IIS 7.0 及更高版本的默认权限和用户权限

本文介绍了在某些文件夹和文件上设置的默认权限和用户权限。 这些文件夹和文件随 Microsoft Internet Information Services (IIS)7.0 及更高版本一起安装。

原始产品版本:  Internet Information Services 8。0
原始 KB 数:  981949

IIS 6.0 和 IIS 7.0/7.5/8.0/8.5 之间的权限更改

在 IIS 6.0 中, IUSR_MachineName 安装 iis 时,将创建一个本地帐户()。 IUSR_MachineName如果启用了匿名身份验证,则该帐户是 IIS 使用的默认标识。 文件传输协议(FTP)服务和超文本传输协议(HTTP)服务使用匿名身份验证。 IIS 6.0 还包含一个名为的组 IIS_WPGIIS_WPG该组用作所有应用程序池标识的容器。

在 IIS 7.0 及更高版本中,内置帐户(IUSR)将替换该 IUSR_MachineName 帐户。 此外,名为的组将 IIS_IUSRS 替换 IIS_WPG 该组。 由于 IUSR 帐户是内置帐户,因此 IUSR 帐户不再需要密码。 IUSR 帐户类似于网络或本地服务帐户。 IUSR_MachineName仅当安装了 Windows server 2008 DVD 中所包含的 FTP 6 服务器时,才会创建并使用该帐户。 如果未安装 FTP 6 服务器,则不会创建帐户。

从 IIS 7.5 开始,添加了一个称为 "应用程序池标识" 的新安全功能。 此功能使您可以在唯一帐户下运行应用程序池,而无需创建和管理域或本地帐户。 应用程序池帐户的名称对应于应用程序池的名称。

有关 IIS 7.0 帐户和组的详细信息,请参阅了解 iis 7 中的内置用户和组帐户

有关应用程序池标识的详细信息,请访问应用程序池标识

默认 NTFS 文件系统权限

本节中的表列出了分配给特定文件夹和文件的默认新技术文件系统(NTFS)权限。 这些文件夹和文件随 IIS 7.0、IIS 7.5、IIS 8.0 和 IIS 8.5 一起安装。

\inetpub

用户/组 允许的权限 Comments
创建者所有者 特殊权限 等效于完全控制。
仅适用于子文件夹和文件。
系统 完全控制
管理员 完全控制
用户 读取 & 执行
列出文件夹内容
读取
TrustedInstaller 完全控制

\inetpub\AdminScripts

用户/组 允许的权限 Comments
创建者所有者 特殊权限 等效于完全控制。
仅适用于子文件夹和文件。
系统 完全控制
管理员 完全控制
用户 读取 & 执行
列出文件夹内容
读取
TrustedInstaller 完全控制

\inetpub\AdminScripts\0409

用户/组 允许的权限 Comments
创建者所有者 特殊权限 等效于完全控制。
仅适用于子文件夹和文件。
继承自 \inetpub\AdminScripts
系统 完全控制 继承自 \inetpub\AdminScripts
管理员 完全控制 继承自 \inetpub\AdminScripts
用户 读取 & 执行
列出文件夹内容
读取
继承自 \inetpub\AdminScripts
TrustedInstaller 完全控制 继承自 \inetpub\AdminScripts

\inetpub\custerr

用户/组 允许的权限 Comments
创建者所有者 特殊权限 等效于完全控制。
仅适用于子文件夹和文件。
继承自 \inetpub
系统 完全控制
特殊权限
从继承的完全控制 \inetpub
特殊权限等效于完全控制。
仅适用于此文件夹。
管理员 完全控制
特殊权限
从继承的完全控制 \inetpub
等效于完全控制。
仅适用于此文件夹。
用户 读取 & 执行
列出文件夹内容
读取
特殊权限
\inetpub除了特殊权限之外,从继承权限。

特殊权限仅适用于此文件夹,包括以下内容:
  • 遍历文件夹/执行文件
  • 列出文件夹/读取数据
  • 读取属性
  • 读取扩展属性
  • 读取权限
TrustedInstaller 完全控制 继承自 \inetpub

\inetpub\custerr\en-us

用户/组 允许的权限 Comments
创建者所有者 特殊权限 等效于完全控制。
仅适用于子文件夹和文件。
继承自 \inetpub
系统 完全控制 继承自 \inetpub
管理员 完全控制 继承自 \inetpub
用户 读取 & 执行
列出文件夹内容
读取
继承自 \inetpub
TrustedInstaller 完全控制 继承自 \inetpub

\inetpub\ftproot

用户/组 允许的权限 Comments
创建者所有者 特殊权限 等效于完全控制。
仅适用于子文件夹和文件。
继承自 \inetpub
系统 完全控制 继承自 \inetpub
管理员 完全控制 继承自 \inetpub
用户 读取 & 执行
列出文件夹内容
读取
继承自 \inetpub
TrustedInstaller 完全控制 继承自 \inetpub

\inetpub\history 和子文件夹

用户/组 允许的权限 Comments
系统 完全控制
管理员 完全控制

\inetpub\logs

用户/组 允许的权限 Comments
创建者所有者 特殊权限 等效于完全控制。
仅适用于子文件夹和文件。
继承自 \inetpub
系统 完全控制 继承自 \inetpub
管理员 完全控制 继承自 \inetpub
用户 读取 & 执行
列出文件夹内容
读取
继承自 \inetpub
WMSvc 列出文件夹内容
TrustedInstaller 完全控制 继承自 \inetpub

\inetpub\logs\FailedReqLogFiles

用户/组 允许的权限 Comments
IIS_USRS 特殊权限 特殊权限包括以下各项:
  • 列出文件夹/读取数据
  • 创建文件/写入数据
  • 创建文件夹/附加数据
  • 写入属性
  • 写入扩展属性
  • 删除子文件夹和文件
  • 删除
系统 完全控制
管理员 完全控制

\inetpub\logs\wmsvc

用户/组 允许的权限 Comments
创建者所有者 特殊权限 等效于完全控制。
仅适用于子文件夹和文件。
继承自 \inetpub
系统 完全控制 继承自 \inetpub
管理员 完全控制 继承自 \inetpub
用户 读取 & 执行
列出文件夹内容
读取
继承自 \inetpub
WMSvc 修改
读取 & 执行
列出文件夹内容
读取
写入
"列出文件夹内容" 权限继承自 \inetpub\logs
TrustedInstaller 完全控制 继承自 \inetpub

\inetpub\temp

用户/组 允许的权限 Comments
创建者所有者 特殊权限 等效于完全控制。
仅适用于子文件夹和文件。
继承自 \inetpub
系统 完全控制 继承自 \inetpub
管理员 完全控制 继承自 \inetpub
用户 读取 & 执行
列出文件夹内容
读取
继承自 \inetpub
TrustedInstaller 完全控制 继承自 \inetpub

\inetpub\temp\appPools

用户/组 允许的权限 Comments
创建者所有者 特殊权限 等效于完全控制。
仅适用于子文件夹和文件。
系统 完全控制
管理员 完全控制
IIS_USRS 读取 & 执行 继承自 \inetpub

\inetpub\temp\ASP 编译的模板

用户/组 允许的权限 Comments
默认情况下,不会向此文件夹分配任何权限。

\inetpub\temp\IIS 临时压缩文件

用户/组 允许的权限 Comments
系统 完全控制
管理员 完全控制
IIS_USRS 完全控制

\inetpub\wwwroot

用户/组 允许的权限 Comments
创建者所有者 特殊权限 等效于完全控制。
仅适用于子文件夹和文件。
继承自 \inetpub
系统 完全控制 继承自 \inetpub
管理员 完全控制 继承自 \inetpub
用户 读取 & 执行
列出文件夹内容
读取
继承自 \inetpub
IIS_USRS 读取 & 执行
TrustedInstaller 完全控制 继承自 \inetpub

\inetpub\wwwroot\ aspnet_client

用户/组 允许的权限 Comments
每个人 阅读
系统 完全控制
管理员 完全控制
用户 读取 & 执行
列出文件夹内容
读取

%windir%\system32\inetsrv

用户/组 允许的权限 Comments
创建者所有者 特殊权限 等效于完全控制。
仅适用于子文件夹和文件。
系统 特殊权限 仅对此文件夹的系统帐户允许的特殊权限包括以下各项:
  • 遍历文件夹/执行文件
  • 列出文件夹/读取数据
  • 读取属性
  • 读取扩展属性
  • 创建文件/写入数据
  • 创建文件夹/附加数据
  • 写入属性
  • 写入扩展属性
  • 删除
  • 读取权限

对 "系统" 子文件夹和文件允许的特殊权限与 "完全控制" 完全相同。
管理员 特殊权限 仅对此文件夹的 Administrators 组允许的特殊权限包括以下各项:
  • 遍历文件夹/执行文件
  • 列出文件夹/读取数据
  • 读取属性
  • 读取扩展属性
  • 创建文件/写入数据
  • 创建文件夹/附加数据
  • 写入属性
  • 写入扩展属性
  • 删除
  • 读取权限

仅对子文件夹和文件的 Administrators 组允许的特殊权限等效于完全控制。
用户 读取 & 执行
列出文件夹内容
读取
TrustedInstaller 特殊权限 权限等效于完全控制,并应用于此文件夹和子文件夹。

%windir%\System32\inetsrv\0409

用户/组 允许的权限 Comments
创建者所有者 特殊权限 等效于完全控制。
仅适用于子文件夹和文件。
继承自 %windir%\System32\inetsrv
系统 完全控制 继承自 %windir%\System32\inetsrv
管理员 完全控制 继承自%windir%\System32\inetsrv
用户 读取 & 执行
列出文件夹内容
读取
继承自%windir%\System32\inetsrv
TrustedInstaller 特殊权限 等效于完全控制。
仅适用于子文件夹和文件。
继承自%windir%\System32\inetsrv

%windir%\System32\inetsrv\config

用户/组 允许的权限 Comments
创建者所有者 特殊权限 等效于完全控制。
仅适用于子文件夹和文件。
系统 完全控制
管理员 完全控制
用户 读取 & 执行
列出文件夹内容
读取
TrustedInstaller 完全控制
WMSvc 阅读

%windir%\System32\inetsrv\config\Export

用户/组 允许的权限 Comments
创建者所有者 特殊权限 等效于完全控制。
仅适用于子文件夹和文件。
系统 完全控制
管理员 完全控制
TrustedInstaller 完全控制

%windir%\System32\inetsrv\config\schema

用户/组 允许的权限 Comments
创建者所有者 特殊权限 等效于完全控制。
仅适用于子文件夹和文件。
系统 特殊权限 仅对此文件夹的系统帐户允许的特殊权限包括以下各项:
  • 遍历文件夹/执行文件
  • 列出文件夹/读取数据
  • 读取属性
  • 读取扩展属性
  • 创建文件/写入数据
  • 创建文件夹/附加数据
  • 写入属性
  • 写入扩展属性
  • 删除
  • 读取权限

对 "系统" 子文件夹和文件允许的特殊权限与 "完全控制" 完全相同。
管理员 特殊权限 仅对此文件夹的 Administrators 组允许的特殊权限包括以下各项:
  • 遍历文件夹/执行文件
  • 列出文件夹/读取数据
  • 读取属性
  • 读取扩展属性
  • 创建文件/写入数据
  • 创建文件夹/附加数据
  • 写入属性
  • 写入扩展属性
  • 删除
  • 读取权限

仅对子文件夹和文件的 Administrators 组允许的特殊权限等效于完全控制。
用户 读取 & 执行
列出文件夹内容
读取
TrustedInstaller 特殊权限 等效于完全控制。
适用于此文件夹和子文件夹。

%windir%\System32\inetsrv\en-us

用户/组 允许的权限 Comments
创建者所有者 特殊权限 等效于完全控制。
仅适用于子文件夹和文件。
系统 特殊权限 仅对此文件夹的系统帐户允许的特殊权限包括以下各项:
  • 遍历文件夹/执行文件
  • 列出文件夹/读取数据
  • 读取属性
  • 读取扩展属性
  • 创建文件/写入数据
  • 创建文件夹/附加数据
  • 写入属性
  • 写入扩展属性
  • 删除
  • 读取权限

对 "系统" 子文件夹和文件允许的特殊权限与 "完全控制" 完全相同。
管理员 特殊权限 仅对此文件夹的 Administrators 组允许的特殊权限包括以下各项:
  • 遍历文件夹/执行文件
  • 列出文件夹/读取数据
  • 读取属性
  • 读取扩展属性
  • 创建文件/写入数据
  • 创建文件夹/附加数据
  • 写入属性
  • 写入扩展属性
  • 删除
  • 读取权限

仅对子文件夹和文件的 Administrators 组允许的特殊权限等效于完全控制。
用户 读取 & 执行
列出文件夹内容
读取
TrustedInstaller 列出文件夹内容
特殊权限
等效于完全控制。
适用于此文件夹和子文件夹。

%windir%\System32\inetsrv\History

用户/组 允许的权限 Comments
管理员 完全控制
系统 完全控制

%windir%\System32\inetsrv\MetaBack

用户/组 允许的权限 Comments
管理员 完全控制
系统 完全控制

默认注册表权限

本节中的表列出了在安装 IIS 7.0、IIS 7.5、IIS 8.0 或 IIS 8.5 时分配的默认注册表权限。 为用户列出读取权限时,将包含以下权限:

  • 查询值
  • 枚举子项
  • 通知
  • 读取控制

HKEY_LOCAL_MACHINE \Software\Microsoft\Inetmgr

用户/组 允许的权限 Comments
创建者所有者 特殊权限 等效于完全控制。
仅适用于子项。
系统 完全控制
管理员 完全控制
用户 阅读

HKEY_LOCAL_MACHINE \Software\Microsoft\InetStp

用户/组 允许的权限 Comments
创建者所有者 特殊权限 等效于完全控制。
仅适用于子项。
系统 完全控制
管理员 完全控制
用户 阅读

HKEY_LOCAL_MACHINE \Software\Microsoft\W3SVC

用户/组 允许的权限 Comments
创建者所有者 特殊权限 等效于完全控制。
仅适用于子项。
系统 完全控制
管理员 完全控制
用户 阅读

HKEY_LOCAL_MACHINE \System\CurrentControlSet\Services\ASP

用户/组 允许的权限 Comments
创建者所有者 特殊权限 等效于完全控制。
仅适用于子项。
系统 完全控制
管理员 完全控制
用户 阅读

HKEY_LOCAL_MACHINE \System\CurrentControlSet\Services\ASP.NET

用户/组 允许的权限 Comments
创建者所有者 特殊权限 等效于完全控制。
仅适用于子项。
系统 完全控制
管理员 完全控制
用户 阅读

HKEY_LOCAL_MACHINE \System\CurrentControlSet\Services\ASP. NET_2 0.50727

用户/组 允许的权限 Comments
创建者所有者 特殊权限 等效于完全控制。
仅适用于子项。
系统 完全控制
管理员 完全控制
用户 阅读

HKEY_LOCAL_MACHINE \System\CurrentControlSet\Services\ aspnet_state

用户/组 允许的权限 Comments
创建者所有者 特殊权限 等效于完全控制。
仅适用于子项。
系统 完全控制
管理员 完全控制
用户 阅读

HKEY_LOCAL_MACHINE \System\CurrentControlSet\Services\HTTP

用户/组 允许的权限 Comments
创建者所有者 特殊权限 等效于完全控制。
仅适用于子项。
系统 完全控制
管理员 完全控制
用户 阅读

HKEY_LOCAL_MACHINE \System\CurrentControlSet\Services\IISAdmin

用户/组 允许的权限 Comments
创建者所有者 特殊权限 等效于完全控制。
仅适用于子项。
系统 完全控制
管理员 完全控制
用户 阅读

HKEY_LOCAL_MACHINE \System\CurrentControlSet\Services\W3SVC

用户/组 允许的权限 Comments
创建者所有者 特殊权限 等效于完全控制。
仅适用于子项。
系统 完全控制
管理员 完全控制
用户 阅读

HKEY_LOCAL_MACHINE \System\CurrentControlSet\Services\WAS

用户/组 允许的权限 Comments
创建者所有者 特殊权限 等效于完全控制。
仅适用于子项。
系统 完全控制
管理员 完全控制
用户 阅读

备注

WAS 键是用于 Windows Process Activation Service 的。 这是必需的依赖项,并随 IIS 一起安装。

HKEY_LOCAL_MACHINE \System\CurrentControlSet\Services\WMsvc

用户/组 允许的权限 Comments
创建者所有者 特殊权限 等效于完全控制。
仅适用于子项。
系统 完全控制
管理员 完全控制
用户 阅读

默认的 Windows 用户权限分配

此部分中的表列出了安装了 IIS 7.0、IIS 7.5、IIS 8.0 或 IIS 8.5 时分配给该策略的默认本地安全策略和用户、组或用户和组。

由本地安全策略分配的 Windows 用户权限

允许的权限 用户/组
从网络访问此计算机 每个人
管理员
用户
Backup operators
调整进程的内存配额 LOCAL SERVICE
网络服务
管理员
ApplicationPoolIdentity
允许在本地登录 管理员
用户
Backup operators
绕过遍历检查 每个人
LOCAL SERVICE
网络服务
管理员
用户
Backup operators
生成安全审核详细信息 ApplicationPoolIdentity
身份验证后模拟客户端 LOCAL SERVICE
网络服务
管理员
IIS_IUSRS
服务台
作为批处理作业登录 管理员
Backup operators
性能日志用户
IIS_IUSRS
作为服务登录 ApplicationPoolIdentity
替换进程级别令牌 LOCAL SERVICE
网络服务
ApplicationPoolIdentity