Поделиться через

Настройка разрешений для виртуальных каталогов

  • Статья

По соображениям безопасности фоновая интеллектуальная служба передачи данных (BITS) не отправляет файлы в виртуальный каталог с включенными сценариями и разрешениями на выполнение. Если вы отправляете файл в виртуальный каталог с включенными разрешениями, задание завершается ошибкой с кодом ошибки BG_E_SERVER_EXECUTE_ENABLED.

BITS не требует включения записи виртуального каталога, поэтому рекомендуется отключить доступ на запись в виртуальный каталог.

Пользователь, прошедший проверку подлинности (или анонимный пользователь IIS для анонимной проверки подлинности), должен иметь разрешения на изменение физического каталога, с которым сопоставлен виртуальный каталог; Предоставление разрешений на запись недостаточно.

Указание разрешений для уведомлений

Схема проверки подлинности, указанная для виртуального каталога и URL-адреса уведомлений (см . свойство BITSServerNotificationURL ), должна быть совместима. BITS использует схему проверки подлинности, указанную для виртуального каталога, для доступа к URL-адресу уведомления. Задание отправки завершается ошибкой, если BITS не может получить доступ к URL-адресу уведомления из-за сбоя проверки подлинности.

Если тип уведомления (см. свойство BITSServerNotificationType) по ссылке, приложение должно убедиться, что у пользователя есть доступ к файлу с ссылкой (см. заголовок BITS-Request-DataFile-Name). BITS задает списки управления доступом к файлу, на который ссылается ссылка, для физического каталога, с которым сопоставляется виртуальный каталог.

Примечание.

Уведомляемое приложение должно иметь возможность сопоставлять и получать доступ к удаленному файлу, даже если URL-адрес уведомления обслуживается веб-сервером, который находится на компьютере, отличном от физического каталога отправки. Заголовок BITS-Request-DataFile-Name всегда содержит спецификацию пути, которая относится к компьютеру, на котором размещен компонент расширений BITS. Приложению, работающему на другом компьютере, может потребоваться преобразовать путь в UNC-путь перед доступом к нему.

 

BITS поддерживает множество сочетаний схем проверки подлинности. Однако следует использовать следующую схему проверки подлинности для виртуального каталога и URL-адреса соответствующего уведомления.

  • Для поддержки с помощью ссылочных уведомлений виртуальная папка должна быть настроена для использования проверки подлинности NTLM (согласование), если физический каталог (каталог, в который указывает виртуальная папка), использует схему проверки подлинности, отличной от анонимной. Если каталог физической отправки разрешает анонимные запросы (без проверки подлинности), виртуальный каталог должен включить анонимный (без проверки подлинности).

    Списки управления доступом в физическом каталоге отправки должны быть заданы таким образом, чтобы прошедший проверку подлинности пользователь может считывать файлы в каталоге, в котором указывает URL-адрес уведомления. BITS использует списки управления доступом физического каталога для задания списков управления доступом для временного файла отправки ( заголовок BITS-Request-DataFile-Name содержит путь к временному файлу).

  • Так как по уведомлениям о значении не требуется уведомляемое приложение для доступа к временному файлу, содержаму содержимое отправки, схема проверки подлинности может быть анонимной или согласованной (NTLM). Единственное требование заключается в том, что прошедший проверку подлинности пользователь виртуального каталога также должен быть авторизован для доступа к URL-адресу уведомления.

Указание разрешений для удаленных общих папок

Виртуальный каталог может указывать на сопоставленный диск на другом компьютере или сетевом ресурсе. Если он указывает на сопоставленный сетевой диск, учетные данные, используемые для сопоставления диска, должны иметь полный контроль над удаленным ресурсом.

Если виртуальный каталог указывает на сетевую папку, BITS использует Подключение как учетные данные пользователя для доступа к удаленной общей папке. Чтобы получить доступ к удаленной общей папке, Подключение учетная запись as должна иметь привилегии, как описано в документации для функции LogonUser. Журналы BITS для использования LOGON32_LOGON_BATCH или LOGON32_LOGON_INTERACTIVE типов входа. Для учетной записи пользователя Подключение для удаленной общей папки требуются разрешения полного доступа. Предоставление разрешений на запись недостаточно.

При сопоставлении физического каталога отправки с сетевой папкой удостоверение вызывающего абонента, запрашивающего URL-адрес уведомления, является либо Подключение как пользователь, либо прошедший проверку подлинности пользователь физического каталога отправки (доступен только в IIS 6.0 и более поздних версиях, когда поле проверка всегда используйте учетные данные пользователя, прошедших проверку подлинности при проверке доступа к сетевому ресурсу, выбран на сайтеПодключение диалоговое окно "Как".