一、安全设置
经测试,
ASP.NET默认是以IIS_WPG用户运行的,
但读取文件的时候是以IUSER_Q计算机名 用户读取的,
所以ASP.NET的运行权限是:
IIS_WPG:读取和运行+列出文件夹目录+读取
IUSER_Q计算机名:读取
这样就OK了!
二、限设置以Windows Server 2003为例,虚拟主机用户不必进行此项设置。首先,我们需要用到以下的组:
IIS_WPG 组(也称为 IIS 工作进程组,IIS Worker Process Group)
Guests组 (来宾组,在系统中拥有最少的权限)
以及以下的帐号:
Internet 来宾帐户 (匿名访问 Internet 信息服务的内置帐户)
启动 IIS 进程帐户 (用于启动进程外应用程序的 Internet 信息服务的内置帐户)
首先我们新建两个帐号,打开控制面版中的管理工具然后找到计算机管理。双击打开后看到下图:
双击用户后展开用户的列表,在用户列表内点鼠标右键选择新用户。如下图:
点击新用户后出现下图:
在用户名等位置输入您要使用的用户名,全名以及描述是做说明用的可以不填写。这里建议您的用户名用"_iusr"和"_iwam"来做后缀以区别开IIS来宾帐号,和IIS的进程启动帐号。一般来说iusr为IIS来宾,iwam为IIS进程启动帐号。当然您也可以按照您的习惯来做后缀区分两个帐号已方便以后使用。
帐号的密码我建议您使用一个12位以上的数字字母和符号混合密码,或者是一个MD5两次后的密码。这样可以有效的防止密码被人暴力破解。
帐号建立完成我们来更改一下帐号的所属组,首先更改discuz_iusr的组为Guests.如下图所示。
接着更改discuz_iwam的组为IIS_WPG.如下图所示。
这样我们就有了访问网站的时用户连接服务器的帐号discuz_iusr,和服务器用来启动程序池运行.net程序的帐号discuz_iwam。
下面更改IIS的配置:
在控制面板→管理工具→Internet 信息服务(IIS)管理器,打您的站点属性找到目录安全性选项卡,点身份验证和访问控制的编辑出现下图。
用户名中输入我们刚刚新天加的来宾组的帐号discuz_iusr。
然后在应用程序池中新建一个应用程序池,命名为论坛虚拟目录的名称或者discuz。再在新建立的应用程序池上鼠标右键点
属性,找到标识选项卡。选择配置后在帐号中输入刚刚设置的IIS进程启动帐号discuz_iwam。IIS站点要使用此程序池来运行。
做这些设置后我们还要更改windows下的temp文件夹的权限。给temp文件夹加上一个iis_wpg的帐号,并给于图示权限。
请在执行应用操作前,选择替换子目录。如下图所示
然后我们要给网站的目录添加discuz_iusr和discuz_iwam这两个帐号,并先给于只读权限应用于子目录。
Kyle