Partager via

Autorisations par défaut et droits utilisateur pour les versions IIS fournies avec Windows Server 2016 ou versions ultérieures

Cet article décrit les autorisations et les droits d’utilisateur par défaut définis pour certains dossiers et fichiers. Ces dossiers et fichiers sont installés avec Microsoft Internet Information Services (IIS) sur Windows Server 2016 ou versions ultérieures du système d’exploitation ou leurs équivalents clients Windows (Windows 10 ou versions ultérieures).

Version du produit d’origine : Internet Information Services
Numéro de base de connaissances d’origine : 981949

Modifications d’autorisation dans IIS sur Windows Server 2016 ou versions ultérieures

Dans IIS sur Windows Server 2016 et versions ultérieures, un compte intégré nommé IUSR est utilisé comme identité par défaut utilisée par le serveur web lorsque l’authentification anonyme est activée. Ce compte remplace le IUSR_MachineName compte des versions antérieures d’IIS fournies par Windows Server 2003. En outre, un groupe nommé IIS_IUSRS est utilisé comme conteneur pour toutes les identités de pool d’applications. Le IIS_IUSRS groupe remplace le IIS_WPG groupe des versions antérieures d’IIS. Le compte IUSR n’a plus besoin d’un mot de passe, car il est intégré. Le compte IUSR ressemble à un compte de service local ou réseau.

À compter d’IIS sur Windows Server 2012, une nouvelle identité de pool d’applications de fonctionnalité de sécurité est ajoutée. Cette fonctionnalité vous permet d’exécuter des pools d’applications sous un compte unique sans créer et gérer des comptes de domaine ou locaux. Le nom du compte du pool d’applications correspond au nom du pool d’applications.

Pour plus d’informations sur les comptes et les groupes IIS, consultez Présentation des comptes d’utilisateur et de groupe intégrés dans IIS.

Autorisations par défaut du système de fichiers NTFS

Les tableaux de cette section répertorient les autorisations NTFS (New Technology File System) par défaut attribuées à certains dossiers et fichiers. Ces dossiers et fichiers sont installés avec les versions IIS fournies avec Windows Server 2016, Windows 10 ou version ultérieure.

\inetpub

Utilisateurs / Groupes Autorisations autorisées Commentaires
Créateur propriétaire Autorisations spéciales Équivaut à Contrôle total.
S’applique uniquement aux sous-dossiers et aux fichiers.
SYSTEM Contrôle total
Administrateurs Contrôle total
Utilisateurs Lecture et exécution
Affichage du contenu du dossier
Lecture
TrustedInstaller Contrôle total

\inetpub\AdminScripts

Utilisateurs / Groupes Autorisations autorisées Commentaires
Créateur propriétaire Autorisations spéciales Équivaut à Contrôle total.
S’applique uniquement aux sous-dossiers et aux fichiers.
SYSTEM Contrôle total
Administrateurs Contrôle total
Utilisateurs Lecture et exécution
Affichage du contenu du dossier
Lecture
TrustedInstaller Contrôle total

\inetpub\AdminScripts\0409

Utilisateurs / Groupes Autorisations autorisées Commentaires
Créateur propriétaire Autorisations spéciales Équivaut à Contrôle total.
S’applique uniquement aux sous-dossiers et aux fichiers.
Hérité de \inetpub\AdminScripts.
SYSTEM Contrôle total Hérité de \inetpub\AdminScripts.
Administrateurs Contrôle total Hérité de \inetpub\AdminScripts.
Utilisateurs Lecture et exécution
Affichage du contenu du dossier
Lecture		 Hérité de \inetpub\AdminScripts.
TrustedInstaller Contrôle total Hérité de \inetpub\AdminScripts.

\inetpub\custerr

Utilisateurs / Groupes Autorisations autorisées Commentaires
Créateur propriétaire Autorisations spéciales Équivaut à Contrôle total.
S’applique uniquement aux sous-dossiers et aux fichiers.
Hérité de \inetpub.
SYSTEM Contrôle total
Autorisations spéciales		 L’autorisation Contrôle total est héritée de \inetpub.
Les autorisations spéciales sont équivalentes au contrôle total.
S’applique uniquement à ce dossier.
Administrateurs Contrôle total
Autorisations spéciales		 L’autorisation Contrôle total est héritée de \inetpub.
Équivaut à Contrôle total.
S’applique uniquement à ce dossier.
Utilisateurs Lecture et exécution
Affichage du contenu du dossier
Lecture
Autorisations spéciales		 Les autorisations sont héritées de \inetpub, à l’exception des autorisations spéciales.

Les autorisations spéciales s’appliquent uniquement à ce dossier et incluent les éléments suivants :
  • Parcours du dossier/exécution du fichier
  • Liste du dossier/lecture de données
  • Lire les attributs
  • Lire les attributs étendus
  • Autorisations de lecture
TrustedInstaller Contrôle total Hérité de \inetpub.

\inetpub\custerr\en-us

Utilisateurs / Groupes Autorisations autorisées Commentaires
Créateur propriétaire Autorisations spéciales Équivaut à Contrôle total.
S’applique uniquement aux sous-dossiers et aux fichiers.
Hérité de \inetpub.
SYSTEM Contrôle total Hérité de \inetpub.
Administrateurs Contrôle total Hérité de \inetpub.
Utilisateurs Lecture et exécution
Affichage du contenu du dossier
Lecture		 Hérité de \inetpub.
TrustedInstaller Contrôle total Hérité de \inetpub.

\inetpub\ftproot

Utilisateurs / Groupes Autorisations autorisées Commentaires
Créateur propriétaire Autorisations spéciales Équivaut à Contrôle total.
S’applique uniquement aux sous-dossiers et aux fichiers.
Hérité de \inetpub.
SYSTEM Contrôle total Hérité de \inetpub.
Administrateurs Contrôle total Hérité de \inetpub.
Utilisateurs Lecture et exécution
Affichage du contenu du dossier
Lecture		 Hérité de \inetpub.
TrustedInstaller Contrôle total Hérité de \inetpub.

\inetpub\history et sous-dossiers

Utilisateurs / Groupes Autorisations autorisées Commentaires
SYSTEM Contrôle total
Administrateurs Contrôle total

\inetpub\logs

Utilisateurs / Groupes Autorisations autorisées Commentaires
Créateur propriétaire Autorisations spéciales Équivaut à Contrôle total.
S’applique uniquement aux sous-dossiers et aux fichiers.
Hérité de \inetpub.
SYSTEM Contrôle total Hérité de \inetpub.
Administrateurs Contrôle total Hérité de \inetpub.
Utilisateurs Lecture et exécution
Affichage du contenu du dossier
Lecture		 Hérité de \inetpub.
WMSvc Lister le contenu des dossiers
TrustedInstaller Contrôle total Hérité de \inetpub.

\inetpub\logs\FailedReqLogFiles

Utilisateurs / Groupes Autorisations autorisées Commentaires
IIS_IUSRS Autorisations spéciales Les autorisations spéciales sont les suivantes :
  • Liste du dossier/lecture de données
  • Création de fichiers/écriture de données
  • Créer des dossiers / ajouter des données
  • Écrire les attributs
  • Écrire les attributs étendus
  • Suppression de sous-dossiers et de fichiers
  • Supprimer
SYSTEM Contrôle total
Administrateurs Contrôle total

\inetpub\logs\wmsvc

Utilisateurs / Groupes Autorisations autorisées Commentaires
Créateur propriétaire Autorisations spéciales Équivaut à Contrôle total.
S’applique uniquement aux sous-dossiers et aux fichiers.
Hérité de \inetpub.
SYSTEM Contrôle total Hérité de \inetpub.
Administrateurs Contrôle total Hérité de \inetpub.
Utilisateurs Lecture et exécution
Affichage du contenu du dossier
Lecture		 Hérité de \inetpub.
WMSvc Modification
Lecture et exécution
Affichage du contenu du dossier
Lecture
Écriture		 L’autorisation Affichage du contenu du dossier est héritée de \inetpub\logs.
TrustedInstaller Contrôle total Hérité de \inetpub.

\inetpub\temp

Utilisateurs / Groupes Autorisations autorisées Commentaires
Créateur propriétaire Autorisations spéciales Équivaut à Contrôle total.
S’applique uniquement aux sous-dossiers et aux fichiers.
Hérité de \inetpub.
SYSTEM Contrôle total Hérité de \inetpub.
Administrateurs Contrôle total Hérité de \inetpub.
Utilisateurs Lecture et exécution
Affichage du contenu du dossier
Lecture		 Hérité de \inetpub.
TrustedInstaller Contrôle total Hérité de \inetpub.

\inetpub\temp\appPools

Utilisateurs / Groupes Autorisations autorisées Commentaires
Créateur propriétaire Autorisations spéciales Équivaut à Contrôle total.
S’applique uniquement aux sous-dossiers et aux fichiers.
SYSTEM Contrôle total
Administrateurs Contrôle total
IIS_IUSRS Lecture et exécution Hérité de \inetpub.

\inetpub\temp\ASP Modèles compilés

Utilisateurs / Groupes Autorisations autorisées Commentaires
Par défaut, aucune autorisation n’est attribuée à ce dossier.

\inetpub\temp\IIS Fichiers compressés temporaires

Utilisateurs / Groupes Autorisations autorisées Commentaires
SYSTEM Contrôle total
Administrateurs Contrôle total
IIS_IUSRS Contrôle total

\inetpub\wwwroot

Utilisateurs / Groupes Autorisations autorisées Commentaires
Créateur propriétaire Autorisations spéciales Équivaut à Contrôle total.
S’applique uniquement aux sous-dossiers et aux fichiers.
Hérité de \inetpub.
SYSTEM Contrôle total Hérité de \inetpub.
Administrateurs Contrôle total Hérité de \inetpub.
Utilisateurs Lecture et exécution
Affichage du contenu du dossier
Lecture		 Hérité de \inetpub.
IIS_IUSRS Lecture et exécution
TrustedInstaller Contrôle total Hérité de \inetpub.

\inetpub\wwwroot\aspnet_client

Utilisateurs / Groupes Autorisations autorisées Commentaires
Tout le monde Lire
SYSTEM Contrôle total
Administrateurs Contrôle total
Utilisateurs Lecture et exécution
Affichage du contenu du dossier
Lecture

%windir%\system32\inetsrv

Utilisateurs / Groupes Autorisations autorisées Commentaires
Créateur propriétaire Autorisations spéciales Équivaut à Contrôle total.
S’applique uniquement aux sous-dossiers et aux fichiers.
SYSTEM Autorisations spéciales Les autorisations spéciales autorisées pour le compte SYSTEM pour ce dossier incluent uniquement les éléments suivants :
  • Parcours du dossier/exécution du fichier
  • Liste du dossier/lecture de données
  • Lire les attributs
  • Lire les attributs étendus
  • Créer un fichier / écrire des données
  • Créer des dossiers / ajouter des données
  • Écrire les attributs
  • Écrire les attributs étendus
  • Supprimer
  • Autorisations de lecture

L’autorisation spéciale autorisée pour SYSTEM pour les sous-dossiers et les fichiers équivaut uniquement au contrôle total.
Administrateurs Autorisations spéciales Les autorisations spéciales autorisées pour le groupe Administrateurs pour ce dossier incluent uniquement les éléments suivants :
  • Parcours du dossier/exécution du fichier
  • Liste du dossier/lecture de données
  • Lire les attributs
  • Lire les attributs étendus
  • Créer un fichier / écrire des données
  • Créer des dossiers / ajouter des données
  • Écrire les attributs
  • Écrire les attributs étendus
  • Supprimer
  • Autorisations de lecture

L’autorisation spéciale autorisée pour le groupe Administrateurs pour les sous-dossiers et les fichiers équivaut uniquement au contrôle total.
Utilisateurs Lecture et exécution
Affichage du contenu du dossier
Lecture
TrustedInstaller Autorisations spéciales Les autorisations sont équivalentes au contrôle total et s’appliquent à ce dossier et sous-dossiers.

%windir%\System32\inetsrv\0409

Utilisateurs / Groupes Autorisations autorisées Commentaires
Créateur propriétaire Autorisations spéciales Équivaut à Contrôle total.
S’applique uniquement aux sous-dossiers et aux fichiers.
Hérité de %windir%\System32\inetsrv.
SYSTEM Contrôle total Hérité de %windir%\System32\inetsrv.
Administrateurs Contrôle total Hérité de %windir%\System32\inetsrv.
Utilisateurs Lecture et exécution
Affichage du contenu du dossier
Lecture		 Hérité de %windir%\System32\inetsrv.
TrustedInstaller Autorisations spéciales Équivaut à Contrôle total.
S’applique uniquement aux sous-dossiers et aux fichiers.
Hérité de %windir%\System32\inetsrv.

%windir%\System32\inetsrv\config

Utilisateurs / Groupes Autorisations autorisées Commentaires
Créateur propriétaire Autorisations spéciales Équivaut à Contrôle total.
S’applique uniquement aux sous-dossiers et aux fichiers.
SYSTEM Contrôle total
Administrateurs Contrôle total
Utilisateurs Lecture et exécution
Affichage du contenu du dossier
Lecture
TrustedInstaller Contrôle total
WMSvc Lire

%windir%\System32\inetsrv\config\Export

Utilisateurs / Groupes Autorisations autorisées Commentaires
Créateur propriétaire Autorisations spéciales Équivaut à Contrôle total.
S’applique uniquement aux sous-dossiers et aux fichiers.
SYSTEM Contrôle total
Administrateurs Contrôle total
TrustedInstaller Contrôle total

%windir%\System32\inetsrv\config\schema

Utilisateurs / Groupes Autorisations autorisées Commentaires
Créateur propriétaire Autorisations spéciales Équivaut à Contrôle total.
S’applique uniquement aux sous-dossiers et aux fichiers.
SYSTEM Autorisations spéciales Les autorisations spéciales autorisées pour le compte SYSTEM pour ce dossier incluent uniquement les éléments suivants :
  • Parcours du dossier/exécution du fichier
  • Liste du dossier/lecture de données
  • Lire les attributs
  • Lire les attributs étendus
  • Créer un fichier / écrire des données
  • Créer des dossiers / ajouter des données
  • Écrire les attributs
  • Écrire les attributs étendus
  • Supprimer
  • Autorisations de lecture

L’autorisation spéciale autorisée pour SYSTEM pour les sous-dossiers et les fichiers équivaut uniquement au contrôle total.
Administrateurs Autorisations spéciales Les autorisations spéciales autorisées pour le groupe Administrateurs pour ce dossier incluent uniquement les éléments suivants :
  • Parcours du dossier/exécution du fichier
  • Liste du dossier/lecture de données
  • Lire les attributs
  • Lire les attributs étendus
  • Créer un fichier / écrire des données
  • Créer des dossiers / ajouter des données
  • Écrire les attributs
  • Écrire les attributs étendus
  • Supprimer
  • Autorisations de lecture

L’autorisation spéciale autorisée pour le groupe Administrateurs pour les sous-dossiers et les fichiers équivaut uniquement au contrôle total.
Utilisateurs Lecture et exécution
Affichage du contenu du dossier
Lecture
TrustedInstaller Autorisations spéciales Équivaut à Contrôle total.
S’applique à ce dossier et aux sous-dossiers.

%windir%\System32\inetsrv\en-us

Utilisateurs / Groupes Autorisations autorisées Commentaires
Créateur propriétaire Autorisations spéciales Équivaut à Contrôle total.
S’applique uniquement aux sous-dossiers et aux fichiers.
SYSTEM Autorisations spéciales Les autorisations spéciales autorisées pour le compte SYSTEM pour ce dossier incluent uniquement les éléments suivants :
  • Parcours du dossier/exécution du fichier
  • Liste du dossier/lecture de données
  • Lire les attributs
  • Lire les attributs étendus
  • Créer un fichier / écrire des données
  • Créer des dossiers / ajouter des données
  • Écrire les attributs
  • Écrire les attributs étendus
  • Supprimer
  • Autorisations de lecture

L’autorisation spéciale autorisée pour SYSTEM pour les sous-dossiers et les fichiers équivaut uniquement au contrôle total.
Administrateurs Autorisations spéciales Les autorisations spéciales autorisées pour le groupe Administrateurs pour ce dossier incluent uniquement les éléments suivants :
  • Parcours du dossier/exécution du fichier
  • Liste du dossier/lecture de données
  • Lire les attributs
  • Lire les attributs étendus
  • Créer un fichier / écrire des données
  • Créer des dossiers / ajouter des données
  • Écrire les attributs
  • Écrire les attributs étendus
  • Supprimer
  • Autorisations de lecture

L’autorisation spéciale autorisée pour le groupe Administrateurs pour les sous-dossiers et les fichiers équivaut uniquement au contrôle total.
Utilisateurs Lecture et exécution
Affichage du contenu du dossier
Lecture
TrustedInstaller Affichage du contenu du dossier
Autorisations spéciales		 Équivaut à Contrôle total.
S’applique à ce dossier et aux sous-dossiers.

%windir%\System32\inetsrv\History

Utilisateurs / Groupes Autorisations autorisées Commentaires
Administrateurs Contrôle total
SYSTEM Contrôle total

%windir%\System32\inetsrv\MetaBack

Utilisateurs / Groupes Autorisations autorisées Commentaires
Administrateurs Contrôle total
SYSTEM Contrôle total

Autorisations par défaut relatives au Registre

Les tables de cette section répertorient les autorisations de Registre par défaut qui sont attribuées lorsque les versions IIS fournies avec Windows Server 2016, Windows 10 ou version ultérieure. Quand les autorisations de lecture sont répertoriées pour les utilisateurs, les autorisations suivantes sont incluses :

  • Demander la valeur
  • Énumérer les sous-clés
  • Notifier
  • Contrôle en lecture

HKEY_LOCAL_MACHINE\Software\Microsoft\Inetmgr

Utilisateurs / Groupes Autorisations autorisées Commentaires
Créateur propriétaire Autorisations spéciales Équivaut à Contrôle total.
S’applique uniquement aux sous-clés.
SYSTEM Contrôle total
Administrateurs Contrôle total
Utilisateurs Lire

HKEY_LOCAL_MACHINE\Software\Microsoft\InetStp

Utilisateurs / Groupes Autorisations autorisées Commentaires
Créateur propriétaire Autorisations spéciales Équivaut à Contrôle total.
S’applique uniquement aux sous-clés.
SYSTEM Contrôle total
Administrateurs Contrôle total
Utilisateurs Lire

HKEY_LOCAL_MACHINE\Software\Microsoft\W3SVC

Utilisateurs / Groupes Autorisations autorisées Commentaires
Créateur propriétaire Autorisations spéciales Équivaut à Contrôle total.
S’applique uniquement aux sous-clés.
SYSTEM Contrôle total
Administrateurs Contrôle total
Utilisateurs Lire

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ASP

Utilisateurs / Groupes Autorisations autorisées Commentaires
Créateur propriétaire Autorisations spéciales Équivaut à Contrôle total.
S’applique uniquement aux sous-clés.
SYSTEM Contrôle total
Administrateurs Contrôle total
Utilisateurs Lire

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ASP.NET

Utilisateurs / Groupes Autorisations autorisées Commentaires
Créateur propriétaire Autorisations spéciales Équivaut à Contrôle total.
S’applique uniquement aux sous-clés.
SYSTEM Contrôle total
Administrateurs Contrôle total
Utilisateurs Lire

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ASP.NET_2.0.50727

Utilisateurs / Groupes Autorisations autorisées Commentaires
Créateur propriétaire Autorisations spéciales Équivaut à Contrôle total.
S’applique uniquement aux sous-clés.
SYSTEM Contrôle total
Administrateurs Contrôle total
Utilisateurs Lire

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\aspnet_state

Utilisateurs / Groupes Autorisations autorisées Commentaires
Créateur propriétaire Autorisations spéciales Équivaut à Contrôle total.
S’applique uniquement aux sous-clés.
SYSTEM Contrôle total
Administrateurs Contrôle total
Utilisateurs Lire

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP

Utilisateurs / Groupes Autorisations autorisées Commentaires
Créateur propriétaire Autorisations spéciales Équivaut à Contrôle total.
S’applique uniquement aux sous-clés.
SYSTEM Contrôle total
Administrateurs Contrôle total
Utilisateurs Lire

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\IISAdmin

Utilisateurs / Groupes Autorisations autorisées Commentaires
Créateur propriétaire Autorisations spéciales Équivaut à Contrôle total.
S’applique uniquement aux sous-clés.
SYSTEM Contrôle total
Administrateurs Contrôle total
Utilisateurs Lire

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\W3SVC

Utilisateurs / Groupes Autorisations autorisées Commentaires
Créateur propriétaire Autorisations spéciales Équivaut à Contrôle total.
S’applique uniquement aux sous-clés.
SYSTEM Contrôle total
Administrateurs Contrôle total
Utilisateurs Lire

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WAS

Utilisateurs / Groupes Autorisations autorisées Commentaires
Créateur propriétaire Autorisations spéciales Équivaut à Contrôle total.
S’applique uniquement aux sous-clés.
SYSTEM Contrôle total
Administrateurs Contrôle total
Utilisateurs Lire

Note

La clé WAS est destinée au service d’activation des processus Windows. Il s’agit d’une dépendance requise installée avec IIS.

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WMsvc

Utilisateurs / Groupes Autorisations autorisées Commentaires
Créateur propriétaire Autorisations spéciales Équivaut à Contrôle total.
S’applique uniquement aux sous-clés.
SYSTEM Contrôle total
Administrateurs Contrôle total
Utilisateurs Lire

Attributions des droits d’utilisateur Windows par défaut

Le tableau de cette section répertorie les stratégies de sécurité locales par défaut et les utilisateurs, les groupes ou les utilisateurs et les groupes affectés à la stratégie lorsque les versions IIS fournies avec Windows Server 2016, Windows 10 ou version ultérieure sont installés.

Droits d’utilisateur Windows attribués par la stratégie de sécurité locale

Autorisations autorisées Utilisateurs / Groupes
Accéder à cet ordinateur à partir du réseau Tout le monde
Administrateurs
Utilisateurs
Opérateurs de sauvegarde
Ajuster les quotas de mémoire pour un processus SERVICE LOCAL
SERVICE RÉSEAU
Administrateurs
ApplicationPoolIdentity
Permettre l’ouverture d’une session locale Administrateurs
Utilisateurs
Opérateurs de sauvegarde
Contourner la vérification de parcours Tout le monde
SERVICE LOCAL
SERVICE RÉSEAU
Administrateurs
Utilisateurs
Opérateurs de sauvegarde
Générer des audits de sécurité ApplicationPoolIdentity
Emprunter l'identité d'un client après authentification SERVICE ADMINISTRATEUR IIS_IUSRS

DE SERVICE DE SERVICE LOCAL
Ouvrir une session en tant que tâche Administrateurs :
utilisateurs du
journal des performances des opérateurs
de sauvegarde IIS_IUSRS
Ouvrir une session en tant que service ApplicationPoolIdentity
Remplacer un jeton de niveau processus SERVICE LOCAL
SERVICE RÉSEAU
ApplicationPoolIdentity