IIS - Задание разрешений NTFS для каталога или файла

Для того чтобы управлять доступом пользователей к каталогам и файлам веб-сервера, можно установить разрешения файловой системы NTFS. Разрешения файловой системы NTFS позволяют определить уровень доступа к файлам и каталогам, предоставляемого конкретным пользователям и группам, имеющим действительные учетные записи Windows. Правильная конфигурация разрешений на файлы и каталоги является основным элементом системы предотвращения несанкционированного доступа. Дополнительные сведения см. в разделе Об управлении доступом или в документации Windows.

Если установлен общий доступ к каталогу или файлу, NTFS по умолчанию предоставляет разрешение Полный доступ группе Все, включающей всех пользователей. Это означает, что все пользователи имеют разрешения на изменение, перемещение и удаление файлов и каталогов и на изменение разрешений NTFS. Эти стандартные установки могут быть целесообразны не для всех каталогов и файлов.

Обеспечение безопасности сервера предполагает удаление ненужных пользователей и групп или групп, которые являются слишком распространенными. Однако удаление группы «Все» из списка управления доступом для веб-ресурсов без дальнейших изменений вызовет запрет даже неанонимного доступа. Чтобы неанонимный доступ работал правильно, в дополнение к определенным пользователям или группам должны быть установлены следующие разрешения:

• «Администратор» [полный доступ]
• «Создатель-Владелец» [полный доступ]
• «Система» [полный доступ]

Примечание.   Если вкладка Безопасность не отображается в окне свойств накопителя, каталога или файла, то файловая система сервера не настроена как NTFS. Чтобы преобразовать файловую систему в NTFS, см. документацию Windows.

1. Раскройте папку Мой компьютер, выберите диск, каталог или файл, который должен быть защищен и откройте окно его свойств.
2. На вкладке Безопасность выберите учетную запись, для которой будут изменяться разрешения.
3. В группе Разрешения выберите тип доступа для указанного пользователя или группы. Используйте флажки столбца Разрешить для присваивания нужного разрешения, а флажки столбца Запретить – для отмены данного разрешения. Чтобы получить другие возможности выбора, нажмите кнопку Дополнительно.
Для получения информации о различных разрешениях см. документацию Windows.

Важно!   Соблюдайте осторожность при использовании флажков Запретить. Флажок Запретить имеет приоритет перед столбцом Разрешить. Применение флажка Запретить к группе «Все» может закрыть ресурс для этого уровня доступа для любого, включая администратора.

1. На вкладке Безопасность нажмите кнопку Добавить для добавления пользователей или групп.
2. На вкладке Безопасность нажмите кнопку Удалить для удаления пользователей или групп.
3. В диалоговом окне Выбор: Пользователи, Компьютеры или Группы выберите компьютер или домен из списка или введите имя в поле Имя.
4. Процесс добавления пользователей и групп может быть продолжен. Нижний список будет включать пользователей и группы, которые были выбраны или введены.
5. Нажмите кнопку OK для добавления их в список на вкладке Безопасность.
6. В списке Имена выберите имена пользователей или групп, которым требуется предоставить доступ к файлу или каталогу.

Примечание.   Если имеются противоречия между разрешениями NTFS и разрешениями веб-сервера, то действует наиболее ограничивающее разрешение. Это означает, что разрешение, в явном виде запрещающее доступ, всегда будет иметь преимущество над разрешениями, предоставляющими доступ.