員 - 完全控制系統 - 完全控制 MachineAccount$ - 完全控制 | 這是用來儲存網站記錄檔的資料夾,可讓網站擁有者查看其流量模式。 如果伺服器管理員不想共用這些檔案,或想要提供替代方法來判斷流量,這些檔案可以儲存在其他地方。 MachineAccount$ 是網頁伺服器的機器帳戶,因為這些記錄是由 HTTP.SYS 所寫入。 |
設定許可權
設定共享的許可權
在 Windows 檔案總管中,以滑鼠右鍵按下您要共用的資料夾,然後按兩下 [內容]。
在 [ 共用] 索引 標籤上,按兩下 [ 進階共用]。
在 [用戶帳戶控制] 中,按兩下 [ 繼續 ] 以接受 Windows 需要您執行動作許可權的提示。
在 [ 進階共用 ] 對話框中,核 取 [共用此資料夾]。
視需要設定 [共用名 ] 和 [ 批注 ]。 若要隱藏共用,請將 $ 新增至共用名稱的結尾。
注意
隱藏共用表示當您連線到 [\server]
(file://server/)
時,除非您特別輸入路徑 [\server\share$](file://server/share$)
,否則不會看到共用。按兩下 [ 許可權]。
在 [ 許可權 ] 對話框中,如果有,請移除 [所有人] 群組。
新增應該具有共用存取權的適當使用者或群組。
指定使用者或群組 (完全控制、變更、讀取) 的許可權。
按兩次[ 確定 ] 兩次,然後按兩下 [ 關閉 ] 以關閉對話框。
設定資料夾結構的許可權
- 在 Windows 檔案總管中,以滑鼠右鍵按下您要共用的資料夾,然後按兩下 [內容]。
- 在 [安全性] 索引標籤上,按一下 [編輯] 。
- 在 [ 許可權 ] 對話框中,新增適當的使用者或群組,這些使用者或群組應該具有資料夾結構每個層級的存取權。
- 指定 ([完整控制]、[修改]、[讀取 & 執行]、[列出資料夾內容]、[讀取]、[寫入特殊許可權]) 使用者或群組的許可權。
- 按兩下 [確定] 關閉對話方塊。
如需設定預設檔的範例腳本,請參閱 C# 和 PowerShell 腳本範例 。 作為建立共用和許可權設定的範例。