1.Relation de groupe d'utilisateurs Windows 2008 R2
J'utilise Windows 2008r2 iis7.5 depuis longtemps, mais je n'ai toujours pas compris la relation entre les groupes d'utilisateurs Windows.
Récemment organisé par recherche comme suit
Ouvrez le gestionnaire de groupes d'utilisateurs Windows (Gestion du serveur-> Configuration-> Utilisateurs et groupes locaux-> Groupes)
Focus sur les groupes suivants
Groupe | Les membres du groupe | Remarque |
Administrateurs | Administrateur | super administrateur |
Invités | Les comptes anonymes sont généralement désactivés | |
Utilisateurs expérimentés | Le groupe avec les autorisations les plus élevées, à l'exception de l'administrateur | |
IIS_IUSRS | Tous ses comptes virtuels appartiennent à ce groupe | |
utilisateurs | AUTORITÉ NT\INTERACTIVE(S-1-5-4) Autorité NT\Utilisateur authentifié |
Portez une attention particulière aux membres du groupe. Vous pouvez voir que pratiquement tous les utilisateurs (à l'exception des invités) appartiennent à des utilisateurs, les utilisateurs doivent donc être plus prudents lors de l'attribution des autorisations. |
2. Cliquez avec le bouton droit sur n'importe quel fichier->Sécurité->Modifier->Ajouter->Avancé->Rechercher maintenant
Plus de groupes d'utilisateurs peuvent être vus ici (ce sont des groupes intégrés)
* Tout le monde | Tout utilisateur appartient à ce groupe, y compris les membres du groupe Invités, donc si vous activez Invités, vous devez être particulièrement prudent lors de l'attribution de Tout le monde. | |
* Utilisateurs authentifiés | Tout utilisateur qui se connecte à cet ordinateur avec un compte d'utilisateur valide appartient à ce groupe. La différence avec Tout le monde est que les invités ne sont pas inclus. |
|
* interactif | Tout utilisateur connecté localement (bureau distant, terminal) appartient à ce groupe. | |
AUTORITÉ NT\INTERACTIF(S-1-5-4) | Cela devrait être similaire à interactif | |
Autorité NT\Utilisateur authentifié | Doit être similaire aux utilisateurs authentifiés | |
connexion anonyme | Il s'agit du groupe d'autorisations le plus bas lorsque l'utilisateur ouvre FTP, Network Neighbours, etc. et n'est pas connecté. | |
groupe de créateurs | Groupe de créateurs | |
Propriétaire du créateur | Créateur (hors groupe) | |
* IUSR | L'authentification d'identité anonyme d'IIS 7 s'effectue via cet utilisateur. La différence entre IIS_IUSRS et IIS_IUSRS est que vous pouvez ajouter des utilisateurs réels ci-dessous (IIS_IUSRS est le compte virtuel ci-dessous), (non recommandé, il est plus pratique d'utiliser des utilisateurs virtuels IIS_IUSRS directement) 1. Ouvrez IIS Manager, double-cliquez sur le site que vous souhaitez configurer. 2. Dans la vue fonctionnelle, double-cliquez sur Authentification. 3. Sélectionnez Authentification anonyme et cliquez sur Modifier. 4. Cliquez sur l'utilisateur spécifique et définissez-le. 5. Saisissez le nom d'utilisateur et le mot de passe de l'utilisateur et confirmez. http://blog.chinaunix.net/uid-20344928-id-3306130.html |
|
service local | service local | |
réseau | Tout utilisateur qui se connecte à cet ordinateur via le réseau appartient à ce groupe | |
service réseau | service Internet | |
droits du propriétaire | propriétaire | |
connexion interactive à distance | Connexion interactive à distance (bureau à distance, console) | |
* système | Ce groupe dispose d'autorisations identiques, voire supérieures, à celles des administrateurs |
Une attention particulière doit être portée au groupe avec "*"
2.utilisateur virtuel Windows
À l'ère de Windows 2003, si vous devez définir des autorisations distinctes pour les sites Web, vous devez créer des utilisateurs distincts pour chaque site Web.
Windows 2008 iis7.5 ajoute un nouveau compte virtuel, ce qui élimine le besoin de créer des utilisateurs distincts pour chaque site Web.
1. Activer le compte virtuel
Dans Site Web-> Paramètres de base-> Se connecter en tant que-> Utilisateur de l'application
À ce moment, le compte virtuel est activé.
Vérifiez le gestionnaire de processus :
Vous pouvez voir que l'utilisateur derrière php-cgi.exe w3wp.exe est "nom du pool d'applications"
C'est l'utilisateur virtuel
Vous pouvez utiliser Baidu « applicationpoolidentity » ou un compte virtuel iis7.5 pour interroger les connaissances associées.
3. Définissez les autorisations du site Web (en supposant que le serveur est principalement utilisé pour accéder au site Web et que le programme serveur est iis+php)
Selon la relation de groupe d'utilisateurs, lorsque le site Web fonctionne avec un compte virtuel, le groupe auquel appartient iis php est IIS_IUSRS.
Le lecteur 1.C a par défaut une autorisation en lecture seule pour « utilisateur » (en supposant que le répertoire du site Web ne se trouve pas sur le lecteur C)
2. Pour les lettres de lecteur autres que le lecteur c, supprimez les autorisations des utilisateurs autres que les administrateurs système et les utilisateurs (conservez celles d'origine, qui peuvent théoriquement être supprimées. Tout au plus, accordez aux utilisateurs des autorisations en lecture seule et ne leur accordez pas de lecture-écriture. autorisations).
3. Définissez des lettres de lecteur autres que le lecteur c pour refuser l'accès à toutes les autorisations du groupe IIS_IUSRS (refuser les autorisations d'accès > autoriser les autorisations)
4. Portez une attention particulière au répertoire php, au répertoire de téléchargement php et au répertoire de session php qui nécessitent des autorisations de lecture et d'écriture (si vous n'avez pas modifié et que php est sur le lecteur c, ces répertoires ont des autorisations de lecture et d'écriture dans le répertoire temporaire par défaut de Windows)
5. Définissez php.ini open_basedir pour restreindre les répertoires de lecture et d'écriture PHP au répertoire du site Web (plusieurs répertoires peuvent être définis)
6. Configurez le répertoire du site Web et accordez au compte « IIS AppPool\Application Pool Name » des autorisations de lecture, et accordez des autorisations de lecture et d'écriture à certains répertoires en fonction du programme du site Web.
Le compte « IIS AppPool\Application Pool Name » est introuvable et doit être saisi manuellement.
7.php Les autres paramètres de sécurité font référence à la décision en ligne et ne peuvent pas avoir l'autorisation d'exécution pour s'exécuter.
4.Exemple
Hypothèse : PHP est installé sur le lecteur c, répertoire Session, et le répertoire de téléchargement n'a pas été modifié.
Le site Web est à l'adresse : "d:\www"
Site Web 1 d:\www\www.a.com Nom du pool d'applications www.a.com
Site Web 2 d :\www\www.b.com Nom du pool d'applications www.b.com
1. d:disk IIS_IUSRS n'a pas d'autorisations de lecture et d'écriture
2. php.ini open_basedir= d:\www\
3.d:\www\www.a.com Autoriser le compte "IIS AppPool\www.a.com" à lire les autorisations
4.d:\www\www.b.com Autoriser le compte "IIS AppPool\www.b.com" à lire les autorisations
(1) Le php iis de www.a.com fonctionne avec l'autorisation "IIS AppPool\www.a.com" et ne peut lire que les données de d:\www\www.a.com.
(2) De plus, le compte « IIS AppPool\www.a.com » appartient aux utilisateurs authentifiés « utilisateurs » et dispose d'autorisations de lecture pour certains répertoires sur le lecteur c de l'utilisateur.
Parce qu'iis a besoin de lire le fichier de configuration du lecteur C et pour d'autres raisons (telles que l'exécution de PHP), "IIS AppPool\www.a.com" doit avoir l'autorisation de lecture (le lecteur C ne doit pas être modifié par défaut, si vous interdisez vraiment lors de la lecture, cela provoquera une erreur).
(3) Mais nous avons également limité le répertoire de lecture et d'écriture de fichiers en PHP à .d:\www\, de sorte que le programme PHP de www.a.com ne peut lire que les données du répertoire de d:\www\www.a.com.
Impossible d'accéder à d:\www\www.b.com et à d'autres répertoires non-site Web (pour empêcher le cross-site)
Description de l'autorisation de base :
Les paramètres de php.ini restreignent l'accès à d:\www\
Accès IIS_IUSRS refusé "d:\"
"IIS AppPool\www.a.com" permet d'accéder à d:\www\www.a.com
De cette façon, le site Web ne peut accéder qu'au répertoire actuel du site Web. Le paramétrage est relativement simple.
4. Instructions de référence
https://www.cnblogs.com/yjmyzz/archive/2009/10/26/1590033.html iis compte virtuel
https://blog.csdn.net/kexiuyi/article/details/51704688 groupe d'utilisateurs Windows2008
Autres recherches Baidu et expériences personnelles