Freigeben über

Festlegen von Berechtigungen für virtuelle Verzeichnisse

  • Artikel

Aus Sicherheitsgründen lädt background Intelligent Transfer Service (BITS) keine Dateien in ein virtuelles Verzeichnis hoch, in dem Skript- und Ausführungsberechtigungen aktiviert sind. Wenn Sie eine Datei in ein virtuelles Verzeichnis hochladen, in dem diese Berechtigungen aktiviert sind, schlägt der Auftrag mit dem Fehlercode BG_E_SERVER_EXECUTE_ENABLED fehl.

BITS erfordert nicht, dass das virtuelle Verzeichnis schreibfähig ist. Daher wird empfohlen, den Schreibzugriff auf das virtuelle Verzeichnis zu deaktivieren.

Der authentifizierte Benutzer (oder der anonyme Benutzer von IIS für die anonyme Authentifizierung) muss über Die Berechtigung Ändern für das physische Verzeichnis verfügen, dem das virtuelle Verzeichnis zugeordnet ist. Das Erteilen von Schreibberechtigungen reicht nicht aus.

Angeben von Berechtigungen für Benachrichtigungen

Das Authentifizierungsschema, das Sie für das virtuelle Verzeichnis und die Benachrichtigungs-URL angeben (siehe BITSServerNotificationURL-Eigenschaft ), muss kompatibel sein. BITS verwendet das für das virtuelle Verzeichnis angegebene Authentifizierungsschema, um auf die Benachrichtigungs-URL zuzugreifen. Der Uploadauftrag schlägt fehl, wenn BITS aufgrund eines Authentifizierungsfehlers nicht auf die Benachrichtigungs-URL zugreifen kann.

Wenn der Benachrichtigungstyp (siehe BITSServerNotificationType-Eigenschaft ) als Verweis verwendet wird, muss die Anwendung sicherstellen, dass der Benutzer Zugriff auf die Datei hat, auf die verwiesen wird (siehe bits-Request-DataFile-Name ). BITS legt die ACLs für die Datei fest, auf die verwiesen wird, auf die des physischen Verzeichnisses, dem das virtuelle Verzeichnis zugeordnet ist.

Hinweis

Die benachrichtigte Anwendung muss die Remotedatei zuordnen und darauf zugreifen können, auch wenn die Benachrichtigungs-URL von einem Webserver verwaltet wird, der sich auf einem anderen Computer als dem physischen Uploadverzeichnis befindet. Der BITS-Request-DataFile-Name-Header enthält immer eine Pfadspezifikation, die relativ zum Computer ist, auf dem die BITS-Erweiterungskomponente gehostet wird. Eine Anwendung, die auf einem anderen Computer ausgeführt wird, muss möglicherweise den Pfad vor dem Zugriff in einen UNC-Pfad konvertieren.

 

BITS unterstützt viele Kombinationen von Authentifizierungsschemas. Sie sollten jedoch das folgende Authentifizierungsschema für das virtuelle Verzeichnis und die entsprechende Benachrichtigungs-URL verwenden.

  • Zur Unterstützung durch Verweisbenachrichtigungen sollte das virtuelle Verzeichnis für die Verwendung der NTLM-Authentifizierung (Negotiate) konfiguriert werden, wenn das physische Uploadverzeichnis (das Verzeichnis, auf das das virtuelle Verzeichnis verweist) ein anderes Authentifizierungsschema als anonym verwendet. Wenn das physische Uploadverzeichnis anonyme Anforderungen zulässt (keine Authentifizierung), sollte das virtuelle Verzeichnis anonym (keine Authentifizierung) aktivieren.

    Die ACLs im physischen Uploadverzeichnis müssen so festgelegt werden, dass der authentifizierte Benutzer Dateien in dem Verzeichnis lesen kann, auf das die Benachrichtigungs-URL verweist. BITS verwendet die ACLs des physischen Uploadverzeichnisses, um die ACLs der temporären Uploaddatei festzulegen (der BITS-Request-DataFile-Name-Header enthält den Pfad zur temporären Datei).

  • Da durch Wertbenachrichtigungen die benachrichtigte Anwendung nicht auf eine temporäre Datei zugreifen muss, die den Uploadinhalt enthält, kann das Authentifizierungsschema entweder anonym oder ausgehandelt (NTLM) sein. Die einzige Voraussetzung ist, dass der authentifizierte Benutzer für das virtuelle Verzeichnis ebenfalls autorisiert sein muss, um auf die Benachrichtigungs-URL zuzugreifen.

Angeben von Berechtigungen für Remotefreigaben

Ein virtuelles Verzeichnis kann auf ein zugeordnetes Laufwerk auf einem anderen Computer oder einer Netzwerkfreigabe verweisen. Wenn es auf ein zugeordnetes Netzlaufwerk zeigt, sollten die Anmeldeinformationen, die zum Zuordnen des Laufwerks verwendet werden, vollzugriff auf die Remotefreigabe haben.

Wenn das virtuelle Verzeichnis auf eine Netzwerkfreigabe verweist, verwendet BITS die Anmeldeinformationen für connect as des virtuellen Verzeichnisses, um auf die Remotefreigabe zuzugreifen. Für den Zugriff auf eine Remotefreigabe muss das Connect As-Konto über Berechtigungen verfügen, wie in der Dokumentation für die LogonUser-Funktion beschrieben. BITS meldet sich mit LOGON32_LOGON_BATCH oder LOGON32_LOGON_INTERACTIVE Anmeldetypen an. Das Benutzerkonto "Verbinden als " benötigt Full-Access Berechtigungen für die Remotefreigabe. Das Erteilen von Schreibberechtigungen reicht nicht aus.

Wenn das physische Uploadverzeichnis einer Netzwerkfreigabe zugeordnet ist, ist die Identität des Aufrufers, der die Benachrichtigungs-URL anfordert, entweder der Benutzer verbinden als oder der authentifizierte Benutzer des physischen Uploadverzeichnisses (nur in IIS 6.0 und höher verfügbar, wenn das Kontrollkästchen Beim Überprüfen des Zugriffs auf die Netzwerkressource immer die Anmeldeinformationen des authentifizierten Benutzers verwenden) im Dialogfeld Verbinden unter aktiviert ist.