Разрешения для общего доступа и NTFS
Введение
Разрешения файлового сервера должны быть тщательно реализованы, чтобы обеспечить соответствующий доступ к содержимому. Это включает блокировку разрешений для общей папки и физических папок.
Разрешения
В следующей таблице перечислены разрешения, которые использовались для общей папки и папок файлового сервера в программе установки общего размещения , указанной в разделе Planning the Web Hosting Architecture (Планирование архитектуры веб-размещения ) руководства по размещению. В зависимости от используемой общей среды размещения администраторы серверов должны разработать собственные настраиваемые разрешения, соответствующие их потребностям.
| Путь | Разрешения | Причина |
|---|---|---|
| \server\share$ (общий доступ) | Администраторы домена — пользователи домена с полным доступом — изменение machineAccounts$ — полный доступ | Разрешения общего доступа должны разрешать администраторам и учетным записям сайтов доступ к содержимому. Физический путь будет ограничен фактическими необходимыми разрешениями. |
| E:\Content (физический путь к общей папке) | Администраторы — система полного контроля — полный доступ | Это папка, к которой предоставлен общий доступ. Ему не требуются разрешения для учетных записей, кроме встроенной группы "Администраторы" и системной учетной записи. |
| E:\Content\<sitename> (контейнер для определенного сайта или пользователя) | Администраторы — система полного контроля — владелец сайта полного контроля — вывод списка содержимого папки | Эта папка используется в качестве контейнера для таких папок, как домашний каталог сайта и его файлы журналов. Владелец сайта должен иметь возможность читать эту папку, но ей не нужен доступ на запись. |
| E:\Content\<имя_сайта> \wwwroot (домашний каталог IIS для сайта) | Администраторы — система полного управления — владелец сайта полного контроля — изменение имени пользователя пула приложений — чтение | Это корень веб-сайта, принадлежащего учетной записи пользователя. Имя пользователя пула приложений используется в качестве удостоверения пула приложений и анонимного имени пользователя для веб-сайта. |
| E:\Content\<sitename>\Logs (контейнер для журналов) | Администраторы — система полного контроля — владелец сайта полного контроля — чтение | Обратите внимание, что эта папка для журналов хранится НАД корнем сайта, поэтому она недоступна для посетителей, просматривающих сайт. Не рекомендуется помещать эту папку в любое место, доступное из веб-браузера, в целях безопасности. |
| E:\Content\<имя_>сайта\Logs\FailedReqLogs (контейнер для журналов трассировки неудачных запросов) | Администраторы — система полного управления — имя пользователя пула приложений с полным доступом — полный доступ | Это папка, используемая для хранения файлов журнала неудачных запросов, которые позволяют владельцу сайта диагностировать проблемы с веб-сайтом. Эти журналы записываются удостоверением рабочего процесса, именем пользователя пула приложений. |
| E:\Content\<sitename>\Logs\W3SVCLogFiles (контейнер для журналов трафика W3SVC) | Администраторы - Система полного контроля - Полный доступ MachineAccount$ - Полный доступ | Это папка, используемая для хранения файлов журналов для веб-сайта, которые позволяют владельцу сайта просматривать шаблоны трафика. Если администратор сервера не хочет предоставлять общий доступ к этим файлам или хочет предоставить альтернативный метод определения трафика, эти файлы можно хранить в другом месте. MachineAccount$ — это учетная запись компьютера веб-сервера, так как эти журналы записываются HTTP.SYS. |
Настройка разрешений
Настройка разрешений для общей папки
В Windows Обозреватель щелкните правой кнопкой мыши папку, к которой вы хотите предоставить общий доступ, и выберите пункт Свойства.
На вкладке Общий доступ щелкните Расширенный общий доступ.
В разделе Контроль учетных записей нажмите кнопку Продолжить , чтобы принять запрос о том, что Windows требуется ваше разрешение на выполнение действия.
В диалоговом окне Расширенный общий доступ проверка поделиться этой папкой.
Задайте имя общего ресурса и примечания соответствующим образом. Чтобы сделать общую папку скрытой, добавьте $ в конец имени общей папки.
Примечание
Скрытие общего ресурса означает, что при подключении к [\server]
(file://server/)вы не увидите общую папку, если не введете путь [\server\share$](file://server/share$).Щелкните Разрешения.
В диалоговом окне Разрешения удалите группу Все, если она существует.
Добавьте соответствующего пользователя или группу, которые должны иметь доступ к общей папке.
Укажите разрешения (полный доступ, изменение, чтение) для пользователя или группы.
Дважды нажмите кнопку ОК , а затем нажмите кнопку Закрыть , чтобы закрыть диалоговые окна.
Настройка разрешений для структуры папок
- В Windows Обозреватель щелкните правой кнопкой мыши папку, к которой вы хотите предоставить общий доступ, и выберите пункт Свойства.
- На вкладке Безопасность нажмите Изменить.
- В диалоговом окне Разрешения добавьте соответствующих пользователей или группы, которые должны иметь доступ на каждом уровне структуры папок.
- Укажите разрешения (Полный доступ, Изменение, Чтение & выполнение, Вывод содержимого папки, Чтение, Специальные разрешения на запись) для пользователей или групп.
- Дважды нажмите кнопку ОК , чтобы закрыть диалоговые окна.
Пример скрипта для настройки документов по умолчанию см. в статье Примеры скриптов C# и PowerShell . в качестве примера создания общей папки и настройки разрешений.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по