IIS 7.0 及更高版本的默认权限和用户权限
本文介绍在某些文件夹和文件上设置的默认权限和用户权限。 这些文件夹和文件随 Microsoft Internet Information Services (IIS) 7.0 及更高版本一起安装。
原始产品版本: Internet Information Services 8.0
原始 KB 编号: 981949
IIS 6.0、IIS 7.0 及更高版本中的权限更改
在 IIS 6.0 中,安装 IIS 时会创建本地帐户 (IUSR_MachineName)。 IUSR_MachineName 帐户是启用匿名身份验证时 IIS 使用的默认标识。 文件传输协议 (FTP) 服务和超文本传输协议 (HTTP) 服务均使用匿名身份验证。 IIS 6.0 还包含一个名为 IIS_WPG 的组。 该 IIS_WPG 组用作所有应用程序池标识的容器。
在 IIS 7.0 及更高版本中,内置帐户 (IUSR) 取代了 IUSR_MachineName 帐户。 此外,名为 IIS_IUSRS 的组替换了 IIS_WPG 组。 由于 IUSR 帐户是内置帐户,因此 IUSR 帐户不再需要密码。 IUSR 帐户类似于网络或本地服务帐户。 仅当安装 Windows Server 2008 DVD 中包含的 FTP 6 服务器时,才会创建和使用 IUSR_MachineName 帐户。 如果未安装 FTP 6 服务器,则不会创建帐户。
从 IIS 7.5 开始,添加了名为“应用程序池标识”的新安全功能。 此功能允许在唯一帐户下运行应用程序池,而无需创建和管理域或本地帐户。 应用程序池帐户的名称对应于应用程序池的名称。
有关 IIS 7.0 帐户和组的详细信息,请访问了解 IIS 7 中的内置用户和组帐户。
有关应用程序池标识的详细信息,请访问应用程序池标识。
默认 NTFS 文件系统权限
本部分中的表列出了分配给某些文件夹和文件的默认新技术文件系统 (NTFS) 权限。 这些文件夹和文件与 IIS 7.0、IIS 7.5、IIS 8.0、IIS 8.5 和 IIS 10.0 一起安装。
\inetpub
| 用户/组 |
允许的权限 |
备注 |
| 创建者所有者 |
特殊权限 |
等效于完全控制。 仅适用于子文件夹和文件。 |
| SYSTEM |
完全控制 |
|
| 管理员 |
完全控制 |
|
| 用户 |
读取 & 执行 列表文件夹内容 读取 |
|
| TrustedInstaller |
完全控制 |
|
\inetpub\AdminScripts
| 用户/组 |
允许的权限 |
备注 |
| 创建者所有者 |
特殊权限 |
等效于完全控制。 仅适用于子文件夹和文件。 |
| SYSTEM |
完全控制 |
|
| 管理员 |
完全控制 |
|
| 用户 |
读取 & 执行 列表文件夹内容 读取 |
|
| TrustedInstaller |
完全控制 |
|
\inetpub\AdminScripts\0409
| 用户/组 |
允许的权限 |
备注 |
| 创建者所有者 |
特殊权限 |
等效于完全控制。 仅适用于子文件夹和文件。 继承自 \inetpub\AdminScripts。 |
| SYSTEM |
完全控制 |
继承自 \inetpub\AdminScripts。 |
| 管理员 |
完全控制 |
继承自 \inetpub\AdminScripts。 |
| 用户 |
读取 & 执行 列表文件夹内容 读取 |
继承自 \inetpub\AdminScripts。 |
| TrustedInstaller |
完全控制 |
继承自 \inetpub\AdminScripts。 |
\inetpub\custerr
| 用户/组 |
允许的权限 |
备注 |
| 创建者所有者 |
特殊权限 |
等效于完全控制。 仅适用于子文件夹和文件。 继承自 \inetpub。 |
| SYSTEM |
完全控制 特殊权限 |
完全控制继承自 \inetpub。 特殊权限等效于完全控制。 仅适用于此文件夹。 |
| 管理员 |
完全控制 特殊权限 |
完全控制继承自 \inetpub。 等效于完全控制。 仅适用于此文件夹。 |
| 用户 |
读取 & 执行 列表文件夹内容 读取 特殊权限 |
权限继承自 \inetpub,特殊权限除外。 特殊权限仅适用于此文件夹,包括以下内容:- 遍历文件夹/执行文件
- 列出文件夹/读取数据
- 读取属性
- 读取扩展属性
- 读取权限
|
| TrustedInstaller |
完全控制 |
继承自 \inetpub。 |
\inetpub\custerr\en-us
| 用户/组 |
允许的权限 |
备注 |
| 创建者所有者 |
特殊权限 |
等效于完全控制。 仅适用于子文件夹和文件。 继承自 \inetpub。 |
| SYSTEM |
完全控制 |
继承自 \inetpub。 |
| 管理员 |
完全控制 |
继承自 \inetpub。 |
| 用户 |
读取 & 执行 列表文件夹内容 读取 |
继承自 \inetpub。 |
| TrustedInstaller |
完全控制 |
继承自 \inetpub。 |
\inetpub\ftproot
| 用户/组 |
允许的权限 |
备注 |
| 创建者所有者 |
特殊权限 |
等效于完全控制。 仅适用于子文件夹和文件。 继承自 \inetpub。 |
| SYSTEM |
完全控制 |
继承自 \inetpub。 |
| 管理员 |
完全控制 |
继承自 \inetpub。 |
| 用户 |
读取 & 执行 列表文件夹内容 读取 |
继承自 \inetpub。 |
| TrustedInstaller |
完全控制 |
继承自 \inetpub。 |
\inetpub\history 和子文件夹
| 用户/组 |
允许的权限 |
备注 |
| SYSTEM |
完全控制 |
|
| 管理员 |
完全控制 |
|
\inetpub\logs
| 用户/组 |
允许的权限 |
备注 |
| 创建者所有者 |
特殊权限 |
等效于完全控制。 仅适用于子文件夹和文件。 继承自 \inetpub。 |
| SYSTEM |
完全控制 |
继承自 \inetpub。 |
| 管理员 |
完全控制 |
继承自 \inetpub。 |
| 用户 |
读取 & 执行 列表文件夹内容 读取 |
继承自 \inetpub。 |
| WMSvc |
列出文件夹内容 |
|
| TrustedInstaller |
完全控制 |
继承自 \inetpub。 |
\inetpub\logs\FailedReqLogFiles
| 用户/组 |
允许的权限 |
备注 |
| IIS_IUSRS |
特殊权限 |
特殊权限包括以下内容:- 列出文件夹/读取数据
- 创建文件/写入数据
- 创建文件夹/追加数据
- 写入属性
- 写入扩展属性
- 删除子文件夹和文件
- 删除
|
| SYSTEM |
完全控制 |
|
| 管理员 |
完全控制 |
|
\inetpub\logs\wmsvc
| 用户/组 |
允许的权限 |
备注 |
| 创建者所有者 |
特殊权限 |
等效于完全控制。 仅适用于子文件夹和文件。 继承自 \inetpub。 |
| SYSTEM |
完全控制 |
继承自 \inetpub。 |
| 管理员 |
完全控制 |
继承自 \inetpub。 |
| 用户 |
读取 & 执行 列表文件夹内容 读取 |
继承自 \inetpub。 |
| WMSvc |
修改 读取 & 执行 列表文件夹内容 读取 写入 |
列表文件夹内容权限继承自 \inetpub\logs。 |
| TrustedInstaller |
完全控制 |
继承自 \inetpub。 |
\inetpub\temp
| 用户/组 |
允许的权限 |
备注 |
| 创建者所有者 |
特殊权限 |
等效于完全控制。 仅适用于子文件夹和文件。 继承自 \inetpub。 |
| SYSTEM |
完全控制 |
继承自 \inetpub。 |
| 管理员 |
完全控制 |
继承自 \inetpub。 |
| 用户 |
读取 & 执行 列表文件夹内容 读取 |
继承自 \inetpub。 |
| TrustedInstaller |
完全控制 |
继承自 \inetpub。 |
\inetpub\temp\appPools
| 用户/组 |
允许的权限 |
备注 |
| 创建者所有者 |
特殊权限 |
等效于完全控制。 仅适用于子文件夹和文件。 |
| SYSTEM |
完全控制 |
|
| 管理员 |
完全控制 |
|
| IIS_IUSRS |
读取和执行 |
继承自 \inetpub。 |
\inetpub\temp\ASP Compiled Templates
| 用户/组 |
允许的权限 |
备注 |
| 默认情况下,不会向此文件夹分配任何权限。 |
|
|
\inetpub\temp\IIS Temporary Compressed Files
| 用户/组 |
允许的权限 |
备注 |
| SYSTEM |
完全控制 |
|
| 管理员 |
完全控制 |
|
| IIS_IUSRS |
完全控制 |
|
\inetpub\wwwroot
| 用户/组 |
允许的权限 |
备注 |
| 创建者所有者 |
特殊权限 |
等效于完全控制。 仅适用于子文件夹和文件。 继承自 \inetpub。 |
| SYSTEM |
完全控制 |
继承自 \inetpub。 |
| 管理员 |
完全控制 |
继承自 \inetpub。 |
| 用户 |
读取 & 执行 列表文件夹内容 读取 |
继承自 \inetpub。 |
| IIS_IUSRS |
读取和执行 |
|
| TrustedInstaller |
完全控制 |
继承自 \inetpub。 |
\inetpub\wwwroot\aspnet_client
| 用户/组 |
允许的权限 |
备注 |
| 所有人 |
读取 |
|
| SYSTEM |
完全控制 |
|
| 管理员 |
完全控制 |
|
| 用户 |
读取 & 执行 列表文件夹内容 读取 |
|
%windir%\system32\inetsrv
| 用户/组 |
允许的权限 |
备注 |
| 创建者所有者 |
特殊权限 |
等效于完全控制。 仅适用于子文件夹和文件。 |
| SYSTEM |
特殊权限 |
此文件夹的 SYSTEM 帐户允许的特殊权限仅包括以下内容:- 遍历文件夹/执行文件
- 列出文件夹/读取数据
- 读取属性
- 读取扩展属性
- 创建文件/写入数据
- 创建文件夹/追加数据
- 写入属性
- 写入扩展属性
- 删除
- 读取权限
仅对子文件夹和文件允许的 SYSTEM 特殊权限等效于完全控制。 |
| 管理员 |
特殊权限 |
仅对此文件夹的管理员组允许的特殊权限包括以下内容:- 遍历文件夹/执行文件
- 列出文件夹/读取数据
- 读取属性
- 读取扩展属性
- 创建文件/写入数据
- 创建文件夹/追加数据
- 写入属性
- 写入扩展属性
- 删除
- 读取权限
仅对子文件夹和文件允许的管理员组的特殊权限等效于完全控制。 |
| 用户 |
读取 & 执行 列表文件夹内容 读取 |
|
| TrustedInstaller |
特殊权限 |
权限等效于完全控制,并应用于此文件夹和子文件夹。 |
%windir%\System32\inetsrv\0409
| 用户/组 |
允许的权限 |
备注 |
| 创建者所有者 |
特殊权限 |
等效于完全控制。 仅适用于子文件夹和文件。 继承自 %windir%\System32\inetsrv。 |
| SYSTEM |
完全控制 |
继承自 %windir%\System32\inetsrv。 |
| 管理员 |
完全控制 |
继承自 %windir%\System32\inetsrv |
| 用户 |
读取 & 执行 列表文件夹内容 读取 |
继承自 %windir%\System32\inetsrv |
| TrustedInstaller |
特殊权限 |
等效于完全控制。 仅适用于子文件夹和文件。 继承自 %windir%\System32\inetsrv |
%windir%\System32\inetsrv\config
| 用户/组 |
允许的权限 |
备注 |
| 创建者所有者 |
特殊权限 |
等效于完全控制。 仅适用于子文件夹和文件。 |
| SYSTEM |
完全控制 |
|
| 管理员 |
完全控制 |
|
| 用户 |
读取 & 执行 列表文件夹内容 读取 |
|
| TrustedInstaller |
完全控制 |
|
| WMSvc |
读取 |
|
%windir%\System32\inetsrv\config\Export
| 用户/组 |
允许的权限 |
备注 |
| 创建者所有者 |
特殊权限 |
等效于完全控制。 仅适用于子文件夹和文件。 |
| SYSTEM |
完全控制 |
|
| 管理员 |
完全控制 |
|
| TrustedInstaller |
完全控制 |
|
%windir%\System32\inetsrv\config\schema
| 用户/组 |
允许的权限 |
备注 |
| 创建者所有者 |
特殊权限 |
等效于完全控制。 仅适用于子文件夹和文件。 |
| SYSTEM |
特殊权限 |
此文件夹的 SYSTEM 帐户允许的特殊权限仅包括以下内容:- 遍历文件夹/执行文件
- 列出文件夹/读取数据
- 读取属性
- 读取扩展属性
- 创建文件/写入数据
- 创建文件夹/追加数据
- 写入属性
- 写入扩展属性
- 删除
- 读取权限
仅对子文件夹和文件的 SYSTEM 允许的特殊权限等效于完全控制。 |
| 管理员 |
特殊权限 |
仅对此文件夹的管理员组允许的特殊权限包括以下内容:- 遍历文件夹/执行文件
- 列出文件夹/读取数据
- 读取属性
- 读取扩展属性
- 创建文件/写入数据
- 创建文件夹/追加数据
- 写入属性
- 写入扩展属性
- 删除
- 读取权限
仅对子文件夹和文件的管理员组允许的特殊权限等效于完全控制。 |
| 用户 |
读取 & 执行 列表文件夹内容 读取 |
|
| TrustedInstaller |
特殊权限 |
等效于完全控制。 适用于此文件夹和子文件夹。 |
%windir%\System32\inetsrv\en-us
| 用户/组 |
允许的权限 |
备注 |
| 创建者所有者 |
特殊权限 |
等效于完全控制。 仅适用于子文件夹和文件。 |
| SYSTEM |
特殊权限 |
此文件夹的 SYSTEM 帐户允许的特殊权限仅包括以下内容:- 遍历文件夹/执行文件
- 列出文件夹/读取数据
- 读取属性
- 读取扩展属性
- 创建文件/写入数据
- 创建文件夹/追加数据
- 写入属性
- 写入扩展属性
- 删除
- 读取权限
仅对子文件夹和文件的 SYSTEM 允许的特殊权限等效于完全控制。 |
| 管理员 |
特殊权限 |
仅对此文件夹的管理员组允许的特殊权限包括以下内容:- 遍历文件夹/执行文件
- 列出文件夹/读取数据
- 读取属性
- 读取扩展属性
- 创建文件/写入数据
- 创建文件夹/追加数据
- 写入属性
- 写入扩展属性
- 删除
- 读取权限
仅对子文件夹和文件的管理员组允许的特殊权限等效于完全控制。 |
| 用户 |
读取 & 执行 列表文件夹内容 读取 |
|
| TrustedInstaller |
列出文件夹内容 特殊权限 |
等效于完全控制。 适用于此文件夹和子文件夹。 |
%windir%\System32\inetsrv\History
| 用户/组 |
允许的权限 |
备注 |
| 管理员 |
完全控制 |
|
| SYSTEM |
完全控制 |
|
| 用户/组 |
允许的权限 |
备注 |
| 管理员 |
完全控制 |
|
| SYSTEM |
完全控制 |
|
默认注册表权限
本部分中的表列出了安装 IIS 7.0、IIS 7.5、IIS 8.0 或 IIS 8.5 时分配的默认注册表权限。 为用户列出读取权限时,将包含以下权限:
HKEY_LOCAL_MACHINE\Software\Microsoft\Inetmgr
| 用户/组 |
允许的权限 |
备注 |
| 创建者所有者 |
特殊权限 |
等效于完全控制。 仅适用于子项。 |
| SYSTEM |
完全控制 |
|
| 管理员 |
完全控制 |
|
| 用户 |
读取 |
|
HKEY_LOCAL_MACHINE\Software\Microsoft\InetStp
| 用户/组 |
允许的权限 |
备注 |
| 创建者所有者 |
特殊权限 |
等效于完全控制。 仅适用于子项。 |
| SYSTEM |
完全控制 |
|
| 管理员 |
完全控制 |
|
| 用户 |
读取 |
|
HKEY_LOCAL_MACHINE\Software\Microsoft\W3SVC
| 用户/组 |
允许的权限 |
备注 |
| 创建者所有者 |
特殊权限 |
等效于完全控制。 仅适用于子项。 |
| SYSTEM |
完全控制 |
|
| 管理员 |
完全控制 |
|
| 用户 |
读取 |
|
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ASP
| 用户/组 |
允许的权限 |
备注 |
| 创建者所有者 |
特殊权限 |
等效于完全控制。 仅适用于子项。 |
| SYSTEM |
完全控制 |
|
| 管理员 |
完全控制 |
|
| 用户 |
读取 |
|
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ASP.NET
| 用户/组 |
允许的权限 |
备注 |
| 创建者所有者 |
特殊权限 |
等效于完全控制。 仅适用于子项。 |
| SYSTEM |
完全控制 |
|
| 管理员 |
完全控制 |
|
| 用户 |
读取 |
|
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ASP.NET_2.0.50727
| 用户/组 |
允许的权限 |
备注 |
| 创建者所有者 |
特殊权限 |
等效于完全控制。 仅适用于子项。 |
| SYSTEM |
完全控制 |
|
| 管理员 |
完全控制 |
|
| 用户 |
读取 |
|
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\aspnet_state
| 用户/组 |
允许的权限 |
备注 |
| 创建者所有者 |
特殊权限 |
等效于完全控制。 仅适用于子项。 |
| SYSTEM |
完全控制 |
|
| 管理员 |
完全控制 |
|
| 用户 |
读取 |
|
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP
| 用户/组 |
允许的权限 |
备注 |
| 创建者所有者 |
特殊权限 |
等效于完全控制。 仅适用于子项。 |
| SYSTEM |
完全控制 |
|
| 管理员 |
完全控制 |
|
| 用户 |
读取 |
|
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\IISAdmin
| 用户/组 |
允许的权限 |
备注 |
| 创建者所有者 |
特殊权限 |
等效于完全控制。 仅适用于子项。 |
| SYSTEM |
完全控制 |
|
| 管理员 |
完全控制 |
|
| 用户 |
读取 |
|
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\W3SVC
| 用户/组 |
允许的权限 |
备注 |
| 创建者所有者 |
特殊权限 |
等效于完全控制。 仅适用于子项。 |
| SYSTEM |
完全控制 |
|
| 管理员 |
完全控制 |
|
| 用户 |
读取 |
|
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WAS
| 用户/组 |
允许的权限 |
备注 |
| 创建者所有者 |
特殊权限 |
等效于完全控制。 仅适用于子项。 |
| SYSTEM |
完全控制 |
|
| 管理员 |
完全控制 |
|
| 用户 |
读取 |
|
注意
WAS 密钥用于 Windows 进程激活服务。 这是必需的依赖项,与 IIS 一起安装。
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WMsvc
| 用户/组 |
允许的权限 |
备注 |
| 创建者所有者 |
特殊权限 |
等效于完全控制。 仅适用于子项。 |
| SYSTEM |
完全控制 |
|
| 管理员 |
完全控制 |
|
| 用户 |
读取 |
|
默认 Windows 用户权限分配
本部分中的表列出了默认的本地安全策略以及安装 IIS 7.0、IIS 7.5、IIS 8.0 或 IIS 8.5 时分配给该策略的用户、组或用户和组。
由本地安全策略分配的 Windows 用户权限
| 允许的权限 |
用户/组 |
| 从网络访问此计算机 |
每个人 管理员 用户 备份操作员 |
| 调整进程的内存配额 |
本地服务 网络服务 管理员 ApplicationPoolIdentity |
| 允许本地登录 |
管理员用户备份操作员 |
| 跳过遍历检查 |
每个人 本地服务 网络服务 管理员 用户 备份操作员 |
| 生成安全审核 |
ApplicationPoolIdentity |
| 身份验证后模拟客户端 |
本地服务网络服务管理员IIS_IUSRS服务 |
| 作为批处理作业登录 |
管理员 备份操作员 性能日志用户IIS_IUSRS |
| 作为服务登录 |
ApplicationPoolIdentity |
| 替换进程级别令牌 |
本地服务 网络服务 ApplicationPoolIdentity |