IIS 6.0 的默认权限和用户权限

地址： http://support.microsoft.com/kb/812614
下表记录了 NTFS 文件系统权限、注册表权限和 Microsoft Windows 用户权限。此信息在安装套件中包含 Microsoft ASP.NET 时适用。本文重点关注 World Wide Web 发布服务，并不考虑文件传输协议 (FTP) 服务、简单邮件传输协议 (SMTP) 服务和 Microsoft FrontPage Server Extensions (FPSE) 等其他组件。

注意：为便于说明，本文档中的 IUSR_MachineName 帐户和配置的匿名帐户在使用时可以互换。

NTFS 权限

收起该表格 展开该表格

目录	用户\组	权限
%windir%\help\iishelp\common	Administrators	完全控制
%windir%\help\iishelp\common	System	完全控制
%windir%\help\iishelp\common	IIS_WPG	读取、执行
%windir%\help\iishelp\common	Users（请参见“注意 1”。）	读取、执行
%windir%\IIS Temporary Compressed Files	Administrators	完全控制
%windir%\IIS Temporary Compressed Files	System	完全控制
%windir%\IIS Temporary Compressed Files	IIS_WPG	完全控制
%windir%\IIS Temporary Compressed Files	Creator owner	完全控制
%windir%\system32\inetsrv	Administrators	完全控制
%windir%\system32\inetsrv	System	完全控制
%windir%\system32\inetsrv	Users	读取、执行
%windir%\system32\inetsrv\*.vbs	Administrators	完全控制
%windir%\system32\inetsrv\ASP compiled templates	Administrators	完全控制
%windir%\system32\inetsrv\ASP compiled templates	IIS_WPG	完全控制
%windir%\system32\inetsrv\History	Administrators	完全控制
%windir%\system32\inetsrv\History	System	完全控制
%windir%\system32\Logfiles	Administrators	完全控制
%windir%\system32\inetsrv\metaback	Administrators	完全控制
%windir%\system32\inetsrv\metaback	System	完全控制
Inetpub\Adminscripts	Administrators	完全控制
Inetpub\wwwroot（或内容目录）	Administrators	完全控制
Inetpub\wwwroot（或内容目录）	System	完全控制
Inetpub\wwwroot（或内容目录）	IIS_WPG	读取、执行
Inetpub\wwwroot（或内容目录）	IUSR_MachineName	读取、执行
Inetpub\wwwroot（或内容目录）	ASPNET（请参见“注意 2”。）	读取、执行

注意 1：在使用基本身份验证或集成身份验证时以及在配置自定义错误时，都必须对此目录拥有相应的权限。例如，在出现错误 401.1 时，只有向已登录用户授予了读取 4011.htm 文件的权限，该用户才会看到预期的自定义错误详细信息。

注意 2：默认情况下，IIS 5.0 隔离模式中使用 ASP.NET 作为 ASP.NET 进程标识。如果将 ASP.NET 切换到 IIS 5.0 隔离模式，则 ASP.NET 必须对内容区域具有访问权限。IIS 帮助中对 ASP.NET 进程隔离进行了详细说明。有关其他信息，请访问下面的 Microsoft 网站：

ASP.NET 进程隔离

http://www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/e409289d-2786-4a34-bb7e-9c546602c2c8.mspx

( http://www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/e409289d-2786-4a34-bb7e-9c546602c2c8.mspx)

（可能为英文网页）

注册表权限

收起该表格 展开该表格

位置	用户\组	权限
HKLM\System\CurrentControlSet\Services\ASP	Administrators	完全控制
HKLM\System\CurrentControlSet\Services\ASP	System	完全控制
HKLM\System\CurrentControlSet\Services\ASP	IIS_WPG	读取
HKLM\System\CurrentControlSet\Services\HTTP	Administrators	完全控制
HKLM\System\CurrentControlSet\Services\HTTP	System	完全控制
HKLM\System\CurrentControlSet\Services\HTTP	IIS_WPG	读取
HKLM\System\CurrentControlSet\Services\IISAdmin	Administrators	完全控制
HKLM\System\CurrentControlSet\Services\IISAdmin	System	完全控制
HKLM\System\CurrentControlSet\Services\IISAdmin	IIS_WPG	读取
HKLM\System\CurrentControlSet\Services\w3svc	Administrators	完全控制
HKLM\System\CurrentControlSet\Services\w3svc	System	完全控制
HKLM\System\CurrentControlSet\Services\w3svc	IIS_WPG	读取

Windows 用户权限

收起该表格 展开该表格

策略	Users
从网络访问此计算机	Administrators
从网络访问此计算机	ASPNET
从网络访问此计算机	IUSR_MachineName
从网络访问此计算机	IWAM_MachineName
从网络访问此计算机	Users
调整进程内存配额	Administrators
调整进程内存配额	IWAM_MachineName
调整进程内存配额	Local service
调整进程内存配额	Network service
跳过遍历检查	IIS_WPG
允许本地登录（请参见“注意”）	Administrators
允许本地登录（请参见“注意”）	IUSR_MachineName
拒绝本地登录	ASPNET
在身份验证之后模拟客户端	Administrators
在身份验证之后模拟客户端	ASPNET
在身份验证之后模拟客户端	IIS_WPG
在身份验证之后模拟客户端	Service
作为批处理作业登录	ASPNET
作为批处理作业登录	IIS_WPG
作为批处理作业登录	IUSR_MachineName
作为批处理作业登录	IWAM_MachineName
作为批处理作业登录	Local service
作为服务登录	ASPNET
作为服务登录	Network service
替换进程级别令牌	IWAM_MachineName
替换进程级别令牌	Local service
替换进程级别令牌	Network service

注意：在以默认设置全新安装的带有 IIS 6.0 的 Microsoft Windows Server 2003 中，Users 组和 Everyone 组都拥有“跳过遍历检查”权限。工作进程标识通过这两个组当中的一个继承“跳过遍历检查”权限。如果从“跳过遍历检查”权限中删除这两个组，工作进程标识将不会通过任何其他分配继承“跳过遍历检查”权限，因此工作进程将无法启动。如果必须从“跳过遍历检查”权限中删除 Users 组和 Everyone 组，请添加 IIS_WPG 组以允许 IIS 按预期方式运行。

注意：在 IIS 6.0 中，如果将基本身份验证配置为身份验证选项之一，则基本身份验证的 LogonMethod 元数据库属性将为 NETWORK_CLEARTEXT。NETWORK_CLEARTEXT 登录类型不需要“允许本地登录”用户权限。这同样适用于匿名身份验证。有关其他信息，请参见 IIS 帮助中的“基本身份验证默认登录类型”主题。您也可以访问下面的 Microsoft 网站：