Freigabe- und NTFS-Berechtigungen
von Walter Oliver
Einführung
Die Berechtigungen des Dateiservers müssen sorgfältig implementiert werden, um einen angemessenen Zugriff auf die Inhalte zu ermöglichen. Dazu müssen die Berechtigungen für die Freigabe und die physischen Ordner gesperrt werden.
Berechtigungen
In der folgenden Tabelle sind Berechtigungen aufgeführt, die für die Dateiserverfreigabe und -ordner im Im Abschnitt "Planung der Webhostingarchitektur" der Hostinganleitung erwähnt wurden. Je nach der verwendeten Shared-Hosting-Umgebung sollten die Serveradministratoren ihre eigenen benutzerdefinierten Berechtigungen entwickeln, die ihren Anforderungen entsprechen.
| Pfad | Berechtigungen | `Reason` |
|---|---|---|
| \server\share$ (share) | Domänenadministratoren - Volle Kontrolle Domänenbenutzer - MachineAccounts$ ändern - Volle Kontrolle | Die Freigabeberechtigungen müssen den Administratoren und Website-Konten den Zugriff auf den Inhalt ermöglichen. Der physische Pfad wird auf die tatsächlich benötigten Berechtigungen beschränkt. |
| E:\Content (physischer Pfad der Aktie) | Administratoren - Volle Kontrolle System - Volle Kontrolle | Dies ist der Ordner, der gemeinsam genutzt wird. Es benötigt keine Berechtigungen für andere Konten als die integrierte Administratorengruppe und das Systemkonto. |
| E:\Content\ <sitename > (der Container für einen bestimmten Standort oder Benutzer) | Administratoren - Volle Kontrolle System - Volle Kontrolle Site-Eigentümer - Ordnerinhalt auflisten | Dieser Ordner wird als Container für Ordner wie das Home-Verzeichnis der Website und ihre Protokolldateien verwendet. Der Eigentümer der Website sollte diesen Ordner lesen können, benötigt aber keinen Schreibzugriff. |
| E:\Content\ <sitename> \wwwroot (das IIS-Stammverzeichnis für die Site) | Administratoren - Volle Kontrolle System - Volle Kontrolle Site-Eigentümer - Ändern App Pool Benutzername - Lesen | Dies ist das Stammverzeichnis einer Website, die zu diesem Benutzerkonto gehört. App Pool Username wird sowohl als Anwendungspool-Identität als auch als anonymer Benutzername für die Website verwendet. |
| E:\Content\ <sitename >\Logs (der Container für Protokolle) | Administratoren - Volle Kontrolle System - Volle Kontrolle Website-Eigentümer - Lesen | Beachten Sie, dass dieser Ordner für die Protokolle ÜBER dem Stammverzeichnis der Website gespeichert wird, so dass er für einen Besucher der Website nicht zugänglich ist. Aus Sicherheitsgründen ist es nicht empfehlenswert, diesen Ordner an einem Ort abzulegen, der über einen Webbrowser zugänglich ist. |
| E:\Content\ <sitename> \Logs\FailedReqLogs (der Container für Protokolle zur Verfolgung fehlgeschlagener Anfragen) | Administratoren - Vollzugriff system - Vollzugriff App Pool Benutzername - Vollzugriff | In diesem Ordner werden die Protokolldateien für fehlgeschlagene Anfragen gespeichert, anhand derer der Betreiber einer Website Probleme mit seiner Website diagnostizieren kann. Diese Protokolle werden von der Identität des Arbeitsprozesses, App Pool Username, geschrieben. |
| E:\Content\ <sitename> \Logs\W3SVCLogFiles (der Container für W3SVC-Verkehrsprotokolle) | Administratoren - Volle Kontrolle System - Volle Kontrolle MachineAccount$ - Volle Kontrolle | In diesem Ordner werden die Protokolldateien für die Website gespeichert, die es dem Eigentümer der Website ermöglichen, ihre Verkehrsmuster zu erkennen. Wenn der Serveradministrator diese Dateien nicht freigeben möchte oder eine alternative Methode zur Ermittlung des Datenverkehrs bereitstellen will, können diese Dateien an anderer Stelle gespeichert werden. MachineAccount$ ist das Maschinenkonto des Webservers, da diese Protokolle von HTTP.SYS geschrieben werden. |
Konfigurieren von Berechtigungen
So konfigurieren Sie die Berechtigungen für die Freigabe
Klicken Sie im Windows Explorer mit der rechten Maustaste auf den Ordner, den Sie freigeben möchten, und klicken Sie dann auf Eigenschaften .
Klicken Sie auf der Registerkarte Freigabe auf Erweiterte Freigabe .
Klicken Sie in der Benutzerkontensteuerung auf Weiter um die Aufforderung zu akzeptieren, dass Windows Ihre Erlaubnis benötigt, um die Aktion durchzuführen.
Aktivieren Sie im Dialogfeld Erweiterte Freigabe die Option Diesen Ordner freigeben.
Legen Sie den Freigabenamen und kommentare entsprechend fest. Legen Sie den Freigabenamen und die Kommentare entsprechend fest.
Hinweis
Eine Freigabe zu verstecken bedeutet, dass Sie die Freigabe nicht sehen, wenn Sie sich mit [\server]
(file://server/)verbinden, es sei denn, Sie geben ausdrücklich den Pfad [\server\share$] ein(file://server/share$).Klicken Sie auf Berechtigungen.
Entfernen Sie im Dialogfeld "Berechtigungen " die Gruppe "Jeder", sofern vorhanden.
Fügen Sie die entsprechenden Benutzer oder Gruppen hinzu, die Zugriff auf die Freigabe haben sollen.
Geben Sie die Berechtigungen (Vollzugriff, Ändern, Lesen) für den Benutzer oder die Gruppe an.
Klicken Sie zweimal auf OK und dann auf Schließen, um die Dialogfelder zu schließen.
So konfigurieren Sie die Berechtigungen für die Ordnerstruktur
- Klicken Sie im Windows Explorer mit der rechten Maustaste auf den Ordner, den Sie freigeben möchten, und klicken Sie dann auf Eigenschaften .
- Klicken Sie auf der Registerkarte Sicherheit auf Bearbeiten.
- Fügen Sie im Dialogfeld "Berechtigungen" die entsprechenden Benutzer oder Gruppen hinzu, die auf jeder Ebene der Ordnerstruktur Zugriff haben sollen.
- Geben Sie die Berechtigungen (Vollzugriff, Ändern, Lesen und Ausführen, Auflisten des Ordnerinhalts, Lesen, Schreiben, Sonderberechtigungen) für die Benutzer oder Gruppen an.
- Klicken Sie zweimal auf OK , um die Dialogfelder zu schließen.
Unter C#- und PowerShell-Skriptbeispiele finden Sie ein Beispielskript zum Konfigurieren von Standarddokumenten. als Beispiel für die Erstellung einer Freigabe und die Festlegung von Berechtigungen.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für