Compartilhar via

Permissões padrão e direitos de usuário para versões do IIS fornecidas com Windows Server 2016 ou versões posteriores

Este artigo descreve as permissões padrão e os direitos de usuário definidos em determinados arquivos e pastas. Essas pastas e arquivos são instalados com o Microsoft Internet Information Services (IIS) no Windows Server 2016 ou versões posteriores do sistema operacional ou seus equivalentes de cliente Windows (Windows 10 ou versões posteriores).

Versão original do produto: Serviços de Informações da Internet
Número original do KB: 981949

Alterações de permissão no IIS no Windows Server 2016 ou versões posteriores

No IIS no Windows Server 2016 e versões posteriores, uma conta interna nomeada IUSR é usada como a identidade padrão usada pelo servidor Web quando a Autenticação Anônima está habilitada. Essa conta substitui a conta de versões anteriores do IIS fornecidas com o IUSR_MachineName Windows Server 2003. Além disso, um grupo nomeado IIS_IUSRS é usado como um contêiner para todas as identidades do pool de aplicativos. O IIS_IUSRS grupo substitui o IIS_WPG grupo de versões anteriores do IIS. Como a conta IUSR é uma conta interna, a conta IUSR não requer mais uma senha. A conta IUSR é semelhante a uma conta de serviço local ou de rede.

A partir do IIS no Windows Server 2012, novas identidades de pool de aplicativos de recursos de segurança são adicionadas. Esse recurso permite que você execute pools de aplicativos em uma conta exclusiva sem criar e gerenciar contas locais ou de domínio. O nome da conta do Pool de Aplicativos corresponde ao nome do Pool de Aplicativos.

Para obter mais informações sobre contas e grupos do IIS, visite Noções básicas sobre contas internas de usuário e grupo no IIS.

Permissões padrão do sistema de arquivos NTFS

As tabelas nesta seção listam as permissões padrão do NTFS (New Technology File System) atribuídas a determinadas pastas e arquivos. Essas pastas e arquivos são instalados junto com as versões do IIS fornecidas com Windows Server 2016, Windows 10 ou versões posteriores.

\Inetpub

Usuários / grupos Permissões aceitas Comentários
PROPRIETÁRIO CRIADOR Permissões especiais Equivalente ao controle total.
Aplica-se somente a subpastas e arquivos.
SISTEMA Controle total
Administradores Controle total
Usuários Ler e executar
Listar o conteúdo da pasta
Ler
TrustedInstaller Controle total

\inetpub\AdminScripts

Usuários / grupos Permissões aceitas Comentários
PROPRIETÁRIO CRIADOR Permissões especiais Equivalente ao controle total.
Aplica-se somente a subpastas e arquivos.
SISTEMA Controle total
Administradores Controle total
Usuários Ler e executar
Listar o conteúdo da pasta
Ler
TrustedInstaller Controle total

\inetpub\AdminScripts\0409

Usuários / grupos Permissões aceitas Comentários
PROPRIETÁRIO CRIADOR Permissões especiais Equivalente ao controle total.
Aplica-se somente a subpastas e arquivos.
Herdado de \inetpub\AdminScripts.
SISTEMA Controle total Herdado de \inetpub\AdminScripts.
Administradores Controle total Herdado de \inetpub\AdminScripts.
Usuários Ler e executar
Listar o conteúdo da pasta
Ler		 Herdado de \inetpub\AdminScripts.
TrustedInstaller Controle total Herdado de \inetpub\AdminScripts.

\inetpub\clusterr

Usuários / grupos Permissões aceitas Comentários
PROPRIETÁRIO CRIADOR Permissões especiais Equivalente ao controle total.
Aplica-se somente a subpastas e arquivos.
Herdado de \inetpub.
SISTEMA Controle total
Permissões especiais		 O controle total é herdado de \inetpub.
Permissões especiais são equivalentes a Controle total.
Aplica-se somente a essa pasta.
Administradores Controle total
Permissões especiais		 O controle total é herdado de \inetpub.
Equivalente ao controle total.
Aplica-se somente a essa pasta.
Usuários Ler e executar
Listar o conteúdo da pasta
Ler
Permissões especiais		 As permissões são herdadas de \inetpub, exceto para permissões especiais.

As permissões especiais se aplicam somente a esta pasta e incluem o seguinte:
  • Percorrer pasta / executar arquivo
  • Listar pasta / ler dados
  • Atributos de leitura
  • Atributos de leitura estendidos
  • Permissões de leitura
TrustedInstaller Controle total Herdado de \inetpub.

\inetpub\clusterr\en-us

Usuários / grupos Permissões aceitas Comentários
PROPRIETÁRIO CRIADOR Permissões especiais Equivalente ao controle total.
Aplica-se somente a subpastas e arquivos.
Herdado de \inetpub.
SISTEMA Controle total Herdado de \inetpub.
Administradores Controle total Herdado de \inetpub.
Usuários Ler e executar
Listar o conteúdo da pasta
Ler		 Herdado de \inetpub.
TrustedInstaller Controle total Herdado de \inetpub.

\inetpub\ftproot

Usuários / grupos Permissões aceitas Comentários
PROPRIETÁRIO CRIADOR Permissões especiais Equivalente ao controle total.
Aplica-se somente a subpastas e arquivos.
Herdado de \inetpub.
SISTEMA Controle total Herdado de \inetpub.
Administradores Controle total Herdado de \inetpub.
Usuários Ler e executar
Listar o conteúdo da pasta
Ler		 Herdado de \inetpub.
TrustedInstaller Controle total Herdado de \inetpub.

\inetpub\history e subpastas

Usuários / grupos Permissões aceitas Comentários
SISTEMA Controle total
Administradores Controle total

\inetpub\logs

Usuários / grupos Permissões aceitas Comentários
PROPRIETÁRIO CRIADOR Permissões especiais Equivalente ao controle total.
Aplica-se somente a subpastas e arquivos.
Herdado de \inetpub.
SISTEMA Controle total Herdado de \inetpub.
Administradores Controle total Herdado de \inetpub.
Usuários Ler e executar
Listar o conteúdo da pasta
Ler		 Herdado de \inetpub.
WMSvc Listar conteúdo da pasta
TrustedInstaller Controle total Herdado de \inetpub.

\inetpub\logs\FailedReqLogFiles

Usuários / grupos Permissões aceitas Comentários
IIS_IUSRS Permissões especiais As permissões especiais incluem o seguinte:
  • Listar pasta / ler dados
  • Criar arquivos / gravar dados
  • Criar pastas / acrescentar dados
  • Atributos de gravação
  • Atributos de gravação estendidos
  • Excluir subpastas e arquivos
  • Excluir
SISTEMA Controle total
Administradores Controle total

\inetpub\logs\wmsvc

Usuários / grupos Permissões aceitas Comentários
PROPRIETÁRIO CRIADOR Permissões especiais Equivalente ao controle total.
Aplica-se somente a subpastas e arquivos.
Herdado de \inetpub.
SISTEMA Controle total Herdado de \inetpub.
Administradores Controle total Herdado de \inetpub.
Usuários Ler e executar
Listar o conteúdo da pasta
Ler		 Herdado de \inetpub.
WMSvc Modificar
Ler e executar
Listar o conteúdo da pasta
Ler
Gravar		 A permissão de conteúdo da pasta de lista é herdada de \inetpub\logs.
TrustedInstaller Controle total Herdado de \inetpub.

\inetpub\temp

Usuários / grupos Permissões aceitas Comentários
PROPRIETÁRIO CRIADOR Permissões especiais Equivalente ao controle total.
Aplica-se somente a subpastas e arquivos.
Herdado de \inetpub.
SISTEMA Controle total Herdado de \inetpub.
Administradores Controle total Herdado de \inetpub.
Usuários Ler e executar
Listar o conteúdo da pasta
Ler		 Herdado de \inetpub.
TrustedInstaller Controle total Herdado de \inetpub.

\inetpub\temp\appPools

Usuários / grupos Permissões aceitas Comentários
PROPRIETÁRIO CRIADOR Permissões especiais Equivalente ao controle total.
Aplica-se somente a subpastas e arquivos.
SISTEMA Controle total
Administradores Controle total
IIS_IUSRS Ler e Executar Herdado de \inetpub.

\inetpub\temp\ASP Compiled Templates

Usuários / grupos Permissões aceitas Comentários
Por padrão, nenhuma permissão é atribuída a essa pasta.

\inetpub\temp\IIS Temporary Compressed Files

Usuários / grupos Permissões aceitas Comentários
SISTEMA Controle total
Administradores Controle total
IIS_IUSRS Controle total

\inetpub\wwwroot

Usuários / grupos Permissões aceitas Comentários
PROPRIETÁRIO CRIADOR Permissões especiais Equivalente ao controle total.
Aplica-se somente a subpastas e arquivos.
Herdado de \inetpub.
SISTEMA Controle total Herdado de \inetpub.
Administradores Controle total Herdado de \inetpub.
Usuários Ler e executar
Listar o conteúdo da pasta
Ler		 Herdado de \inetpub.
IIS_IUSRS Ler e Executar
TrustedInstaller Controle total Herdado de \inetpub.

\inetpub\wwwroot\aspnet_client

Usuários / grupos Permissões aceitas Comentários
Todos Ler
SISTEMA Controle total
Administradores Controle total
Usuários Ler e executar
Listar o conteúdo da pasta
Ler

%windir%\System32\inetsrv\

Usuários / grupos Permissões aceitas Comentários
PROPRIETÁRIO CRIADOR Permissões especiais Equivalente ao controle total.
Aplica-se somente a subpastas e arquivos.
SISTEMA Permissões especiais As permissões especiais permitidas para a conta SYSTEM para esta pasta incluem apenas o seguinte:
  • Percorrer pasta / executar arquivo
  • Listar pasta / ler dados
  • Atributos de leitura
  • Atributos de leitura estendidos
  • Criar arquivo / gravar dados
  • Criar pastas / acrescentar dados
  • Atributos de gravação
  • Atributos de gravação estendidos
  • Excluir
  • Permissões de leitura

A permissão especial aceita para SISTEMA apenas para subpastas e arquivos é equivalente a Controle total.
Administradores Permissões especiais As permissões especiais permitidas para o grupo Administradores para esta pasta incluem apenas o seguinte:
  • Percorrer pasta / executar arquivo
  • Listar pasta / ler dados
  • Atributos de leitura
  • Atributos de leitura estendidos
  • Criar arquivo / gravar dados
  • Criar pastas / acrescentar dados
  • Atributos de gravação
  • Atributos de gravação estendidos
  • Excluir
  • Permissões de leitura

A permissão especial permitida para o grupo Administradores para subpastas e arquivos é equivalente apenas a Controle total.
Usuários Ler e executar
Listar o conteúdo da pasta
Ler
TrustedInstaller Permissões especiais As permissões são equivalentes a Controle total e se aplicam a essa pasta e subpastas.

%windir%\System32\inetsrv\0409

Usuários / grupos Permissões aceitas Comentários
PROPRIETÁRIO CRIADOR Permissões especiais Equivalente ao controle total.
Aplica-se somente a subpastas e arquivos.
Herdado de %windir%\System32\inetsrv.
SISTEMA Controle total Herdado de %windir%\System32\inetsrv.
Administradores Controle total Herdado de %windir%\System32\inetsrv.
Usuários Ler e executar
Listar o conteúdo da pasta
Ler		 Herdado de %windir%\System32\inetsrv.
TrustedInstaller Permissões especiais Equivalente ao controle total.
Aplica-se somente a subpastas e arquivos.
Herdado de %windir%\System32\inetsrv.

%windir%\System32\inetsrv\config

Usuários / grupos Permissões aceitas Comentários
PROPRIETÁRIO CRIADOR Permissões especiais Equivalente ao controle total.
Aplica-se somente a subpastas e arquivos.
SISTEMA Controle total
Administradores Controle total
Usuários Ler e executar
Listar o conteúdo da pasta
Ler
TrustedInstaller Controle total
WMSvc Ler

%Windir%\System32\inetsrv\config\Export

Usuários / grupos Permissões aceitas Comentários
PROPRIETÁRIO CRIADOR Permissões especiais Equivalente ao controle total.
Aplica-se somente a subpastas e arquivos.
SISTEMA Controle total
Administradores Controle total
TrustedInstaller Controle total

%windir%\System32\inetsrv\config\schema

Usuários / grupos Permissões aceitas Comentários
PROPRIETÁRIO CRIADOR Permissões especiais Equivalente ao controle total.
Aplica-se somente a subpastas e arquivos.
SISTEMA Permissões especiais As permissões especiais permitidas para a conta SYSTEM para esta pasta incluem apenas o seguinte:
  • Percorrer pasta / executar arquivo
  • Listar pasta / ler dados
  • Atributos de leitura
  • Atributos de leitura estendidos
  • Criar arquivo / gravar dados
  • Criar pastas / acrescentar dados
  • Atributos de gravação
  • Atributos de gravação estendidos
  • Excluir
  • Permissões de leitura

A permissão especial aceita para SISTEMA apenas para subpastas e arquivos é equivalente a Controle total.
Administradores Permissões especiais As permissões especiais permitidas para o grupo Administradores para esta pasta incluem apenas o seguinte:
  • Percorrer pasta / executar arquivo
  • Listar pasta / ler dados
  • Atributos de leitura
  • Atributos de leitura estendidos
  • Criar arquivo / gravar dados
  • Criar pastas / acrescentar dados
  • Atributos de gravação
  • Atributos de gravação estendidos
  • Excluir
  • Permissões de leitura

A permissão especial permitida para o grupo Administradores para subpastas e arquivos é equivalente apenas a Controle total.
Usuários Ler e executar
Listar o conteúdo da pasta
Ler
TrustedInstaller Permissões especiais Equivalente ao controle total.
Aplica-se a essa pasta e subpastas.

%windir%\System32\inetsrv\en-us

Usuários / grupos Permissões aceitas Comentários
PROPRIETÁRIO CRIADOR Permissões especiais Equivalente ao controle total.
Aplica-se somente a subpastas e arquivos.
SISTEMA Permissões especiais As permissões especiais permitidas para a conta SYSTEM para esta pasta incluem apenas o seguinte:
  • Percorrer pasta / executar arquivo
  • Listar pasta / ler dados
  • Atributos de leitura
  • Atributos de leitura estendidos
  • Criar arquivo / gravar dados
  • Criar pastas / acrescentar dados
  • Atributos de gravação
  • Atributos de gravação estendidos
  • Excluir
  • Permissões de leitura

A permissão especial aceita para SISTEMA apenas para subpastas e arquivos é equivalente a Controle total.
Administradores Permissões especiais As permissões especiais permitidas para o grupo Administradores para esta pasta incluem apenas o seguinte:
  • Percorrer pasta / executar arquivo
  • Listar pasta / ler dados
  • Atributos de leitura
  • Atributos de leitura estendidos
  • Criar arquivo / gravar dados
  • Criar pastas / acrescentar dados
  • Atributos de gravação
  • Atributos de gravação estendidos
  • Excluir
  • Permissões de leitura

A permissão especial permitida para o grupo Administradores para subpastas e arquivos é equivalente apenas a Controle total.
Usuários Ler e executar
Listar o conteúdo da pasta
Ler
TrustedInstaller Listar o conteúdo da pasta
Permissões especiais		 Equivalente ao controle total.
Aplica-se a essa pasta e subpastas.

%windir%\System32\inetsrv\History

Usuários / grupos Permissões aceitas Comentários
Administradores Controle total
SISTEMA Controle total

%windir%\System32\inetsrv\MetaBack

Usuários / grupos Permissões aceitas Comentários
Administradores Controle total
SISTEMA Controle total

Permissões de registro padrão:

As tabelas nesta seção listam as permissões padrão do Registro que são atribuídas quando as versões do IIS são fornecidas com Windows Server 2016, Windows 10 ou versões posteriores. Quando as permissões de leitura são listadas para usuários, as seguintes permissões são incluídas:

  • Consultar Valor
  • Enumerar Subchaves
  • Notificar
  • Controle de Leitura

HKEY_LOCAL_MACHINE \Software\Microsoft\Inetmgr

Usuários / grupos Permissões aceitas Comentários
PROPRIETÁRIO CRIADOR Permissões especiais Equivalente ao controle total.
Aplica-se somente a subchaves.
SISTEMA Controle total
Administradores Controle total
Usuários Ler

HKEY_LOCAL_MACHINE \Software\Microsoft\InetStp

Usuários / grupos Permissões aceitas Comentários
PROPRIETÁRIO CRIADOR Permissões especiais Equivalente ao controle total.
Aplica-se somente a subchaves.
SISTEMA Controle total
Administradores Controle total
Usuários Ler

HKEY_LOCAL_MACHINE \Software\Microsoft\W3SVC

Usuários / grupos Permissões aceitas Comentários
PROPRIETÁRIO CRIADOR Permissões especiais Equivalente ao controle total.
Aplica-se somente a subchaves.
SISTEMA Controle total
Administradores Controle total
Usuários Ler

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ASP

Usuários / grupos Permissões aceitas Comentários
PROPRIETÁRIO CRIADOR Permissões especiais Equivalente ao controle total.
Aplica-se somente a subchaves.
SISTEMA Controle total
Administradores Controle total
Usuários Ler

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ASP.NET

Usuários / grupos Permissões aceitas Comentários
PROPRIETÁRIO CRIADOR Permissões especiais Equivalente ao controle total.
Aplica-se somente a subchaves.
SISTEMA Controle total
Administradores Controle total
Usuários Ler

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ASP.NET_2.0.50727

Usuários / grupos Permissões aceitas Comentários
PROPRIETÁRIO CRIADOR Permissões especiais Equivalente ao controle total.
Aplica-se somente a subchaves.
SISTEMA Controle total
Administradores Controle total
Usuários Ler

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\aspnet_state

Usuários / grupos Permissões aceitas Comentários
PROPRIETÁRIO CRIADOR Permissões especiais Equivalente ao controle total.
Aplica-se somente a subchaves.
SISTEMA Controle total
Administradores Controle total
Usuários Ler

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP

Usuários / grupos Permissões aceitas Comentários
PROPRIETÁRIO CRIADOR Permissões especiais Equivalente ao controle total.
Aplica-se somente a subchaves.
SISTEMA Controle total
Administradores Controle total
Usuários Ler

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\IISAdmin

Usuários / grupos Permissões aceitas Comentários
PROPRIETÁRIO CRIADOR Permissões especiais Equivalente ao controle total.
Aplica-se somente a subchaves.
SISTEMA Controle total
Administradores Controle total
Usuários Ler

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\W3SVC

Usuários / grupos Permissões aceitas Comentários
PROPRIETÁRIO CRIADOR Permissões especiais Equivalente ao controle total.
Aplica-se somente a subchaves.
SISTEMA Controle total
Administradores Controle total
Usuários Ler

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WAS

Usuários / grupos Permissões aceitas Comentários
PROPRIETÁRIO CRIADOR Permissões especiais Equivalente ao controle total.
Aplica-se somente a subchaves.
SISTEMA Controle total
Administradores Controle total
Usuários Ler

Observação

A chave WAS é para o Serviço Windows de Ativação de Processo. Essa é uma dependência necessária e é instalada junto com o IIS.

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WMsvc

Usuários / grupos Permissões aceitas Comentários
PROPRIETÁRIO CRIADOR Permissões especiais Equivalente ao controle total.
Aplica-se somente a subchaves.
SISTEMA Controle total
Administradores Controle total
Usuários Ler

Atribuições de direitos de usuário padrão do Windows

A tabela nesta seção lista as políticas de segurança locais padrão e os usuários, os grupos ou os usuários e grupos atribuídos à política quando as versões do IIS fornecidas com Windows Server 2016, Windows 10 ou versões posteriores são instaladas.

Direitos de usuário do Windows atribuídos pela política de segurança local

Permissões aceitas Usuários / grupos
Acesso a este computador da rede Todos
Administradores
Usuários
Operadores de backup
Ajustar cotas de memória para um processo SERVIÇO LOCAL
SERVIÇO DE REDE
Administradores
ApplicationPoolIdentity
Permitir logon localmente Administradores
Usuários
Operadores de backup
Ignorar a verificação completa Todos
SERVIÇO LOCAL
SERVIÇO DE REDE
Administradores
Usuários
Operadores de backup
Gerar auditorias de segurança ApplicationPoolIdentity
Representar um cliente após a autenticação SERVIÇO
LOCAL SERVIÇO DE
REDE Administradores
IIS_IUSRS
SERVIÇO
Fazer logon como um trabalho em lotes Administradores Operadores

de backup Usuários
do log de desempenho IIS_IUSRS
Fazer logon como um serviço ApplicationPoolIdentity
Substituir um token de nível de processo SERVIÇO LOCAL
SERVIÇO DE REDE
ApplicationPoolIdentity