在 IIS 7 中設定遠端管理和功能委派

由 Saad Ladki

簡介

IIS 為系統管理員和開發人員提供可存取、可延伸和可散發的新組態系統。 新的 XML 格式可讓您輕鬆設定 IIS 7 和更新版本中可用的模組和功能。 它也可讓您細微控制可以設定個別功能的位置（例如，在 applicationHost.config 檔案的伺服器層級，或 Web.config 檔案中的網站或應用層級）。

新的 IIS 系統管理使用者介面 （UI），IIS 管理員完全支援這個新的組態系統，並新增額外的功能，以提供強大且細微的系統來設定網頁伺服器。 這兩個額外的功能是遠端管理伺服器、月臺和應用程式，以及用戶型驗證和授權的支援。

本文說明如何啟用遠端連線、設定使用者和許可權，以及將功能委派給網站或應用層級。 在許多情況下，IIS 伺服器管理員可能會想要將特定功能或功能的系統管理控制權委派給某人，或者系統管理員可能會想要防止其他人檢視現有的設定。 例如，採用下列案例。

Edward 是裝載數個月臺之電腦上的伺服器管理員。 計算機是網域的一部分，有些網站擁有者屬於相同的網域。 不過，某些網站擁有者不在網域之外，Edward 必須為每個擁有者建立使用者名稱和密碼，為其建立 IIS 管理員用戶帳戶。 在建立必要的 IIS 管理員使用者帳戶之後，Edward 會為每個網站設定 IIS 管理員許可權，以指定哪些使用者可以連線到特定網站。 若要這樣做，Edward 會在每個網站中開啟 IIS 管理員許可權功能，並新增 Windows 使用者和 IIS 管理員使用者。 此動作會執行兩件事。 首先，它會設定 IIS，讓使用者在使用者提供有效的認證時連線到網站。 其次，它允許成功連線到該網站中設定任何委派功能的使用者。

Edward 也想要委派一些功能設定，他信任由月台擁有者在其自己的網站中設定。 這樣就不需要網站擁有者要求Edward設定依網站而異的功能，例如預設檔。 他決定委派伺服器上所有網站中下列功能的設定：預設檔、目錄瀏覽和錯誤頁面。 此外，Edward 決定將其他功能的設定 HTTP 重新導向委派給 Contoso 網站，因為他知道網站通常需要重新導向並信任網站擁有者來設定這些設定。 他會將所有其他功能設定為唯讀，讓網站擁有者可以在其網站中看到設定，但無法加以設定。

朱利安和凱薩琳是愛德華計算機上 Contoso 網站的網站擁有者。 Julian 有 Windows 用戶帳戶，Catherine 有一個 IIS 管理員用戶帳戶，愛德華已提供她的認證。 他們可以在自己的計算機上開啟 IIS 管理員，並連線到 Contoso，因為 Edward 已允許其帳戶設定 Contoso 網站。 他們都會看到已委派給網站層級的所有功能。 他們可以設定預設檔、目錄瀏覽、錯誤頁面和 HTTP 重新導向，因為 Edward 會將這些設定的設定委派給其月臺。

必要條件

必須安裝下列專案，才能完成本文中的程式：

• Windows Server 2008 上的 IIS 7.0 或 Windows Server® 2008 R2 上的 IIS 7.5
• IIS 經理

在 IIS 管理員中設定遠端連線

在 IIS 中，IIS 管理員可讓您輕鬆地執行遠端管理。 除了管理本機電腦上的 IIS 之外，IIS 管理員還可以管理遠端伺服器、網站和應用程式。 伺服器管理員會使用遠端管理功能來新增 IIS 管理員使用者帳戶，並允許這些使用者連線到他們擁有許可權的任何網站或應用程式。

設定遠端管理牽涉到在 IIS 管理員中啟用遠端連線，以及設定連線到伺服器所需的認證類型。 您可以選擇性地變更預設連線和記錄設定，並根據IP位址或功能變數名稱新增連線限制。

安裝管理服務

默認 IIS 安裝選項不包含管理服務（也稱為 Web 管理服務 （WMSVC）），這是遠端管理的必要專案。 如果您尚未安裝管理服務，請遵循此程式中的步驟進行安裝。

若要安裝管理服務：

1. 按兩下 [開始]，在 [搜尋] 方塊中輸入 伺服器管理員，然後按 ENTER 以開啟 伺服器管理員。
2. 在樹狀結構中，於 [角色] 底下，選取 [Web 伺服器][IIS]。
3. 按兩下 [ 新增角色服務]，然後選取 [管理服務 ]，如下圖所示。
4. 按 [下一步 ]，並依照指示完成安裝。

啟用遠端連線並設定身分識別認證

啟用遠端連線，讓 Windows 使用者和 IIS 管理員使用者（本文稍後設定）可以使用電腦上的 IIS 管理員連線到這部電腦。 根據預設，管理服務只允許來自具有 Windows 認證的用戶連線，但您可以將它設定為允許來自具有 IIS 管理員認證的用戶連線。 針對本文的目的，請設定管理服務以允許這兩種認證類型，如下圖所示。

注意

本文中的下一節說明 IIS 管理員認證。

若要啟用遠端連線並允許來自 Windows 使用者和 IIS 管理員使用者的連線：

1. 在 [IIS 管理員] 的 [連線] 窗格中，按兩下樹狀結構中的伺服器節點。
2. 按兩下 [管理服務] 以開啟 [管理服務] 功能頁面。
3. 選取 [ 啟用遠端連線 ] 複選框。
4. 在 [身分識別認證] 下，選取 [Windows 認證] 或 [IIS 管理員認證]。
5. 在 [動作] 窗格中，按兩下 [套用] 以儲存變更，然後按兩下 [開始] 以啟動管理服務。
   

其他資訊

您不需要啟用遠端連線，即可啟動管理服務。 如果已停用遠端連線並啟動管理服務，您可以從本機計算機連線到管理服務，但無法從遠端電腦連線。 如果您無法從遠端電腦連線，請確定已啟用遠端連線。

您應該檢查防火牆設定，以確保允許與管理服務的連線。 安裝管理服務時，安裝程式會新增防火牆規則，以允許流量在埠 8172 上傳送至管理服務的流量，預設為開啟。 如果您曾經變更管理服務使用的埠，您必須新增防火牆規則，以允許該埠上的 Management Service 流量。

設定管理服務的連線和記錄設定

除了在上一節中設定的管理服務設定之外，您還可以設定連線設定，並指定記錄要求的位置。 下表描述每個欄位及其預設設定。 如果您變更任何設定，請務必按兩下 [動作] 窗格中的 [套用]，然後重新啟動管理服務。

屬性	說明	預設設定
IP 位址	指定服務所系結的IP位址。	所有未指派
連接埠	指定服務用於要求的埠號碼。	8172
SSL 憑證	指定服務所使用的 SSL 憑證。 服務的所有要求都會透過 [埠] 字段中指定的埠使用 HTTPS。 此清單包含伺服器可用的 SSL 憑證。 如果您想要新增其他 SSL 憑證，請使用 伺服器層級的伺服器憑證 功能。	安裝期間安裝的自我簽署憑證
將要求記錄至	指定管理服務記錄檔的路徑。	%SystemDrive%\Inetpub\logs\WMSVC

設定管理服務的IP和網域限制

根據預設，管理服務會接受對其已設定IP位址和埠所做的所有要求，而且使用者可以在新增至IIS管理員時連線（如下一節所述）。 不過，您可以設定服務來拒絕未指定要求的存取權，並改為新增特定的允許規則，以便只接受來自特定IP位址或網域的要求。 如需允許或拒絕來自IP位址或網域之要求的詳細資訊，請參閱 Microsoft在 TechNet 上設定遠端管理下的程式。

設定 IIS 管理員的用戶和許可權

當您在上一節中設定管理服務時，您已選取 [Windows 認證] 或 [IIS 管理員認證 ] 選項。 此選項可讓具有 Windows 使用者帳戶或 IIS 管理員使用者帳戶的使用者使用 IIS 管理員連線到遠端電腦上的網站或應用程式。 這兩種類型的用戶必須在遠端連線時提供有效的認證（使用者名稱和密碼組）。 如果計算機是網域的成員，Windows 使用者就必須為遠端電腦上的用戶帳戶或網域中的用戶帳戶提供有效的 Windows 認證。 IIS 管理員用戶必須提供有效的 IIS 管理員認證，這些認證是由遠端電腦上的伺服器管理員在 IIS 管理員中設定。 在這兩種情況下，使用者都能夠使用 IIS 管理員連線到伺服器管理員已授與使用者許可權的網站或應用程式。

新增 IIS 管理員使用者

下列程序說明如何開啟 IIS 管理員使用者功能並新增使用者。 當 [IIS 管理員使用者] 功能頁面開啟時，清單會顯示每個 IIS 管理員用戶名稱，以及帳戶已啟用或停用。 只允許啟用的帳戶連線到已授與許可權的網站或應用程式。

若要新增 IIS 管理員使用者：

1. 在 [IIS 管理員] 的 [ 連線 ] 窗格中，按兩下樹狀結構中的伺服器節點。
2. 在伺服器首頁上，按兩下 [IIS 管理員使用者]。
   
3. 在 [IIS 管理員使用者] 頁面上的 [動作] 窗格中，按兩下 [新增使用者]。
4. 在 [ 用戶 名稱] 方塊中，輸入用戶名稱。
5. 在 [ 密碼 ] 方塊中，輸入密碼，然後在 [ 確認 密碼] 方塊中重新輸入密碼。
6. 按一下 [確定]。
   

設定網站或應用程式的 IIS 管理員許可權

為了讓使用者從遠端連線到伺服器上的網站或應用程式，伺服器管理員必須授與月臺或應用程式的許可權。 授與許可權之後，他們可以使用 IIS 管理員，使用其 Windows 認證（如果是 Windows 使用者）或其 IIS 管理員使用者認證來連線到網站或應用程式（如果他們是 IIS 管理員使用者）。

若要允許 IIS 管理員使用者連線到網站或應用程式：

1. 在 [IIS 管理員] 的 [ 連線 ] 窗格中，選取您要設定許可權的網站或應用程式。
2. 在網站或應用程式的首頁上，按兩下 [IIS 管理員許可權]。
   
3. 在 [ IIS 管理員許可權] 頁面上的 [動作] 窗格中，按兩下 [ 允許使用者]。
4. 在 [ 允許使用者 ] 對話框中，選取 [IIS 管理員 ]，然後按兩下 [ 選取]。
   
5. 在 [ 使用者 ] 對話框中，從清單中選取一或多個 IIS 管理員使用者，然後按兩下 [ 確定]。
   
6. 按兩下 [ 確定 ] 以關閉 [ 允許使用者] 對話框。

若要允許 Windows 使用者連線到網站或應用程式：

1. 在 [ IIS 管理員許可權] 頁面上的 [動作] 窗格中，按兩下 [ 允許使用者]。
2. 在 [ 允許使用者 ] 對話框中，選取 [Windows ]，然後按兩下 [ 選取]。
3. 在 [ 選取使用者或群組 ] 對話框中，輸入使用者名稱或搜尋使用者帳戶，然後按兩下 [ 確定]。
   
4. 按兩下 [ 確定 ] 以關閉 [ 允許使用者] 對話框。

設定內容目錄 存取控制 清單 （ACL）

為了讓 IIS 管理員在用戶連線到網站或應用程式時正確運作，必須針對網站或應用程式的實體目錄正確設定 ACL。 針對 Windows 使用者，您必須為需要存取目錄和檔案的每個 Windows 使用者或群組設定目錄和檔案 ACL。 針對 IIS 管理員使用者，您必須為 WMSVC 使用者設定目錄和檔案 ACL（NT Service\WMSVC 預設）。

針對網站或應用程式的實體目錄，請設定WMSVC使用者的讀取、寫入和執行許可權（如果您允許IIS管理員用戶連線），以及任何需要連線至該網站或應用程式的 Windows 使用者。

如果網站或應用程式的實體目錄位於不同的計算機上（也就是 UNC 共用上），則您必須將 WMSVC 設定為具有該 UNC 共用上內容的讀取、寫入和執行許可權的使用者（預設使用者 NT Service\WMSVC 無法存取不同電腦上的專案）。

線上到 IIS 管理員中的網站或應用程式

設定管理服務並設定使用者和許可權之後，用戶可以連線到他或她的網站或應用程式。

線上到網站或應用程式

1. 在 IIS 管理員中，按兩下 [ 檔案 ]，然後按兩下 [ 連線到月臺]（或 [連接到應用程式]。
2. 在 [連接到網站或連線到應用程式精靈] 上，輸入您要連線的伺服器名稱和月臺名稱。 如果您要連線到應用程式，也請輸入應用程式名稱。 然後按一下 [下一步]。
   
3. 在 [連接到網站或連線到應用程式精靈] 的 [提供認證] 頁面上，選取您是否要使用目前的認證，或指定要連線至網站的認證。 當您指定認證時，除非您選取 [ 使用 IIS 管理員認證] 複選框，否則預設值為 Windows 認證 。 指定認證之後，按 [下一步 ] 以聯機到伺服器。
   
4. 如果連線成功，IIS 管理員會在 [ 連線到月 臺] 或 [連線到應用程式 ] 精靈上顯示最後一頁，以命名連線。 如下圖所示，TestAdmin 使用者已建立與 Contoso.com 網站的網站連線。
   

其他資訊

在下一節中，我們將探討功能委派。 不過，在我們這麼做之前，為了更進一個說明功能委派及其用途，我們會查看我們剛剛連線的網站其中一個功能。 網站應該反白顯示，而且應該顯示網站首頁。 在首頁上，按兩下 [ 錯誤頁面]。

如下圖所示，頁面右側有一個警示，指出「此功能已鎖定且只讀」。當功能已鎖定時，會顯示此警示;下一節將詳細說明功能委派和鎖定。

在 IIS 管理員中委派功能

[功能委派] 功能頁面可讓伺服器管理員設定 IIS 管理員中網站和應用程式層級 Web.config 檔案中可設定之功能的委派狀態。 他或她可能會想要將特定功能的設定，例如默認文件和目錄流覽委派給個別網站擁有者，讓擁有者可以在其網站中設定這些委派功能。

或者，伺服器管理員可能會將功能委派為只讀，讓月台擁有者可以檢視功能的組態，但無法變更設定。 伺服器管理員甚至可以防止功能出現在月臺和應用程式層級的 IIS 管理員中。

有數個不同的委派狀態，每個狀態都會決定功能是否委派給組態系統中較低層級，以及當使用者在較低層級連線時，此功能是否會在 IIS 管理員中顯示。 下表描述每個委派狀態。

委派類型	描述
未委派	設定已鎖定，且 Web.config 檔案中功能的任何組態都會導致運行時錯誤。 當使用者在設定此狀態的層級連線時，在 IIS 管理員中看不到或可設定此功能。 例如，如果功能設定為 未在月臺層級委派 ，則連線至該網站中應用程式的使用者將不會看到此功能，而且無法在 IIS 管理員中設定此功能。
唯讀	設定已鎖定，且 Web.config 檔案中功能的任何組態都會導致運行時錯誤。 當用戶連線到較低層級時，IIS 管理員會顯示此功能，但設定已鎖定，因此無法進行變更。
讀取/寫入	此功能可以在 Web.config 中設定。此功能會出現在 IIS 管理員中，且可在用戶連線到較低層級時設定（網站或應用層級）。
設定唯讀	其意義與 只讀相同;不過，IIS 外部儲存和管理的功能有設定或數據，例如在資料庫中。
組態讀取/寫入	其意義與 讀取/寫入相同;不過，IIS 外部儲存和管理的功能有設定或數據，例如在資料庫中。

注意

伺服器管理員可以修改所有功能的組態，因此如果它們已連線到伺服器，即使功能已設定為未在較低層級顯示，仍會看到所有層級的所有功能。

設定 IIS 管理員中功能的預設委派狀態

當您第一次開啟 功能委派 功能頁面時，您可以在 IIS 管理員中設定功能的預設委派狀態。 這些委派狀態是 IIS 管理員針對伺服器上所有月臺和應用程式所使用的預設設定。

若要為 IIS 管理員中的功能設定預設委派狀態

1. 在 [IIS 管理員] 的 [ 連線 ] 窗格中，按兩下樹狀結構中的伺服器節點。
2. 在伺服器首頁上，按兩下 [功能委派]。
3. 從 [群組依據] 列表中選取 [委派]，依其目前委派狀態來組織功能清單。
   
4. 在 [功能委派] 列表中選取 [錯誤頁面]，然後檢閱 [動作] 窗格中可用的委派狀態。 已選取 [錯誤頁面] 功能，且 [設定功能委派] 底下的可用選項為 [讀取/寫入]、[移除委派] 和 [重設為繼承]。
   
5. 選取 [錯誤頁面]。在 [動作] 窗格中，按兩下 [讀取/寫入] 以解除鎖定與 [錯誤頁面] 功能相關的組態區段。 這可讓功能在 Web.config 檔案和 IIS 管理員的月臺和應用程式層級進行設定。

其他資訊

IIS 組態檔的下列摘錄顯示每個位置都可以覆寫這些值（也稱為「路徑」）：

<location path="" overrideMode="Allow">
    <system.webServer>
        <httpErrors>
            ...
            ...
        </httpErrors>
    </system.webServer>
</location>

若要進一步示範此動作的作用，請參閱 網站層級的錯誤頁面 功能。 在 [ 連線] 窗格中，連接到網站，然後按兩下 網站首頁上的 [錯誤頁面 ]。 如下圖所示， 用戶現在可以設定 [錯誤頁面 ] 功能來連線到網站層級。

為網站或應用程式中的功能設定自定義委派狀態

上述步驟會設定 伺服器上所有站台中錯誤頁面 功能的預設委派狀態。 您可能也不希望您設定為適用於所有網站的委派狀態。 在此情況下，您可以設定特定網站的自定義委派狀態。 您也可以將所有功能的自定義委派狀態從一個月臺複製到另一個月臺。

若要為特定網站中的功能設定自定義委派狀態

1. 在 [IIS 管理員] 中，按兩下 [功能委派]。
2. 在 [ 功能委派 ] 頁面上的 [動作] 窗格中，按兩下 [ 自訂網站委派]。
3. 從 [ 網站] 清單中，選取您要設定自定義委派設定的網站。
   
4. 選取功能，然後按兩下 [動作] 窗格中的委派狀態。

將自訂委派狀態從一個月臺複製到另一個月臺

1. 在 [ 自定義網站委派 ] 頁面上的 [網站 ] 清單中，選取您要從中將委派複製到另一個網站的網站。
2. 按兩下 [ 複製委派]。
3. 在 [ 複製委派 ] 對話框中，選取您要複製委派狀態的網站或網站，然後按兩下 [ 確定]。

重設功能委派狀態

有一段時間可能需要復原已對委派功能狀態所做的變更。 也許這些變更是意外地對特定網站或應用程式進行的，或者某些與此功能的「實驗」已發生錯誤。 在此情況下，請將所有功能的委派狀態重設為其默認狀態。 或者，只重設一個功能回到其默認狀態。

重設功能委派狀態

1. 開啟 [ 功能委派 ] 功能頁面。
2. 若要重設所有功能委派狀態，請在 [ 動作] 窗格中，按兩下 [ 重設所有委派]。

若要重設特定功能的委派狀態，請選取清單中的功能，然後在 [動作] 窗格中，按兩下 [重設為繼承]。