如何使用IIS授予对Web内容的Web服务器权限

本文分步介绍如何使用Internet信息服务(IIS)5.0授予对Web内容的Web服务器权限。

您可以对服务器上的特定网站、文件夹和文件授予Web服务器权限。与NTFS文件系统权限(只适用于具有有效Windows帐户的特定用户或用户组)不同，Web服务器权限适用于访问网站的所有用户，而不管这些用户具有什么样的特定访问权限。

默认情况下，Web访问权限使用IUSR_computername帐户。安装IIS时，就创建了IUSER_computername帐户，并将其用作默认的匿名用户帐户。当您启用匿名访问时，IIS会使用IUSER_computername帐户来登录访问您的网站的所有用户。

IUSR_computername帐户被授予对构成服务器网站的所有文件夹的NTFS权限。不过，您可以更改网站中任何文件夹或文件的权限。例如，您可以使用Web服务器权限来控制是否允许网站访问者查看某一特定网页、加载信息或运行脚本。

当同时配置Web服务器权限和WindowsNTFS权限时，您可以在多个级别(从整个网站到单个文件)控制用户访问Web内容的方式。

如何授予对Web内容的Web服务器权限

1.启动Internet服务管理器。或者启动IIS管理单元。

2.单击以展开“*servername”，其中servername是服务器的名称。

3.右键单击要为用户授予访问权限的网站、虚拟目录、文件夹或文件，然后单击属性。

4.根据您的具体情况单击下列选项卡之一：

主目录、虚拟目录、目录、文件

5.单击以选中或清除下列任何一个对应要授予的Web权限级别的复选框(如果存在)：脚本资源访问：授予此权限将允许用户访问源代码。“脚本资源访问”包含脚本的源代码，如ActiveServerPages(ASP)程序中的脚本。注意，此权限只有在授予“读取”或“写入”权限时才可用。

注意：如果单击脚本资源访问，用户将可以从ASP程序的脚本中查看到敏感信息，例如用户名和密码。他们还将能够更改您的服务器上运行的源代码，这会严重影响服务器的安全和性能。建议您使用单个的Windows帐户和更高级别的身份验证(如集成的Windows身份验证)来处理对此类信息和这些功能的访问。

读取：授予此权限将允许用户查看或下载文件或文件夹及其相关属性。“读取”权限默认情况下是选中的。

写入：授予此权限将允许用户把文件及其相关属性上载到服务器中启用的文件夹，或允许用户更改启用了写入权限的文件的内容或属性。

“目录浏览”：授予此权限将允许用户查看虚拟目录中的文件和子文件夹的超文本列表。请注意，文件夹列表中并不显示虚拟目录;用户必须知道虚拟目录的别名。

注意：如果下列两个条件都满足，则当用户试图访问服务器上的文件或文件夹时，Web服务器将在用户的Web浏览器中显示一条“AccessForbidden”(禁止访问)错误信息：目录浏览被禁用。

用户未在地址框中指定文件名，如Filename.htm。

“记录访问”：授予此权限可在日志文件中记录对此文件夹的访问。只有在为网站启用了日志记录时才会记录日志条目。

“索引资源”：授予此权限将允许Microsoft索引服务在网站的全文索引中包含该文件夹。授予此项权限后，用户将可以对此资源执行查询。

6.在执行权限框中，选择一个设置以确定想让脚本在此网站上以何种方式运行。可以使用以下设置：?无：如果不希望用户在服务器上运行脚本或可执行的程序，则请单击此设置。当使用此设置时，用户只能访问静态文件，如超文本标记语言(HTML)文件和图像文件。

“仅脚本”：单击此设置可在服务器上运行诸如ASP程序之类的脚本。

“脚本和可执行文件”：单击此设置可在服务器上同时运行ASP程序之类的脚本和可执行程序。

7.单击确定，然后退出“Internet服务管理器”或退出IIS管理单元。

注意：在您尝试更改网站或虚拟目录的安全属性时，IIS会检查该网站或虚拟目录中包含的子节点(虚拟目录和文件)上的现有设置。如果在较低级别上设置的权限不同，则IIS会显示一个继承覆盖对话框。要指定哪些子节点应该继承您在较高级别上设置的权限，请单击子节点列表中的一个或多个节点，然后单击确定。子节点将继承新的权限设置。

如果文件夹或文件的Web权限和NTFS权限不同，则将使用这两种设置中限制条件较严格的设置。例如，如果在IIS中为特定用户组授予对某个文件夹的“写入”权限，而在NTFS中授予该组对此文件夹的“读取”权限，则这些用户无法向该文件夹写入文件，因为“读取”权限的限制条件更严格。

如果您禁用了对某个资源的Web服务器权限(如“读取”权限)，则所有用户都不能查看该资源，无论这些用户帐户应用的NTFS权限设置如何。如果您启用了对某个资源的Web服务器权限(如“读取”权限)，则所有用户都可以查看该资源，除非同时还应用了限制访问该资源的NTFS权限。

（来自：GCMail邮件系统软件，http://www.9gcai.com/main/webbase/jishu/2011/0722/630.html）