Общие сведения об учетных записях пользователей и групп Built-In в IIS 7
В более ранних версиях IIS во время установки создается локальная учетная запись с именем IUSR_MachineName. СЛУЖБЫ IIS использовали учетную запись IUSR_MachineName по умолчанию при включенной анонимной проверке подлинности. Он использовался службами FTP и HTTP.
Существовала также группа под названием IIS_WPG, которая использовалась в качестве контейнера для всех удостоверений пула приложений. Во время установки IIS всем соответствующим ресурсам в системе были предоставлены правильные права пользователя для IIS_WPG группы, поэтому администратору нужно было добавить свое удостоверение в группу только при создании учетной записи пула приложений.
Эта модель работала хорошо, но имела свои недостатки: учетная запись IUSR_MachineName и группа IIS_WPG были локальными для системы, в которую они были созданы. Каждой учетной записи и группе в Windows присваивается уникальный номер, называемый идентификатором безопасности (SID), который отличает их от других учетных записей. При создании ACL используется только идентификатор безопасности. В рамках проектирования в более ранних версиях IIS IUSR_MachineName были включены в файл metabase.xml, поэтому при попытке скопировать metabase.xml с одного компьютера на другой он не будет работать. Учетная запись на другом компьютере будет иметь другое имя.
Кроме того, нельзя было использовать списки управления доступом xcopy /o от одного компьютера к другому, так как идентификаторы безопасности отличались от компьютера к компьютеру. Одним из обходных решений было использование учетных записей домена, но для этого требовалось добавить Active Directory в инфраструктуру. У группы IIS_WPG были аналогичные проблемы с правами пользователя. Если вы задали списки управления доступом в файловой системе одного компьютера для IIS_WPG и попытались перенаправить их xcopy /o на другой компьютер, произойдет сбой. Эта возможность была улучшена в IIS 7 и более поздних версий с помощью встроенной учетной записи и группы.
Операционная система гарантирует, что встроенная учетная запись и группа всегда имеют уникальный идентификатор безопасности. Службы IIS 7 и более поздних версий повысят это и гарантируют, что фактические имена, используемые новой учетной записью и группой, никогда не будут локализованы. Например, независимо от устанавливаемого языка Windows имя учетной записи IIS всегда будет IUSR, а имя группы — IIS_IUSRS.
Таким образом, СЛУЖБЫ IIS 7 и более поздних версий предлагают следующее:
- Встроенная учетная запись IUSR заменяет учетную запись IUSR_MachineName.
- Встроенная группа IIS_IUSRS заменяет группу IIS_WPG.
Для учетной записи IUSR больше не требуется пароль, так как это встроенная учетная запись. Логически его можно рассматривать как то же, что и учетные записи NETWORKSERVICE или LOCALSERVICE. Как новая учетная запись IUSR, так и группа IIS_IUSRS рассматриваются более подробно в разделах ниже.
Общие сведения о новой учетной записи IUSR
Учетная запись IUSR заменяет учетную запись IUSR_MachineName в IIS 7 и более поздних версиях. Учетная запись IUSR_MachineName будет по-прежнему создана и использоваться при установке сервера, совместимого с FTP 6, который входит в состав Windows Server 2008. Если не установить FTP-сервер, который входит в состав Windows Server 2008, эта учетная запись не будет создана.
Эта встроенная учетная запись не требует пароля и будет удостоверением по умолчанию, которое используется при включенной анонимной проверке подлинности. Если вы заглянете в файл applicationHost.config, вы увидите следующее определение:
Это указывает службам IIS использовать новую встроенную учетную запись для всех анонимных запросов проверки подлинности. Самыми большими преимуществами является то, что вы можете:
- Настройте разрешения файловой системы для учетной записи IUSR с помощью windows Обозреватель или любого из множества программ командной строки.
- Больше не нужно беспокоиться об истечении срока действия паролей для этой учетной записи.
- Используйте xcopy /o для удобного копирования файлов вместе с информацией об их владельцах и ACL на разные компьютеры.
Учетная запись IUSR похожа на LOCALSERVICE тем, как она анонимно действует в сети. Учетные записи NETWORKSERVICE и LOCALSYSTEM могут выступать в качестве удостоверения компьютера, но учетная запись IUSR не может, так как для этого потребуется повышение прав пользователя. Если анонимная учетная запись должна иметь права в сети, необходимо создать новую учетную запись пользователя и задать имя пользователя и пароль вручную, как это было в прошлом для анонимной проверки подлинности.
Чтобы предоставить анонимные права учетной записи в сети с помощью диспетчера IIS, выполните следующие действия.
- Нажмите кнопку Пуск, введитеINetMgr.exe, а затем нажмите клавишу ВВОД. При появлении запроса нажмите кнопку Продолжить , чтобы повысить уровень разрешений.
- В разделе Подключения нажмите кнопку + рядом с именем компьютера.
- В диспетчере IIS дважды щелкните сайт, который требуется администрировать.
- В представлении компонентов дважды щелкните элемент Проверка подлинности.
- Выберите Анонимная проверка подлинности и нажмите кнопку Изменить в области Действия .
- В диалоговом окне Изменение учетных данных анонимной проверки подлинности выберите параметр Конкретный пользователь и нажмите кнопку Задать.
- В диалоговом окне Настройка учетных данных введите имя пользователя и пароль, а затем нажмите кнопку ОК.
Общие сведения о новой группе IIS_IUSRS
Группа IIS_IUSRS заменяет группу IIS_WPG. Эта встроенная группа имеет доступ ко всем необходимым файловым и системным ресурсам, чтобы учетная запись при добавлении в эту группу беспрепятственно выступала в качестве удостоверения пула приложений.
Как и в случае со встроенной учетной записью, эта встроенная группа решает несколько препятствий для развертывания xcopy. Если вы задали разрешения на файлы для группы IIS_WPG (которая была доступна в системах IIS 6.0) и попытались скопировать эти файлы на другой компьютер Windows, идентификатор безопасности группы будет отличаться на всех компьютерах, и конфигурации сайта будут нарушены.
Так как идентификатор безопасности группы в IIS 7 и более поздних версиях одинаков во всех системах под управлением Windows Server 2008, можно использовать xcopy /o для сохранения сведений о списке управления правами доступа и владельце при перемещении файлов с компьютера на компьютер. Это упрощает развертывание xcopy.
СЛУЖБЫ IIS 7 и более поздних версий также упрощают процесс настройки удостоверения пула приложений и внесения всех необходимых изменений. Когда службы IIS запускают рабочий процесс, необходимо создать маркер, который будет использоваться процессом. При создании этого маркера службы IIS автоматически добавляют членство в IIS_IUSRS в маркер рабочих процессов во время выполнения. Учетные записи, которые выполняются как «удостоверения пула приложений», больше не должны быть явно частью группы IIS_IUSRS. Это изменение поможет вам настроить системы с меньшим количеством препятствий и сделать общее взаимодействие более благоприятным.
Если вы хотите отключить эту функцию и вручную добавить учетные записи в группу IIS_IUSRS, отключите эту новую функцию, задав для параметра manualGroupMembershipзначение true. В следующем примере показано, как это можно сделать с defaultAppPool:
Поннятие об анонимной идентификации и учетной записи IUSR
Dreamweaver UltraDev больше не поддерживается, а центр поддержки Dreamweaver UltraDev больше не обновляется. Функция, предоставлявшаяся в Dreamweaver UltraDev, теперь доступна в Dreamweaver, начиная с Dreamweaver MX.
Анонимный доступ, самый популярный способ управления доступом к сайтам, позволяет любому пользователю посещать открытые разделы сайта, но при этом неавторизованные пользователи не получат доступа к функциям администрирования и конфиденциальным данным на веб-сервере. Анонимная идентификация предоставляет пользователям доступ на сайт без запроса имени пользователя или пароля. Когда пользователь пытается подключиться к сайту, веб-сервер назначает такому пользователю учетную запись Windows под названием IUSR_название-компьютера, где «название-компьютера» – это имя имя сервера, на котором работает IIS.
По умолчанию учетная запись IUSR_название-компьютера включена в группу пользователей Windows «Гости» при установленном на сервере IIS. Эта группа имеет ограничения по правам, соответствующие разрешениям NTFS, которые задают уровень доступа и тип содержимого, доступного для обычных пользователей Интернета. Изменения можно внести в учетную запись, используемую для анонимной идентификации, в диспетчере служб Интернета на уровне веб-сервера или для отдельных виртуальных каталогов и файлов. Права доступа для учетной записи IUSR_название-компьютера можно изменить с помощью диспетчера пользователей для Windows NT и раздела «Локальные пользователи и группы» на консоли управления сервером для Windows 2000.
IIS использует учетную запись вида IUSR_название-компьютера следующим образом:
Учетная запись IUSR_название-компьютера добавляется к группе «Гости» на компьютере.
При получении запроса страницы IIS имитирует учетную запись IUSR_название-компьютера перед выполнением любого кода или при получении доступа к любому файлу. IIS может имитировать учетную запись IUSR_название-компьютера, поскольку имя пользователя и пароль для этой учетной записи уже известны IIS.
Перед возвратом страницы браузеру IIS проверяет права NTFS для файлов и каталогов, чтобы установить, разрешен ли доступ к файлу для учетной записи IUSR_название-компьютера.
Если доступ разрешен, завершается проверка подлинности и ресурсы становятся доступны пользователю.
Если доступ не разрешен, то IIS будет пытаться использовать другой метод аутентификации. Если ничего не выбрано, то IIS возвращает браузеру сообщение об ошибке «HTTP 403 доступ запрещен».
Примечание. Анонимная учетная запись должна иметь права пользователя на локальный вход в систему. Если учетная запись не имеет доступа к локальной регистрации, то IIS не сможет обслуживать анонимные запросы. При установке IIS задаются права на локальную регистрацию в учетной записи IUSR_название-компьютера. Кроме того, если учетная запись анонимного пользователя, не имеет прав доступа к определенному файлу или ресурсу, веб-сервер сбросит анонимное подключение для этого ресурса.
Дополнительная информация
Более подробную информацию об анонимной идентификации и учетной записи IUSR см. в технической документации по IIS. Если установлен IIS, то вы можете посмотреть по нему документацию, набрав http://localhost/iishelp/ в адресной строке своего браузера и нажав клавишу Enter.
Для получения дополнительной информации см. раздел «Настройка доступа для сервера IIS».
Прекрасным источником информации по проблемам доступа в IIS является Центр информационной безопасности Microsoft.
Разрешения по умолчанию и пользовательские права для IIS 7.0 и более поздних версий
В этой статье описываются разрешения по умолчанию и пользовательские права, задаваемые для определенных папок и файлов. Эти папки и файлы устанавливаются со службами IIS 7.0 и более поздних версий.
Оригинальная версия продукта: службы IIS 8.0
Оригинальный номер базы знаний: 981949
Изменения разрешений в IIS 6.0, IIS 7.0 и более поздних версиях
В IIS 6.0 при установке служб IIS создается локальная учетная запись ( IUSR_MachineName ). Учетная запись IUSR_MachineName — это удостоверение по умолчанию, которое используется службами IIS при включенной анонимной проверке подлинности. Анонимная проверка подлинности используется как службой FTP, так и службой HTTP. IIS 6.0 также содержит группу с именем IIS_WPG . Группа IIS_WPG используется в качестве контейнера для всех удостоверений пула приложений.
В IIS 7.0 и более поздних версиях встроенная учетная запись (IUSR) заменяет учетную запись IUSR_MachineName . Кроме того, группа с именем IIS_IUSRS заменяет группу IIS_WPG . Так как учетная запись IUSR является встроенной учетной записью, для нее больше не требуется пароль. Учетная запись IUSR напоминает сетевую или локальную учетную запись службы. Учетная запись IUSR_MachineName создается и используется только при установке сервера FTP 6, включенного в DVD-диск Windows Server 2008. Если сервер FTP 6 не установлен, учетная запись не создается.
Начиная с IIS 7.5, используется новая функция безопасности, которая называется удостоверениями пула приложений. Эта функция позволяет запускать пулы приложений в уникальной учетной записи без необходимости создания и управления доменными или локальными учетными записями. Имя учетной записи пула приложений соответствует имени пула приложений.
Дополнительные сведения об учетных записях и группах IIS 7.0 см. в разделе Основные сведения о встроенных учетных записях пользователей и групп в IIS 7.
Дополнительные сведения об удостоверениях пула приложений см. в разделе Удостоверения пула приложений.
Разрешения файловой системы NTFS по умолчанию
В таблицах этого раздела перечислены разрешения файловой системы NTFS по умолчанию, назначенные определенным папкам и файлам. Эти папки и файлы устанавливаются вместе со службами IIS 7.0, IIS 7.5, IIS 8.0, IIS 8.5 и IIS 10.0.
\inetpub
| Пользователи и группы | Допустимые разрешения | Примечания |
|---|---|---|
| СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ | Особые разрешения | Эквивалентны полному управлению. Применяется только к вложенным папкам и файлам. |
| SYSTEM | Полный доступ | |
| Администраторы | Полный доступ | |
| Пользователи | Чтение & выполнение содержимого папки списка Чтение | |
| Trustedinstaller | Полный доступ |
\inetpub\AdminScripts
| Пользователи и группы | Допустимые разрешения | Примечания |
|---|---|---|
| СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ | Особые разрешения | Эквивалентны полному управлению. Применяется только к вложенным папкам и файлам. |
| SYSTEM | Полный доступ | |
| Администраторы | Полный доступ | |
| Пользователи | Чтение & выполнение содержимого папки списка Чтение | |
| Trustedinstaller | Полный доступ |
\inetpub\AdminScripts\0409
| Пользователи и группы | Допустимые разрешения | Примечания |
|---|---|---|
| СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ | Особые разрешения | Эквивалентны полному управлению. Применяется только к вложенным папкам и файлам. Наследуется от \inetpub\AdminScripts . |
| SYSTEM | Полный доступ | Наследуется от \inetpub\AdminScripts . |
| Администраторы | Полный доступ | Наследуется от \inetpub\AdminScripts . |
| Пользователи | Чтение & выполнение содержимого папки списка Чтение | Наследуется от \inetpub\AdminScripts . |
| Trustedinstaller | Полный доступ | Наследуется от \inetpub\AdminScripts . |
\inetpub\custerr
- Обзор папки / выполнение файла
- Содержимое папки / чтение данных
- Чтение атрибутов;
- Чтение дополнительных атрибутов;
- чтение;
\inetpub\custerr\en-us
| Пользователи и группы | Допустимые разрешения | Примечания |
|---|---|---|
| СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ | Особые разрешения | Эквивалентны полному управлению. Применяется только к вложенным папкам и файлам. Наследуется от \inetpub . |
| SYSTEM | Полный доступ | Наследуется от \inetpub . |
| Администраторы | Полный доступ | Наследуется от \inetpub . |
| Пользователи | Чтение & выполнение содержимого папки списка Чтение | Наследуется от \inetpub . |
| Trustedinstaller | Полный доступ | Наследуется от \inetpub . |
\inetpub\ftproot
| Пользователи и группы | Допустимые разрешения | Примечания |
|---|---|---|
| СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ | Особые разрешения | Эквивалентны полному управлению. Применяется только к вложенным папкам и файлам. Наследуется от \inetpub . |
| SYSTEM | Полный доступ | Наследуется от \inetpub . |
| Администраторы | Полный доступ | Наследуется от \inetpub . |
| Пользователи | Чтение & выполнение содержимого папки списка Чтение | Наследуется от \inetpub . |
| Trustedinstaller | Полный доступ | Наследуется от \inetpub . |
\inetpub\history и вложенные папки
| Пользователи и группы | Допустимые разрешения | Примечания |
|---|---|---|
| SYSTEM | Полный доступ | |
| Администраторы | Полный доступ |
\inetpub\logs
| Пользователи и группы | Допустимые разрешения | Примечания |
|---|---|---|
| СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ | Особые разрешения | Эквивалентны полному управлению. Применяется только к вложенным папкам и файлам. Наследуется от \inetpub . |
| SYSTEM | Полный доступ | Наследуется от \inetpub . |
| Администраторы | Полный доступ | Наследуется от \inetpub . |
| Пользователи | Чтение & выполнение содержимого папки списка Чтение | Наследуется от \inetpub . |
| WMSvc | Список содержимого папки | |
| Trustedinstaller | Полный доступ | Наследуется от \inetpub . |
\inetpub\logs\FailedReqLogFiles
- Содержимое папки / чтение данных
- Создание файлов / запись данных
- Создание папок / добавление данных
- Запись атрибутов
- Запись дополнительных атрибутов
- Удаление вложенных папок и файлов
- Удалить
\inetpub\logs\wmsvc
| Пользователи и группы | Допустимые разрешения | Примечания |
|---|---|---|
| СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ | Особые разрешения | Эквивалентны полному управлению. Применяется только к вложенным папкам и файлам. Наследуется от \inetpub . |
| SYSTEM | Полный доступ | Наследуется от \inetpub . |
| Администраторы | Полный доступ | Наследуется от \inetpub . |
| Пользователи | Чтение & выполнение содержимого папки списка Чтение | Наследуется от \inetpub . |
| WMSvc | Изменение & выполнения содержимого папки «Список» Чтение записи | Разрешения для списка содержимого папки наследуются от \inetpub\logs . |
| Trustedinstaller | Полный доступ | Наследуется от \inetpub . |
\inetpub\temp
| Пользователи и группы | Допустимые разрешения | Примечания |
|---|---|---|
| СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ | Особые разрешения | Эквивалентны полному управлению. Применяется только к вложенным папкам и файлам. Наследуется от \inetpub . |
| SYSTEM | Полный доступ | Наследуется от \inetpub . |
| Администраторы | Полный доступ | Наследуется от \inetpub . |
| Пользователи | Чтение & выполнение содержимого папки списка Чтение | Наследуется от \inetpub . |
| Trustedinstaller | Полный доступ | Наследуется от \inetpub . |
\inetpub\temp\appPools
| Пользователи и группы | Допустимые разрешения | Примечания |
|---|---|---|
| СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ | Особые разрешения | Эквивалентны полному управлению. Применяется только к вложенным папкам и файлам. |
| SYSTEM | Полный доступ | |
| Администраторы | Полный доступ | |
| IIS_IUSRS | Чтение и выполнение | Наследуется от \inetpub . |
\inetpub\temp\ASP Compiled Templates
| Пользователи и группы | Допустимые разрешения | Примечания |
|---|---|---|
| По умолчанию этой папке не назначаются разрешения. |
\inetpub\temp\IIS Temporary Compressed Files
| Пользователи и группы | Допустимые разрешения | Примечания |
|---|---|---|
| SYSTEM | Полный доступ | |
| Администраторы | Полный доступ | |
| IIS_IUSRS | Полный доступ |
\inetpub\wwwroot
| Пользователи и группы | Допустимые разрешения | Примечания |
|---|---|---|
| СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ | Особые разрешения | Эквивалентны полному управлению. Применяется только к вложенным папкам и файлам. Наследуется от \inetpub . |
| SYSTEM | Полный доступ | Наследуется от \inetpub . |
| Администраторы | Полный доступ | Наследуется от \inetpub . |
| Пользователи | Чтение & выполнение содержимого папки списка Чтение | Наследуется от \inetpub . |
| IIS_IUSRS | Чтение и выполнение | |
| Trustedinstaller | Полный доступ | Наследуется от \inetpub . |
\inetpub\wwwroot\aspnet_client
| Пользователи и группы | Допустимые разрешения | Примечания |
|---|---|---|
| Все пользователи | Чтение | |
| SYSTEM | Полный доступ | |
| Администраторы | Полный доступ | |
| Пользователи | Чтение & выполнение содержимого папки списка Чтение |
%windir%\system32\inetsrv
- Обзор папки / выполнение файла
- Содержимое папки / чтение данных
- Чтение атрибутов;
- Чтение дополнительных атрибутов;
- Создание файлов / запись данных
- Создание папок / добавление данных
- Запись атрибутов
- Запись дополнительных атрибутов
- Удалить
- чтение;
- Обзор папки / выполнение файла
- Содержимое папки / чтение данных
- Чтение атрибутов;
- Чтение дополнительных атрибутов;
- Создание файлов / запись данных
- Создание папок / добавление данных
- Запись атрибутов
- Запись дополнительных атрибутов
- Удалить
- чтение;
%windir%\System32\inetsrv\0409
| Пользователи и группы | Допустимые разрешения | Примечания |
|---|---|---|
| СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ | Особые разрешения | Эквивалентны полному управлению. Применяется только к вложенным папкам и файлам. Наследуется от %windir%\System32\inetsrv . |
| SYSTEM | Полный доступ | Наследуется от %windir%\System32\inetsrv . |
| Администраторы | Полный доступ | Наследуется от %windir%\System32\inetsrv . |
| Пользователи | Чтение & выполнение содержимого папки списка Чтение | Наследуется от %windir%\System32\inetsrv . |
| Trustedinstaller | Особые разрешения | Эквивалентны полному управлению. Применяется только к вложенным папкам и файлам. Наследуется от %windir%\System32\inetsrv |
%windir%\System32\inetsrv\config
| Пользователи и группы | Допустимые разрешения | Примечания |
|---|---|---|
| СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ | Особые разрешения | Эквивалентны полному управлению. Применяется только к вложенным папкам и файлам. |
| SYSTEM | Полный доступ | |
| Администраторы | Полный доступ | |
| Пользователи | Чтение & выполнение содержимого папки списка Чтение | |
| Trustedinstaller | Полный доступ | |
| WMSvc | Чтение |
%windir%\System32\inetsrv\config\Export
| Пользователи и группы | Допустимые разрешения | Примечания |
|---|---|---|
| СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ | Особые разрешения | Эквивалентны полному управлению. Применяется только к вложенным папкам и файлам. |
| SYSTEM | Полный доступ | |
| Администраторы | Полный доступ | |
| Trustedinstaller | Полный доступ |
%windir%\System32\inetsrv\config\schema
- Обзор папки / выполнение файла
- Содержимое папки / чтение данных
- Чтение атрибутов;
- Чтение дополнительных атрибутов;
- Создание файлов / запись данных
- Создание папок / добавление данных
- Запись атрибутов
- Запись дополнительных атрибутов
- Удалить
- чтение;
- Обзор папки / выполнение файла
- Содержимое папки / чтение данных
- Чтение атрибутов;
- Чтение дополнительных атрибутов;
- Создание файлов / запись данных
- Создание папок / добавление данных
- Запись атрибутов
- Запись дополнительных атрибутов
- Удалить
- чтение;
%windir%\System32\inetsrv\en-us
- Обзор папки / выполнение файла
- Содержимое папки / чтение данных
- Чтение атрибутов;
- Чтение дополнительных атрибутов;
- Создание файлов / запись данных
- Создание папок / добавление данных
- Запись атрибутов
- Запись дополнительных атрибутов
- Удалить
- чтение;
- Обзор папки / выполнение файла
- Содержимое папки / чтение данных
- Чтение атрибутов;
- Чтение дополнительных атрибутов;
- Создание файлов / запись данных
- Создание папок / добавление данных
- Запись атрибутов
- Запись дополнительных атрибутов
- Удалить
- чтение;
%windir%\System32\inetsrv\History
| Пользователи и группы | Допустимые разрешения | Примечания |
|---|---|---|
| Администраторы | Полный доступ | |
| SYSTEM | Полный доступ |
%windir%\System32\inetsrv\MetaBack
| Пользователи и группы | Допустимые разрешения | Примечания |
|---|---|---|
| Администраторы | Полный доступ | |
| SYSTEM | Полный доступ |
Разрешения реестра по умолчанию
В таблицах этого раздела перечислены разрешения реестра по умолчанию, назначенные при установке IIS 7.0, IIS 7.5, IIS 8.0 или IIS 8.5. Если для пользователей указаны разрешения на чтение, включаются следующие разрешения:
- Значение запроса
- Перечисление подразделов
- Уведомить
- Контроль чтением
HKEY_LOCAL_MACHINE\Software\Microsoft\Inetmgr
| Пользователи и группы | Допустимые разрешения | Примечания |
|---|---|---|
| СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ | Особые разрешения | Эквивалентны полному управлению. Применяется только к подразделам. |
| SYSTEM | Полный доступ | |
| Администраторы | Полный доступ | |
| Пользователи | Чтение |
HKEY_LOCAL_MACHINE\Software\Microsoft\InetStp
| Пользователи и группы | Допустимые разрешения | Примечания |
|---|---|---|
| СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ | Особые разрешения | Эквивалентны полному управлению. Применяется только к подразделам. |
| SYSTEM | Полный доступ | |
| Администраторы | Полный доступ | |
| Пользователи | Чтение |
HKEY_LOCAL_MACHINE\Software\Microsoft\W3SVC
| Пользователи и группы | Допустимые разрешения | Примечания |
|---|---|---|
| СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ | Особые разрешения | Эквивалентны полному управлению. Применяется только к подразделам. |
| SYSTEM | Полный доступ | |
| Администраторы | Полный доступ | |
| Пользователи | Чтение |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ASP
| Пользователи и группы | Допустимые разрешения | Примечания |
|---|---|---|
| СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ | Особые разрешения | Эквивалентны полному управлению. Применяется только к подразделам. |
| SYSTEM | Полный доступ | |
| Администраторы | Полный доступ | |
| Пользователи | Чтение |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ASP.NET
| Пользователи и группы | Допустимые разрешения | Примечания |
|---|---|---|
| СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ | Особые разрешения | Эквивалентны полному управлению. Применяется только к подразделам. |
| SYSTEM | Полный доступ | |
| Администраторы | Полный доступ | |
| Пользователи | Чтение |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ASP.NET_2.0.50727
| Пользователи и группы | Допустимые разрешения | Примечания |
|---|---|---|
| СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ | Особые разрешения | Эквивалентны полному управлению. Применяется только к подразделам. |
| SYSTEM | Полный доступ | |
| Администраторы | Полный доступ | |
| Пользователи | Чтение |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\aspnet_state
| Пользователи и группы | Допустимые разрешения | Примечания |
|---|---|---|
| СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ | Особые разрешения | Эквивалентны полному управлению. Применяется только к подразделам. |
| SYSTEM | Полный доступ | |
| Администраторы | Полный доступ | |
| Пользователи | Чтение |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP
| Пользователи и группы | Допустимые разрешения | Примечания |
|---|---|---|
| СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ | Особые разрешения | Эквивалентны полному управлению. Применяется только к подразделам. |
| SYSTEM | Полный доступ | |
| Администраторы | Полный доступ | |
| Пользователи | Чтение |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\IISAdmin
| Пользователи и группы | Допустимые разрешения | Примечания |
|---|---|---|
| СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ | Особые разрешения | Эквивалентны полному управлению. Применяется только к подразделам. |
| SYSTEM | Полный доступ | |
| Администраторы | Полный доступ | |
| Пользователи | Чтение |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\W3SVC
| Пользователи и группы | Допустимые разрешения | Примечания |
|---|---|---|
| СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ | Особые разрешения | Эквивалентны полному управлению. Применяется только к подразделам. |
| SYSTEM | Полный доступ | |
| Администраторы | Полный доступ | |
| Пользователи | Чтение |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WAS
| Пользователи и группы | Допустимые разрешения | Примечания |
|---|---|---|
| СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ | Особые разрешения | Эквивалентны полному управлению. Применяется только к подразделам. |
| SYSTEM | Полный доступ | |
| Администраторы | Полный доступ | |
| Пользователи | Чтение |
Ключ WAS используется службой активации Windows. Это необходимая зависимость, которая устанавливается вместе с IIS.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WMsvc
| Пользователи и группы | Допустимые разрешения | Примечания |
|---|---|---|
| СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ | Особые разрешения | Эквивалентны полному управлению. Применяется только к подразделам. |
| SYSTEM | Полный доступ | |
| Администраторы | Полный доступ | |
| Пользователи | Чтение |
Назначения прав пользователей Windows по умолчанию
В таблице этого раздела перечислены локальные политики безопасности по умолчанию, а также пользователи, группы или пользователи и группы, которые назначаются политике при установке IIS 7.0, IIS 7.5, IIS 8.0 или IIS 8.5.
Права пользователей Windows, назначенные локальной политикой безопасности
| Допустимые разрешения | Пользователи и группы |
|---|---|
| Доступ к данному компьютеру из сети | Все администраторы пользователи Операторы резервного копирования |
| Настройка квот памяти для процесса | LOCAL SERVICE NETWORK SERVICE Administrators ApplicationPoolIdentity |
| Разрешить локальный входа в систему | Операторы резервного копирования «Администраторы пользователей « |
| Обход перекрестной проверки | Все пользователи LOCAL SERVICE NETWORK SERVICE Administrators Users Backup operators операторы резервного копирования |
| Создание аудитов безопасности | ApplicationPoolIdentity |
| Имитация клиента после проверки подлинности | LOCAL SERVICE NETWORK SERVICE Administrators IIS_IUSRS SERVICE |
| Вход с правами на пакетные задания | Администраторы Операторы резервного копирования Пользователи журнала производительности IIS_IUSRS |
| Вход в качестве службы | ApplicationPoolIdentity |
| Замена маркера уровня процесса | LOCAL SERVICE NETWORK SERVICE ApplicationPoolIdentity |
Обратная связь
Были ли сведения на этой странице полезными?
Публикация 1С на IIS сервере


Запускаем оснастку управление компьютером Win+R -> compmgmt.msc или через меню пуск:

В оснастке выбираем: Локальные пользователи и групп -> Группы -> IIS_IUSRS открываем свойства группы двойным щелчком ЛКМ

В эту группу нам необходимо добавить пользователя IUSR, для того чтобы предоставить необходимые права доступа, для этого жмем кнопку Добавить

Набираем имя пользователя IUSR и нажимаем кнопку Проверить имена, если пользователь будет найден, то он станет подчеркнутым, нажимаем ОК. Если пользователь не находится нажмите кнопку Размещение… и смените место поиска.

Проверяем, что наш пользователь появился и жмем ОК

Настройка сайта и приложения в IIS
Запускаем Диспетчер служб IIS удобным для Вас способом, например: Win+R -> InetMgr
В левой части экрана раскрываем ветку с сайтами. Останавливаем сайт по умолчанию Default Web Site или модифицируем его, я предпочитаю делать отдельный.

Жмем ПКМ на сайты и выбираем пункт Добавить веб-сайт

Заполняем параметры сайта

Имя сайта: Любое
Физический путь: Создаем каталог где будет храниться наш сайт (файлы сайта)
Тип: Выбираем протокол HTTP или HTTPS
Порт: Задаем порт, порт может быть любой свободный. Стандартный порт для HTTP — 80, для HTTPS 443
Сертификаты SSL: Сертификаты нужны если Вы используете защищенный протокол HTTPS. Если у Вас нет сертификата для Вашего узла, можно использовать серверный самоподписанный IIS Express Development Certificate.
Проверяем, что наш сайт появился и запустился

Вместе с сайтом так же должен был создаться пул приложений с таким же названием.
Переходим выше по ветке в раздел Пулы и приложений и находим наше приложение, в данном случае 1с

Выбираем наш пул приложений 1с и нажимаем в правой части Дополнительные параметры…

В Дополнительных параметрах находим строки:
Версия среды .NET Framework — выбираем версию v.4.0+
Разрешены 32-разрядные приложения и выбираем значение True
Внимание! Если Вы будете публиковать x64 битную платформу 1С данное значение оставляем False,иначе будете получать ошибку 0x800700c1
(Эта проблема возникает из-за неверного сопоставление сценариев. Убедитесь в том, что сопоставление сценария указывает на ISAPI DLL-файл, который может обработать запрос. Чтобы сделать это, выполните следующие действия.)
Режим управляемого конвейера — выбираем значение Classic

Настройка доступа для группы IIS_IUSRS
Настройка необходимого доступа для группы IIS_IUSRS, для корректной работы нашего сайта (1с) и корректной публикации.
Для начала необходимо дать права группе IIS_IUSRS к каталогу в котором находятся (будут находиться) файлы нашего сайта. В нашем примере файлы сайта находятся в C:\inetpub\www\1c.
Переходим в каталог C:\inetpub\www\ -> нажимаем ПКМ на каталоге 1с -> в меню выбираем пункт Свойства -> переходим на вкладку Безопасность -> жмем кнопку Изменить… -> кнопку Добавить… -> в поле вписываем название группы IIS_IUSRS (при необходимости меняем место Размещения) -> нажимаем кнопку Проверить имена.

Если группа найдена она станет подчеркнутой, жмем ОК.

Далее проставляем галочки необходимых прав:

— Чтение и выполнение
— Список содержимого папки
— Чтение
Тоже самое с правами, мы делаем для каталога куда установлена 1с и каталога куда развернута наша файловая база. Если Вы используете базу SQL, то Вам НЕ нужно задавать права на каталог с базой.
Обращаем внимание, что для каталога с базой так же нужны права на запись!
Расположение файловой базы Вы можете посмотреть запустив 1С Предприятие

Публикация 1с
Запускаем 1с Предприятие -> Конфигуратор -> Администрирование -> Публикация на веб-сервере…

Выбираем каталог где будут файлы сайта и жмем Опубликовать



