IIS 7.0 和更新版本的預設許可權和使用者權限

本文說明在特定資料夾及檔案上設定的預設許可權和使用者權利。 這些資料夾和檔案會以 Microsoft Internet Information Services (IIS) 7.0 及更新版本一起安裝。

原始產品版本:   網際網路資訊服務8。0
原始 KB 編號:   981949

IIS 6.0 和 IIS 7.0/7.5/8.5 之間的許可權變更

在 IIS 6.0 中,本機帳戶 (IUSR_MachineName) 是在安裝 IIS 時建立的。 IUSR_MachineName當啟用匿名驗證時,此帳戶是 IIS 所使用的預設身分識別。 檔案傳輸通訊協定 (FTP) 服務和超文字傳輸通訊協定 (HTTP) 服務,都使用匿名驗證。 IIS 6.0 也包含名為的群組 IIS_WPGIIS_WPG群組是用來做為所有應用程式集區身分識別的容器。

在 IIS 7.0 和更新版本中,內建帳戶 (IUSR) 會取代該 IUSR_MachineName 帳戶。 此外,名為的群組會 IIS_IUSRS 取代 IIS_WPG 群組。 因為 IUSR 帳戶是內建帳戶,所以 IUSR 帳戶不再需要密碼。 IUSR 帳戶類似網路或本機服務帳戶。 IUSR_MachineName只有在安裝 Windows server 2008 DVD 中所包含的 FTP 6 伺服器時,才會建立及使用此帳戶。 如果未安裝 FTP 6 伺服器,則不會建立帳戶。

從 IIS 7.5 開始,新增稱為「 應用程式集 區身分識別」的安全性功能。 此功能可讓您在唯一的帳戶下執行應用程式集區,而不需要建立及管理網域或本機帳戶。 應用程式集區帳戶的名稱會對應至應用程式集區的名稱。

如需 IIS 7.0 帳戶和群組的詳細資訊,請參閱 瞭解內建使用者和群組帳戶的 iis 7

如需應用程式集區身分識別的詳細資訊,請造訪 應用程式集區身分識別。

預設 NTFS 檔案系統許可權

本節中的表格列出指派給特定資料夾及檔案的預設新技術檔案系統 (NTFS) 許可權。 這些資料夾和檔案會一起安裝,與 IIS 7.0、IIS 7.5、IIS 8.0 和 IIS 8.5 一起安裝。

\inetpub

使用者/群組 允許的許可權 註解
建立者擁有者 特殊許可權 相當於「完全控制」。
僅適用于子資料夾和檔案。
系統 完全控制
系統管理員 完全控制
使用者 讀取 & 執行
列出資料夾內容
讀取
TrustedInstaller 完全控制

\inetpub\AdminScripts

使用者/群組 允許的許可權 註解
建立者擁有者 特殊許可權 相當於「完全控制」。
僅適用于子資料夾和檔案。
系統 完全控制
系統管理員 完全控制
使用者 讀取 & 執行
列出資料夾內容
讀取
TrustedInstaller 完全控制

\inetpub\AdminScripts\0409

使用者/群組 允許的許可權 註解
建立者擁有者 特殊許可權 相當於「完全控制」。
僅適用于子資料夾和檔案。
繼承自 \inetpub\AdminScripts
系統 完全控制 繼承自 \inetpub\AdminScripts
系統管理員 完全控制 繼承自 \inetpub\AdminScripts
使用者 讀取 & 執行
列出資料夾內容
讀取
繼承自 \inetpub\AdminScripts
TrustedInstaller 完全控制 繼承自 \inetpub\AdminScripts

\inetpub\custerr

使用者/群組 允許的許可權 註解
建立者擁有者 特殊許可權 相當於「完全控制」。
僅適用于子資料夾和檔案。
繼承自 \inetpub
系統 完全控制
特殊許可權
完全控制繼承自 \inetpub
特殊許可權相當於「完全控制」。
僅適用于此資料夾。
系統管理員 完全控制
特殊許可權
完全控制繼承自 \inetpub
相當於「完全控制」。
僅適用于此資料夾。
使用者 讀取 & 執行
列出資料夾內容
讀取
特殊許可權
除了特殊許可權之外,也會從繼承許可權 \inetpub

特殊許可權只適用于此資料夾,並包含下列專案:
  • 遍歷資料夾/執行檔
  • 列出資料夾/讀取資料
  • 讀取屬性
  • 讀取擴充屬性
  • 讀取權限
TrustedInstaller 完全控制 繼承自 \inetpub

\inetpub\custerr\en-us

使用者/群組 允許的許可權 註解
建立者擁有者 特殊許可權 相當於「完全控制」。
僅適用于子資料夾和檔案。
繼承自 \inetpub
系統 完全控制 繼承自 \inetpub
系統管理員 完全控制 繼承自 \inetpub
使用者 讀取 & 執行
列出資料夾內容
讀取
繼承自 \inetpub
TrustedInstaller 完全控制 繼承自 \inetpub

\inetpub\ftproot

使用者/群組 允許的許可權 註解
建立者擁有者 特殊許可權 相當於「完全控制」。
僅適用于子資料夾和檔案。
繼承自 \inetpub
系統 完全控制 繼承自 \inetpub
系統管理員 完全控制 繼承自 \inetpub
使用者 讀取 & 執行
列出資料夾內容
讀取
繼承自 \inetpub
TrustedInstaller 完全控制 繼承自 \inetpub

\inetpub\history 與子資料夾

使用者/群組 允許的許可權 註解
系統 完全控制
系統管理員 完全控制

\inetpub\logs

使用者/群組 允許的許可權 註解
建立者擁有者 特殊許可權 相當於「完全控制」。
僅適用于子資料夾和檔案。
繼承自 \inetpub
系統 完全控制 繼承自 \inetpub
系統管理員 完全控制 繼承自 \inetpub
使用者 讀取 & 執行
列出資料夾內容
讀取
繼承自 \inetpub
WMSvc 列出資料夾內容
TrustedInstaller 完全控制 繼承自 \inetpub

\inetpub\logs\FailedReqLogFiles

使用者/群組 允許的許可權 註解
IIS_USRS 特殊許可權 特殊許可權包括下列各項:
  • 列出資料夾/讀取資料
  • 建立檔案/寫入資料
  • 建立資料夾/附加資料
  • 寫入屬性
  • 寫入擴充屬性
  • 刪除子資料夾及檔案
  • 刪除
系統 完全控制
系統管理員 完全控制

\inetpub\logs\wmsvc

使用者/群組 允許的許可權 註解
建立者擁有者 特殊許可權 相當於「完全控制」。
僅適用于子資料夾和檔案。
繼承自 \inetpub
系統 完全控制 繼承自 \inetpub
系統管理員 完全控制 繼承自 \inetpub
使用者 讀取 & 執行
列出資料夾內容
讀取
繼承自 \inetpub
WMSvc 修改
讀取 & 執行
列出資料夾內容
讀取
寫入
已繼承 [列出資料夾內容] 許可權 \inetpub\logs
TrustedInstaller 完全控制 繼承自 \inetpub

\inetpub\temp

使用者/群組 允許的許可權 註解
建立者擁有者 特殊許可權 相當於「完全控制」。
僅適用于子資料夾和檔案。
繼承自 \inetpub
系統 完全控制 繼承自 \inetpub
系統管理員 完全控制 繼承自 \inetpub
使用者 讀取 & 執行
列出資料夾內容
讀取
繼承自 \inetpub
TrustedInstaller 完全控制 繼承自 \inetpub

\inetpub\temp\appPools

使用者/群組 允許的許可權 註解
建立者擁有者 特殊許可權 相當於「完全控制」。
僅適用于子資料夾和檔案。
系統 完全控制
系統管理員 完全控制
IIS_USRS 讀取 & 執行 繼承自 \inetpub

\inetpub\temp\ASP 編譯範本

使用者/群組 允許的許可權 註解
依預設,未指派此資料夾的許可權。

\inetpub\temp\IIS 暫存壓縮檔

使用者/群組 允許的許可權 註解
系統 完全控制
系統管理員 完全控制
IIS_USRS 完全控制

\inetpub\wwwroot

使用者/群組 允許的許可權 註解
建立者擁有者 特殊許可權 相當於「完全控制」。
僅適用于子資料夾和檔案。
繼承自 \inetpub
系統 完全控制 繼承自 \inetpub
系統管理員 完全控制 繼承自 \inetpub
使用者 讀取 & 執行
列出資料夾內容
讀取
繼承自 \inetpub
IIS_USRS 讀取 & 執行
TrustedInstaller 完全控制 繼承自 \inetpub

\inetpub\wwwroot\ aspnet_client

使用者/群組 允許的許可權 註解
所有人 讀取
系統 完全控制
系統管理員 完全控制
使用者 讀取 & 執行
列出資料夾內容
讀取

%windir%\system32\inetsrv

使用者/群組 允許的許可權 註解
建立者擁有者 特殊許可權 相當於「完全控制」。
僅適用于子資料夾和檔案。
系統 特殊許可權 僅限此資料夾的系統帳戶所允許的特殊許可權包括下列各項:
  • 遍歷資料夾/執行檔
  • 列出資料夾/讀取資料
  • 讀取屬性
  • 讀取擴充屬性
  • 建立檔/寫入資料
  • 建立資料夾/附加資料
  • 寫入屬性
  • 寫入擴充屬性
  • 刪除
  • 讀取權限

對子資料夾及檔案的系統允許的特殊許可權,只相當於「完全控制」。
系統管理員 特殊許可權 只允許此資料夾的 Administrators 群組的特殊許可權包括下列專案:
  • 遍歷資料夾/執行檔
  • 列出資料夾/讀取資料
  • 讀取屬性
  • 讀取擴充屬性
  • 建立檔/寫入資料
  • 建立資料夾/附加資料
  • 寫入屬性
  • 寫入擴充屬性
  • 刪除
  • 讀取權限

僅限子資料夾和檔案的系統管理員群組所允許的特殊許可權,相當於「完全控制」。
使用者 讀取 & 執行
列出資料夾內容
讀取
TrustedInstaller 特殊許可權 許可權相當於「完全控制」,並套用至此資料夾及子資料夾。

%windir%\System32\inetsrv\0409

使用者/群組 允許的許可權 註解
建立者擁有者 特殊許可權 相當於「完全控制」。
僅適用于子資料夾和檔案。
繼承自 %windir%\System32\inetsrv
系統 完全控制 繼承自 %windir%\System32\inetsrv
系統管理員 完全控制 繼承自 %windir%\System32\inetsrv
使用者 讀取 & 執行
列出資料夾內容
讀取
繼承自 %windir%\System32\inetsrv
TrustedInstaller 特殊許可權 相當於「完全控制」。
僅適用于子資料夾和檔案。
繼承自 %windir%\System32\inetsrv

%windir%\System32\inetsrv\config

使用者/群組 允許的許可權 註解
建立者擁有者 特殊許可權 相當於「完全控制」。
僅適用于子資料夾和檔案。
系統 完全控制
系統管理員 完全控制
使用者 讀取 & 執行
列出資料夾內容
讀取
TrustedInstaller 完全控制
WMSvc 讀取

%windir%\System32\inetsrv\config\Export

使用者/群組 允許的許可權 註解
建立者擁有者 特殊許可權 相當於「完全控制」。
僅適用于子資料夾和檔案。
系統 完全控制
系統管理員 完全控制
TrustedInstaller 完全控制

%windir%\System32\inetsrv\config\schema

使用者/群組 允許的許可權 註解
建立者擁有者 特殊許可權 相當於「完全控制」。
僅適用于子資料夾和檔案。
系統 特殊許可權 僅限此資料夾的系統帳戶所允許的特殊許可權包括下列各項:
  • 遍歷資料夾/執行檔
  • 列出資料夾/讀取資料
  • 讀取屬性
  • 讀取擴充屬性
  • 建立檔/寫入資料
  • 建立資料夾/附加資料
  • 寫入屬性
  • 寫入擴充屬性
  • 刪除
  • 讀取權限

對子資料夾及檔案的系統允許的特殊許可權,只相當於「完全控制」。
系統管理員 特殊許可權 只允許此資料夾的 Administrators 群組的特殊許可權包括下列專案:
  • 遍歷資料夾/執行檔
  • 列出資料夾/讀取資料
  • 讀取屬性
  • 讀取擴充屬性
  • 建立檔/寫入資料
  • 建立資料夾/附加資料
  • 寫入屬性
  • 寫入擴充屬性
  • 刪除
  • 讀取權限

僅限子資料夾和檔案的系統管理員群組所允許的特殊許可權,相當於「完全控制」。
使用者 讀取 & 執行
列出資料夾內容
讀取
TrustedInstaller 特殊許可權 相當於「完全控制」。
套用至此資料夾及子資料夾。

%windir%\System32\inetsrv\en-us

使用者/群組 允許的許可權 註解
建立者擁有者 特殊許可權 相當於「完全控制」。
僅適用于子資料夾和檔案。
系統 特殊許可權 僅限此資料夾的系統帳戶所允許的特殊許可權包括下列各項:
  • 遍歷資料夾/執行檔
  • 列出資料夾/讀取資料
  • 讀取屬性
  • 讀取擴充屬性
  • 建立檔/寫入資料
  • 建立資料夾/附加資料
  • 寫入屬性
  • 寫入擴充屬性
  • 刪除
  • 讀取權限

對子資料夾及檔案的系統允許的特殊許可權,只相當於「完全控制」。
系統管理員 特殊許可權 只允許此資料夾的 Administrators 群組的特殊許可權包括下列專案:
  • 遍歷資料夾/執行檔
  • 列出資料夾/讀取資料
  • 讀取屬性
  • 讀取擴充屬性
  • 建立檔/寫入資料
  • 建立資料夾/附加資料
  • 寫入屬性
  • 寫入擴充屬性
  • 刪除
  • 讀取權限

僅限子資料夾和檔案的系統管理員群組所允許的特殊許可權,相當於「完全控制」。
使用者 讀取 & 執行
列出資料夾內容
讀取
TrustedInstaller 列出資料夾內容
特殊許可權
相當於「完全控制」。
套用至此資料夾及子資料夾。

%windir%\System32\inetsrv\History

使用者/群組 允許的許可權 註解
系統管理員 完全控制
系統 完全控制

%windir%\System32\inetsrv\MetaBack

使用者/群組 允許的許可權 註解
系統管理員 完全控制
系統 完全控制

預設登入權利

本節中的表格列出安裝 IIS 7.0、IIS 7.5、IIS 8.0 或 IIS 8.5 時所指派的預設登入權利。 當使用者列出讀取權限時,會包含下列許可權:

  • 查詢值
  • 列舉子項
  • Notify
  • 讀取控制

HKEY_LOCAL_MACHINE\Software\Microsoft\Inetmgr

使用者/群組 允許的許可權 註解
建立者擁有者 特殊許可權 相當於「完全控制」。
僅適用于子項。
系統 完全控制
系統管理員 完全控制
使用者 讀取

HKEY_LOCAL_MACHINE\Software\Microsoft\InetStp

使用者/群組 允許的許可權 註解
建立者擁有者 特殊許可權 相當於「完全控制」。
僅適用于子項。
系統 完全控制
系統管理員 完全控制
使用者 讀取

HKEY_LOCAL_MACHINE\Software\Microsoft\W3SVC

使用者/群組 允許的許可權 註解
建立者擁有者 特殊許可權 相當於「完全控制」。
僅適用于子項。
系統 完全控制
系統管理員 完全控制
使用者 讀取

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ASP

使用者/群組 允許的許可權 註解
建立者擁有者 特殊許可權 相當於「完全控制」。
僅適用于子項。
系統 完全控制
系統管理員 完全控制
使用者 讀取

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ASP.NET

使用者/群組 允許的許可權 註解
建立者擁有者 特殊許可權 相當於「完全控制」。
僅適用于子項。
系統 完全控制
系統管理員 完全控制
使用者 讀取

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ASP.NET_2.0.50727

使用者/群組 允許的許可權 註解
建立者擁有者 特殊許可權 相當於「完全控制」。
僅適用于子項。
系統 完全控制
系統管理員 完全控制
使用者 讀取

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\aspnet_state

使用者/群組 允許的許可權 註解
建立者擁有者 特殊許可權 相當於「完全控制」。
僅適用于子項。
系統 完全控制
系統管理員 完全控制
使用者 讀取

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP

使用者/群組 允許的許可權 註解
建立者擁有者 特殊許可權 相當於「完全控制」。
僅適用于子項。
系統 完全控制
系統管理員 完全控制
使用者 讀取

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\IISAdmin

使用者/群組 允許的許可權 註解
建立者擁有者 特殊許可權 相當於「完全控制」。
僅適用于子項。
系統 完全控制
系統管理員 完全控制
使用者 讀取

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\W3SVC

使用者/群組 允許的許可權 註解
建立者擁有者 特殊許可權 相當於「完全控制」。
僅適用于子項。
系統 完全控制
系統管理員 完全控制
使用者 讀取

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WAS

使用者/群組 允許的許可權 註解
建立者擁有者 特殊許可權 相當於「完全控制」。
僅適用于子項。
系統 完全控制
系統管理員 完全控制
使用者 讀取

注意

WAS 機碼是針對 Windows 進程啟用服務。 這是必要的相依性,與 IIS 一起安裝。

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WMsvc

使用者/群組 允許的許可權 註解
建立者擁有者 特殊許可權 相當於「完全控制」。
僅適用于子項。
系統 完全控制
系統管理員 完全控制
使用者 讀取

預設 Windows 使用者權限指派

本節中的表格會列出預設的本機安全性原則和使用者、群組,或已指派給原則的使用者和群組,當 IIS 7.0、IIS 7.5、IIS 8.0 或 IIS 8.5 已安裝時。

本機安全性原則所指派的 Windows 使用者權限

允許的許可權 使用者/群組
從網路存取這部電腦 所有人
系統管理員
使用者
備份操作員
調整處理常式的記憶體配額 本機服務
網路服務
系統管理員
ApplicationPoolIdentity
允許在本機登入 系統管理員
使用者
備份操作員
略過遍歷檢查 所有人
本機服務
網路服務
系統管理員
使用者
備份操作員
產生安全性審核詳細資料 ApplicationPoolIdentity
在驗證後模擬用戶端 本機服務
網路服務
系統管理員
IIS_IUSRS
SERVICE (服務)
以批次工作登入 系統管理員
備份操作員
效能記錄使用者
IIS_IUSRS
以服務的身分登入 ApplicationPoolIdentity
取代處理層級 token 本機服務
網路服務
ApplicationPoolIdentity