Festlegen von Berechtigungen für virtuelle Verzeichnisse

Aus Sicherheitsgründen lädt Background Intelligent Transfer Service (BITS) keine Dateien in ein virtuelles Verzeichnis hoch, für das Skripterstellungs- und Ausführungsberechtigungen aktiviert sind. Wenn Sie eine Datei in ein virtuelles Verzeichnis hochladen, für das diese Berechtigungen aktiviert sind, schlägt der Auftrag mit dem Fehlercode BG _ E SERVER EXECUTE ENABLED _ _ _ fehl.

Bits erfordert nicht, dass das virtuelle Verzeichnis schreib aktiviert ist. Daher wird empfohlen, den Schreibzugriff auf das virtuelle Verzeichnis zu deaktivieren.

Der authentifizierte Benutzer (oder der anonyme Benutzer von IIS für die anonyme Authentifizierung) muss über Änderungsberechtigungen für das physische Verzeichnis verfügen, dem das virtuelle Verzeichnis zugeordnet ist. Das Erteilen von Schreibberechtigungen reicht nicht aus.

Angeben von Berechtigungen für Benachrichtigungen

Das Authentifizierungsschema, das Sie für das virtuelle Verzeichnis und die Benachrichtigungs-URL angeben (siehe BITSServerNotificationURL-Eigenschaft), muss kompatibel sein. BITS verwendet das für das virtuelle Verzeichnis angegebene Authentifizierungsschema für den Zugriff auf die Benachrichtigungs-URL. Der Uploadauftrag schlägt fehl, wenn BITS aufgrund eines Authentifizierungsfehlers nicht auf die Benachrichtigungs-URL zugreifen kann.

Wenn der Benachrichtigungstyp (siehe BITSServerNotificationType-Eigenschaft) als Verweis festgelegt ist,muss die Anwendung sicherstellen, dass der Benutzer Zugriff auf die Datei hat, auf die verwiesen wird (siehe BITS-Request-DataFile-Name-Header). BITS legt die ACLs für die Datei, auf die verwiesen wird, auf die des physischen Verzeichnisses fest, dem das virtuelle Verzeichnis zugeordnet ist.

Hinweis

Die benachrichtigte Anwendung muss die Remotedatei zuordnen und darauf zugreifen können, auch wenn die Benachrichtigungs-URL von einem Webserver auf einem anderen Computer als dem physischen Uploadverzeichnis unterstützt wird. Der BITS-Request-DataFile-Name-Header enthält immer eine Pfadspezifikation, die relativ zum Computer ist, der die Komponente BITS-Erweiterungen hosten soll. Eine Anwendung, die auf einem anderen Computer ausgeführt wird, muss den Pfad möglicherweise in einen UNC-Pfad konvertieren, bevor sie darauf zugreifen kann.

BITS unterstützt viele Kombinationen von Authentifizierungsschemas. Sie sollten jedoch das folgende Authentifizierungsschema für das virtuelle Verzeichnis und die entsprechende Benachrichtigungs-URL verwenden.

  • Zur Unterstützung durch Verweisbenachrichtigungen sollte das virtuelle Verzeichnis so konfiguriert werden, dass die NTLM-Authentifizierung (Negotiate) verwendet wird, wenn das physische Uploadverzeichnis (das Verzeichnis, auf das das virtuelle Verzeichnis verweist) ein anderes Authentifizierungsschema als anonym verwendet. Wenn das physische Uploadverzeichnis anonyme Anforderungen zulässt (keine Authentifizierung), sollte das virtuelle Verzeichnis anonym (keine Authentifizierung) aktivieren.

    Die ACLs im physischen Uploadverzeichnis müssen so festgelegt werden, dass der authentifizierte Benutzer Dateien in dem Verzeichnis lesen kann, auf das die Benachrichtigungs-URL verweist. BITS verwendet die ACLs des physischen Uploadverzeichnisses zum Festlegen der ACLs der temporären Uploaddatei (der BITS-Request-DataFile-Name-Header enthält den Pfad zur temporären Datei).

  • Da Benachrichtigungen nach Wert nicht erfordern, dass die benachrichtigte Anwendung auf eine temporäre Datei mit den Uploadinhalten zutritt, kann das Authentifizierungsschema entweder anonym oder aushandeln (NTLM) sein. Die einzige Anforderung ist, dass der authentifizierte Benutzer für das virtuelle Verzeichnis auch für den Zugriff auf die Benachrichtigungs-URL autorisiert sein muss.

Angeben von Berechtigungen für Remotefreigaben

Ein virtuelles Verzeichnis kann auf ein zugeordnetes Laufwerk auf einem anderen Computer oder einer Netzwerkfreigabe verweisen. Wenn er auf ein zugeordnetes Netzwerklaufwerk verweist, sollten die Anmeldeinformationen, die zum Zuordnen des Laufwerks verwendet werden, vollzugriff auf die Remotefreigabe haben.

Wenn das virtuelle Verzeichnis auf eine Netzwerkfreigabe verweist, verwendet BITS die Anmeldeinformationen des virtuellen Verzeichnisses Verbinden Benutzeranmeldeinformationen für den Zugriff auf die Remotefreigabe. Um auf eine Remotefreigabe zugreifen zu können, muss das Verbinden As-Konto über Berechtigungen verfügen, wie in der Dokumentation für die LogonUser-Funktion beschrieben. BITS meldet sich mit den Anmeldetypen LOGON32 _ LOGON _ BATCH oder LOGON32 _ LOGON INTERACTIVE _ an. Das Verbinden Als-Benutzerkonto benötigt Full-Access Berechtigungen für die Remotefreigabe. Das Erteilen von Schreibberechtigungen reicht nicht aus.

Wenn das physische Uploadverzeichnis einer Netzwerkfreigabe zugeordnet ist, ist die Identität des Aufrufers, der die Benachrichtigungs-URL an fordert, entweder der Verbinden As-Benutzer oder der authentifizierte Benutzer des physischen Uploadverzeichnisses (nur verfügbar in IIS 6.0 und höher, wenn das Kontrollkästchen Immer die Anmeldeinformationen des authentifizierten Benutzers verwenden, wenn der Zugriff auf die Netzwerkressource überprüft wird im Dialogfeld Verbinden Als) aktiviert ist.