windows组建没有iis,IIS组建Intranet完全手册[转贴]

IIS组建Intranet完全手册[转贴] - 故障解答 - 电脑教程网

IIS组建Intranet完全手册[转贴]

日期:2006-06-24   荐:
现在大部分主机都是这样配置的,整理下方便以后用。
一、基于服务器的准备 
  1、WIN NT安装目录:C:\WINNT文件夹中; 
  2、“服务器类型”:“主域控制器”; 
  3、计算机名:“Heatch”; 
  4、域名:“LANhome”。  
上述两项可通过“控制面板”/“网络”/“标识”项的“更改”来重新指定。
  5、在“控制面板”/“网络”/“服务”中已安装“Microsoft DNS服务器”; 在“控制面板”/“网络”的网络协议列表中双击“TCP/IP通讯协议”进入TCP/IP属性设置对话框。单击“DNS”标签,主机名是Heatch——若在这里输入的是另一个名称,系统则会出现一个关于局域网的主机名与 Internet 所用的主机名不同的提示——在“域”中键入域名com,在“DNS服务器搜索顺序”中添加主机 Heatch 的 IP 地址,199.168.1.1;然后单击“IP地址”标签进入下一步:
  6、在“控制面板”/“网络”/“协议”中已安装“TCP/IP协议”;在“IP地址”对话框中选择“指定IP地址”,在IP地址栏键入199.168.1.1,按TAB键跳转,系统自动给出子网掩码255.255.0.0。单击“高级”按钮,进入“高级IP寻址”对话框,在“IP地址”栏中单击“添加”按钮,依次加入WWW、FTP主机的IP地址:   199.168.1.10   255.255.0.0   WWW 199.168.1.11   255.255.0.0   FTP中   然后单击“确定”按钮、单击“WINS地址”标签进入下一步:
  7、在“控制面板”/“网络”/“服务”中已安装“Microsoft WINS服务器”;   在“主WINS服务器”栏中键入 Heatch 的IP地址199.168.1.1。   若是第一次安装或做了修改,确认后,系统会提示重新启动。

二、IIS 管理器的配置、应用  
  1、安装 IIS : IIS可以在安装NT Server 4.0的同时选择“安装 Microsof Internet Information Server”复选项进行安装,也可以在安装NT Server 4 .0后再进行安装。在安装IIS之前,系统必须已经安装TCP/IP协议。 下面说明如何在 Windows NT 环境安装 IIS 服务:依次选取“开始”/“设置” /“控制面板”/“网络”/“服务”/“添加”, 从“网络服务”列表中,选择“ Microsoft Internet Information Server”,然后单击“确定”按钮,就可以进 行IIS的安装。 选择Internet 服务管理器、WWW、FTP 服务、ODBC 启动程序和管 理等四项。默认的安装文件夹是C:\Winnt\System32\Inetsrv;默认的服务文件夹为C:\InetPub\Wwwroot和C:\InetPub\Ftproot。也可以直接在 Windows NT安装光盘的 \i386\InetSrv子目录下,直接运行安装程序Inetsetup.EXE。
  
  2、配置DNS域名服务器: 依次选取“开始”/“程序”/“管理工具(公用)”/“DNS管理器”,出现“域名服务管理器”主窗口,服务器清单中已经列出了主机名为Heeatch的服务器,单击右键,在弹出菜单中选择“新建区域”,在对话框中依次选择“主要”/“下一步”,在“为 Heatch 创建新区域”对话框中的“区域名”一项输入com,按TAB键跳转到“区域文件”一项时系统会自动给出com. dns文件名。确定后可以看见“域名服务管理器”主窗口的右边已经列出新建区域Heatch 属性值。   选择com,单击右键,在弹出菜单中选择“新建域”,在对话框中输入 lanhome,建立 com 下的 lanhome 域。选取 Heatch 域,单击右键,在弹出菜单中选择“新建主机”,在“新建主机”对话框中输入主机名 WWW和主机的IP地址199.168.1.10;确定后输入主机名 FTP 和主机的IP地址199.168.1.11。确定后关闭,www.lanhome.com、ftp.lanhome.com建立完成。   验证:打开浏览器,在地址栏中输入www.lanhome.com,是不是出现一个有关IIS的页面?  


  3、配置WWW服务器:我们在C:\InetPub\wwwroot文件夹中建立了一个lanhome文件夹,并将本网站的所有页面复制到了其中(在后面的叙述中,这个文件夹还是我们 FrontPage 98网站的目录),在这里,我们把它作为WWW服务器的主目录。依次选取“开始”/“程序”/“管理工具(公用)”/“Internet服务管理器”命令,出现一个“Microsoft Internet Service Manager”窗口,其中列出了当前正在进行的 Internet 服务。双击“WWW”服务,进入“ Web_Server 的 WWW 服务属性”窗口。在属性对话框中选择“目录”标签,单击 “添加”按钮,在“目录属性”对话框中单击“浏览”按钮,找到或直接输入C: \InetPub\wwwroot\lanhome,选择“主目录”项,选中“虚拟服务器”项,在下面的IP地址栏中输入WWW服务器的IP地址199.168.1.10,同时选中“访问”栏中的“读取”和“执行”两项。确认后回到“目录”对话框,可以看见“启用默认文档”一栏中是 default.htm(可以改为自己需要的默认文档名),一般不选取“
允许目录浏览”。验证:打开浏览器,在地址栏中输入www.lanhome.com, 是不是出现一个“蓝网之家”的主页面?  

  4、配置FTP服务器: 我们在C:\InetPub\ftproot文件夹中建立了一个public_html文件夹,用于用户上传个人主页。 依次选取“开始”/“程序”/“管理工具(公用)”/“Internet服务管理器”命令,出现一个“Microsoft Internet Service Manager”窗口,其中列出了当前正在进行的 Internet 服务。 双击“FTP”服务,进入“Web_Server 的 FTP 服务属性”窗口。在“目录”中添加 C:\InetPub\ftproot\public_html,并选取宿主目录,在“访问”栏中选择“可写”;切换到“信息”标签,在“欢迎信息”和“退出消息”栏中分别输入进入FTP时欢迎辞和退出FTP时告别语;在“服务”选项卡中还可以指定匿名用户名和口令。 验证:在MS-DOS
方式下输入:ftp ftp.lanhome.com,接下来系统要求提供用户名和口令,系统默认的用户名是anonymous,口令是电子邮件地址。如果一切正确,则可以看见刚才输入的欢迎词辞了。有关FTP服务器的配置信息,请参阅《FrontPage 98网站FTP到NT服务器》一文。

三、FrontPage 98 网站的上传    在《FrontPage 98网站FTP到NT服务器》一文里主要讲了在 IIS 中设置 FTP 服务器及在 FrontPage 如何上传的方法,在这里,我们除对其做出补充外,还将介绍如何通过 AceFTP 来上传主页。首先,必须为每个用户创建一个帐号,并设定密码,以供他们上传、更新自己的个人主页。步骤如下: 依次选取“开始”/“程序”/“管理工具(公用)”/“ 域用户管理器”,在“域用户管理器”中创建一个新用户,在这里除按常规要输入用户名和密码外,不能忽略的是必须给该帐号以拨入权限而不仅限于普及的访问权限——单击“拨入”按钮,进入“拨入信息”对话框,选取“给予用户拨入权限”。本例中用户名为 heatch ,密码为空,允许拨入权限。 关于通过AceFTP 上传个人主页到服务器的方法,具体可以参阅《》一文,但在这里要补充的是,由于 FrontPage 在建立和管理网站时会产生一些自身使用的系统文件夹,里面保存着页面更新消息,而其实际在发布时并不需要,所以,不能简单地直接将 FrontPage 编辑目录中的所有文件上传到服务器上——因为那些系统文件夹并不可见,所以,可以先在 MS-DOS 方式下,用 XCOPY /S 命令将 FrontPage 网站复制到另一目录,再行上传。在本例中,我们为 Heatch 在 Public_html 中创建了一个文件夹 Heatch ,并上传其 FrontPage 网站的页面到该目录中。FTP目录准备就绪,接下来讲讲在WWW服务器中对其进行配置。进入“Internet服务管理器”,双击“ WWW 服务 ”选取“目录”标签,单击“添加”,浏览或直接输入C:\InetPub\ftproot\public_html\heatch文件夹,接下来选取“虚拟目录” 项,在“别名”栏中输入“/~heatch”,设为可执行,确认后退出。验证:打开浏览器,在地址栏中输入www.lanhome.com/~heatch,是不是出现了一个富有个人特色的新页面,是不是跟俺自己的个人主页地址一模一样:http://go.163.com/~lanhome?那么,这里的 best.163.com 中的 best 是如何来的呢?我们如何配置它呢?方法很简单,在 DNS 中添加一个服务器即可。 进入“域名服务管理器”,选取 lanhome.com ,右键单击,在弹出菜单中选择“新建主面”,在主机名一栏输入 heatch ,IP地址为199.168.1.12;进入“Internet 服务管理器”,双击“ WWW 服务 ”选取“目录”标签,双击我们在上面建
立的 C:\InetPub\ftproot\public_html\heatch项,但现在要将它设置为主目录,接下来激活“虚拟服务器”选项,在下面的IP地址栏中输入 199.168.1.12 即可。 验证:打开浏览器,在地址栏中输入heatch.lanhome.com,看看,是不是感觉又很不一样?FrontPage 98网站FTP到NT服务器 在《个人电脑也能用上ASP》一文里我们讲的是单机环境上如何用PWS 4.0创建个人网站,如果是配合的FrontPage 98,则在发布(Publish)时是传送到本机上Inetpub目录的wwwroot子目录中的,网站名称默认是copy_of_webname(这里的Webname是在您在第一次运行FrontPage创建网站时输入的目录名)。因此,对于单机来说,Publish没有什么特别要求或难点。但对于一个中、小型的公司来讲,如果需要每个用户将自己负责的部门或小组的网页上传到服务器上,则需要一些烦琐的手续了。我们经过多次实验,成功地实现利用FrontPage 98的FTP功能将Windows 98 工作站上的网页Publish到装有IIS的服务器上。总结如下(本文以Windows NT Server 4.0 自身提供的 IIS 2.0 为例):
   大致步骤如下:
一、准备FTP服务及登录用户
二、设置FTP服务
三、传送
  
一、准备工作  
1、如果尚未安装IIS(Microsoft Internet Information Server 2.0),则应先安装,安装路径为NT光盘I386目录下的InetSrv子目录,安装程序为Inetsetup.EXE。注意:如果不需要Gopher服务,可取消其复选框;如果系统已安装SQL等ODBC驱动程序,则也应将取消,否则会因版本冲突而在启动时出错;另外,在安装过程中,还会有一个是否允许Guest用户访问FTP服务的对话框,选择“否”对后结续过程并无大的影响。安装成功,会在启动菜单的“程序”出现“Microsoft Internet Server(公用)”组,其中的“Internet 服务管理器”将在下面的讲解中处于重要地位。  

2、如果尚未为工作站用户配置帐号,则应到“开始”/“程序”/“管理工具(公用)”/“域用户管理器”中去
添加,对FTP用户来说,只要是域用户(即Domain Users)即可。  

3、本文中
示例说明:
服务器计算机名称:Web_Server 
IIS 目录路径:D:\Inetpub    
用户 FTP 目录路径:D:\Inetpub\wwwroot\lanhome  
FTP 用户名:Heatch  
Windows 98 工作站计算机名称:Heatch  
PWS 4.0 目录路径:C:\Inetpub  
FrontPage 98 网站目录路径:C:\Inetpub\wwwroot\lanhome
  
二、配置FTP服务  
1、选取“开始”/“程序”/“Microsoft Internet Server(公用)”/“Internet 服务管理器”,出现一个“Microsoft Internet Service Manager”窗口,其中列出了当前正在进行的 Internet 服务。  
2、双击“FTP”服务,进入“Web_Server 的 FTP 服务属性”窗口。  
(1)首先是“服务”页框 TCP 端口 确认当前运行的 FTP 服务的端口。采用默认端口 21。连接超时值 以秒为单位设置服务器在等待一定的时间后断开与非活动用户的连接。其范围可在100到32,767 秒之间,作用是如果 FTP 协议不能关闭连接时,在此时间后系统会自动关闭所有连接。默认值为900秒。允许匿名连接和仅允许匿名连接 此两项最为重要。前者设置所有匿名连接权限所使用的 Windows NT 用户帐号。只要安装了 IIS 中的 FTP 服务系统就会自动在Windows NT 的"域用户管理器"和"Internet 服务管理器"中创建一个 IUSR_Web_Server 帐号(这里的 Web_Server 是计算机名称),要注意的是在安装后必须
指定密码并将两个地方的密码设为一致。默认情况下,IIS为所有匿名登录创建并使用 IUSR_Web_Server 帐号。但是,你不能用这个用户名和密码在Windows 98工作站上来登录并访问 FTP 服务,因为它只用于 Windows NT ,而且该用户还应该有“本地登录”权力。一般说来,匿名 FTP 用户可以使用“anonymous”作为用户名,以电子邮件地址为密码来登录(这跟AceFTP程序中采用的默认用户ID一样
)。仅允许匿名登录的作用是防止使用有管理权限的帐号进行访问,选取此项后,即使是Administrator帐号也不能登录,FTP只能通过登录服务器进行“本地访问”来管理。因此,对于内部网来说,可以取消“仅允许匿名连接”框 (2)“目录”页框   选取“添加”按钮,出现“目录属性”窗口;单击“浏览”按钮,在“选定目录”窗口确定 FTP 服务要使用的目录路径,在本例中为D:\Inetpub\wwwroot\lanhome(注意,这里的lanhome是在wwwroot目录中新的子目录);选取“访问”方式的“可写”,单击“确定”返回;在“目录属性”
窗口,选取“虚拟目录”单选按钮,在“别名”一栏输入“lanhome”(这样做的目的有两个,一是在 FTP 时仅指明lanhome即可而不必管其是位于哪个磁盘哪个目录;二则可以防止恶意者循原目录入侵);对于目录列表样式一项,由于大多数浏览器接受 UNIX 格式,所以为了最大的兼容性应选择 UNIX格式。   其它
的采用默认值即可。
三、传送  
这里假定我们已经将网页做好,需要上传到服务器以测试效果或供他人浏览。  
(1)首先,在“FrontPage Explorer”的“File”菜单里
选择“Publish FrontPage Web”或“Publish”图标;  
(2)在“Publish FrontPage Web”窗口,系统在将要传送的Web地址一栏里取的默认值是http://hea
tch/copy_of_lanhome(与我们文章开头提到的本地单机上一样),重新输入http://Web_Server,并单击“确定”;  
(3)在“Microsoft Web Publish Wiza
d”窗口,分别在FTP服务器名称和目录路径分别输入:Web_Server和 lanhome 。单击“下一步”;   (4)接下来输入登录到该服务器的帐号和密码:heatch。单击“完成”;  
(5)系统以你提供的帐号和密码(此项一定不能空)在网络上搜索你提供的FTP服务器并试图登录;若一切正常,系统将开始将对两地的目录进行列表和转换(如果在 Windows 98 工作站上你是用的 PWS 4.0 提供的 FrontPage Server Extensions 而不是 FrontPage 98 本身的PWS,则如果你在网页使用了 FrontPage Active elements——如搜索表单、讨论表单等活动元件,系统会将使用了此类元件的网页列表出来,并警告说 IIS 中这些元件将无法使用);
(6)如果登录成功,系统就开始传送,并给出一个动态的过程,显示共有多少个文件需要上传,正在传送的文件名,尚有多少个未上传以及还需要多少时间。  
(7)现在,我们在工作站上启动IE,在地址栏输入http://web_server/lanhome,怎么样,是不是这样也建成了一个WEB服务器?!

不断有收到读者和网友的来信询问如何在建立内部的电子邮件系统、如何在局域网中发布主页,以及是否可以在局域网中利用AceFTP、CuteFTP来上传个人主页到单位的 Intranet 服务器等问题。对于建立内部电子邮件系统这个问题,大家可以参见本站的《利用MS 电子邮局建立简易邮件系统》一文,我们在这里将连续讲解如何通过 IIS 来建立一个 Intranet ,主要是 WWW、FTP服务器的建立及DNS、DHCP服务器、WINS服务器的建立,同时说明在局域中如何实现将 FrontPage 98网站传送到服务器,包括 FrontPage 98 内建的程序和第三方的 AceFTP、CuteFTP 等。
   大致步骤如下:
   一、服务器的准备、必备协议及服务的安装、设置
   二、IIS管理器的配置、应用
   三、FrontPage 98 网站的上传
   注:本文严格按照实验记录整理,请朋友们在参照本文设置时对一些涉及名称、目录的地方注意换成您系统原有的东西。




IIS常见问题和错误及其解决方案

我在CSDN论坛IIS版面中经常看到大家问一些相同的或者以前已经多次解答的问题。所以,我将这些问题整理了一些出来供大家参考。

    Q:为什么我的ASP页面到windows2003后就不能执行了,执行ASPX正常。
  A:windows2003中默认没有启用ASP支持,在IIS的Web Service Extensions里找到Active Server Pages,将ALLOW选上,就可以了。

  Q:我的IIS只要asp文件有错,就显示HTTP500错误,但是却不显示出错的详细信息。以前能够显示究竟是那个文件的那一行出错,但现在却不显示。
  A:在IE的Internet选项中选高级,选中“显示友好的HTTP错误”即可。

  Q:在Windows XP家庭版如何安装IIS?
  A:windows XP家庭版不能安装IIS,请升级到专业版。

  Q:为何我访问本机地址要求输入用户和密码?
  A:将IIS设置中匿名帐号权限打开。再则检查所在目录的NTFS权限。

  Q:我的ASP文件包含文件的时候提示Active Server Pages 错误 'ASP 0131'不允许的父路径,如何解决?
  A:在站点属性中选择主目录-配置-应用程序选项,将“启用父目录”选上。

  Q:为何我的IIS老是当机?
  A:1、检查你设置的脚本超时时间,不能过长。2、检查你的程序是否有对象和连接没有关闭。3、依次停止各个用户的服务,看看是不是有耗大资源的用户程序。

  Q:win200 server iis,为什么在网页上,有的中文htm链接路径可以显示,有的不行?
  A:'转换双字节字符为合法的URL传输字串
  function getUrlEncodel(byVal Url)
   Dim i,code
   getUrlEncodel=""
   if trim(Url)="" then exit function
   for i=1 to len(Url)
   code=Asc(mid(Url,i,1))
  If code<0 Then code = code 65536
     If code>255 Then
   getUrlEncodel=getUrlEncodel&"%"&Left(Hex(Code),2)&"%"&Right(Hex(Code),2)
  else
   getUrlEncodel=getUrlEncodel&mid(Url,i,1)
  end if
   next
  end function

  Q:IIS 所有的exe文件从上面的目录都不能下载,显示404 文件找不到 是什么原因?还是哪里设置错误?
  A:设置一下http头--MIME类型,新建一个类型扩展名为EXE,类型为:application/octet-stream

  Q:在管理工具中找不到IIS了。
  A:在C:\WINDOWS\system32\inetsrv中找到快捷方式重新建立。

  Q:IIS无法支持ASP了,重启N次都不行。
  A:在应用程序程序配置中检查.asp文件是不是已经映射到C:\WINDOWS\system32\inetsrv\asp.dll。若无,则添加。


用IIS建立高安全性Web服务器

因为IIS(即Internet Information Server)的方便性和易用性,使它成为最受欢迎的Web服务器软件之一。但是,IIS的安全性却一直令人担忧。如何利用IIS建立一个安全的Web服务器,是很多人关心的话题。

构造一个安全系统

要创建一个安全可靠的Web服务器,必须要实现Windows 2000和IIS的双重安全,因为IIS的用户同时也是Windows 2000的用户,并且IIS目录的权限依赖Windows的NTFS文件系统的权限控制,所以保护IIS安全的第一步就是确保Windows 2000操作系统的安全:

1. 使用NTFS文件系统,以便对文件和目录进行管理。

2. 关闭默认共享

打开注册表编辑器,展开“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters”项,添加键值AutoShareServer,类型为REG_DWORD,值为0。 这样就可以彻底关闭“默认共享”。

3. 修改共享权限

建立新的共享后立即修改Everyone的缺省权限,不让Web服务器访问者得到不必要的权限。



4. 为系统管理员账号更名,避免非法用户攻击。

鼠标右击[我的电脑]→[管理]→启动“计算机管理”程序,在“本地用户和组”中,鼠标右击“管理员账号(Administrator)”→选择“重命名”,将管理员账号修改为一个很普通的用户名。

5. 禁用TCP/IP 上的NetBIOS

鼠标右击桌面上[网络邻居] →[属性] →[本地连接] →[属性],打开“本地连接属性”对话框。选择[Internet协议(TCP/IP)]→[属性]→[高级]→[WINS],选中下侧的“禁用TCP/IP上的NetBIOS”一项即可解除TCP/IP上的NetBIOS。

6. TCP/IP上对进站连接进行控制

鼠标右击桌面上[网络邻居] →[属性] →[本地连接] →[属性],打开“本地连接属性”对话框。选择[Internet协议(TCP/IP)]→[属性]→[高级]→[选项], 在列表中单击选中“TCP/IP筛选”选项。单击[属性]按钮,选择“只允许”,再单击[添加]按钮,只填入80端口。

7. 修改注册表,减小拒绝服务攻击的风险。

打开注册表:将HKLM\System\

CurrentControlSet\Services\Tcpip\Parameters下的SynAttackProtect的值修改为2,使连接对超时的响应更快。

保证IIS自身的安全性

IIS安全安装

要构建一个安全的IIS服务器,必须从安装时就充分考虑安全问题。

1. 不要将IIS安装在系统分区上。

2. 修改IIS的安装默认路径。

3. 打上Windows和IIS的最新补丁。

IIS的安全配置

1. 删除不必要的虚拟目录

IIS安装完成后在wwwroot下默认生成了一些目录,包括IISHelp、IISAdmin、IISSamples、MSADC等,这些目录都没有什么实际的作用,可直接删除。

2. 删除危险的IIS组件

默认安装后的有些IIS组件可能会造成安全威胁,例如 Internet服务管理器(HTML)、SMTP Service和NNTP Service、样本页面和脚本,大家可以根据自己的需要决定是否删除。

3. 为IIS中的文件分类设置权限

除了在操作系统里为IIS的文件设置必要的权限外,还要在IIS管理器中为它们设置权限。一个好的设置策略是:为Web 站点上不同类型的文件都建立目录,然后给它们分配适当权限。例如:静态文件文件夹允许读、拒绝写,ASP脚本文件夹允许执行、拒绝写和读取,EXE等可执行程序允许执行、拒绝读写。

4. 删除不必要的应用程序映射

ISS中默认存在很多种应用程序映射,除了ASP的这个程序映射,其他的文件在网站上都很少用到。

在“Internet服务管理器”中,右击网站目录,选择“属性”,在网站目录属性对话框的“主目录”页面中,点击[配置]按钮,弹出“应用程序配置”对话框,在“应用程序映射”页面,删除无用的程序映射。如果需要这一类文件时,必须安装最新的系统修补补丁,并且选中相应的程序映射,再点击[编辑]按钮,在“添加/编辑应用程序扩展名映射”对话框中勾选“检查文件是否存在”选项。这样当客户请求这类文件时,IIS会先检查文件是否存在,文件存在后才会去调用程序映射中定义的动态链接库来解析。

5. 保护日志安全

日志是系统安全策略的一个重要环节,确保日志的安全能有效提高系统整体安全性。

● 修改IIS日志的存放路径

默认情况下,IIS的日志存放在%WinDir%\System32\LogFiles,黑客当然非常清楚,所以最好修改一下其存放路径。在“Internet服务管理器”中,右击网站目录,选择“属性”,在网站目录属性对话框的“Web站点”页面中,在选中“启用日志记录”的情况下,点击旁边的[属性]按钮,在“常规属性”页面,点击[浏览]按钮或者直接在输入框中输入日志存放路径即可。

● 修改日志访问权限,设置只有管理员才能访问。

通过以上的一些安全设置,相信你的Web服务器会安全许多。


为你的IIS设置权限

现在绝大多数的虚拟主机都禁用了 ASP 的标准组件:FileSystemObject,因为这个组件为ASP提供了强大的文件系统访问能力,可以对服务器硬盘上的任何文件进行读、写、复制、删除、改名等操作(当然,这是指在使用默认设置的 Windows NT / 2k下才能做到)。但是禁止此组件后,引起的后果就是所有利用这个组件的 ASP 将无法运行,无法满足客户的需求。如何既允许FileSystemObject组件,又不影响服务器的安全性(即:不同虚拟主机用户之间不能使用该组件读写别人的文件)呢?这里介绍本人在实验中获得的一种方法,下文以 Windows 2k Server为例来说明。


    在服务器上打开资源管理器,用鼠标右键点击各个硬盘分区或卷的盘符,在弹出菜单中选择"属性",选择"安全"选项卡,此时就可以看到有哪些帐号可以访问这个分区(卷)及访问权限。默认安装后,出现的是"Everyone"具有完全控制的权限。点"添加",将"Administrators"、"Backup Operators"、"Power Users"、"Users"等几个组添加进去,并给予"完全控制"或相应的权限,注意,不要给"Guests"组、"IUSR_机器名"这几个帐号任何权限。然后将"Everyone"组从列表中删除,这样,就只有授权的组和用户才能访问此硬盘分区了,而ASP 执行时,是以"IUSR_机器名"的身份访问硬盘的,这里没给该用户帐号权限,ASP也就不能读写硬盘上的文件了。下面要做的就是给每个虚拟主机用户设置一个单独的用户帐号,然后再给每个帐号分配一个允许其完全控制的目录。如下图所示,打开"计算机管理"→"本地用户和组"→"用户",在右栏中点击鼠标右键,在弹出的菜单中选择"新用户":在弹出的"新用户"对话框中根据实际需要输入"用户名"、"全名"、"描述"、"密码"、"确认密码",并将"用户下次登录时须更改密码"前的对号去掉,选中"用户不能更改密码"和"密码永不过期"。本例是给第一虚拟主机的用户建立一个匿名访问Internet 信息服务的内置帐号"IUSR_VHOST1",即:所有客户端使用http://xxx.xxx.xxxx/访问此虚拟主机时,都是以这个身份来访问的。输入完成后点"创建"即可。可以根据实际需要,创建多个用户,创建完毕后点"关闭":现在新建立的用户已经出现在帐号列表中了,在列表中双击该帐号,以便进一步进行设置:在弹出的"IUSR_VHOST1"(即刚才创建的新帐号)属性对话框中点"隶属于"选项卡:刚建立的帐号默认是属于"Users"组,选中该组,点"删除":现在出现的是如下图所示,此时再点"添加":在弹出的"选择组"对话框中找到"Guests",点"添加",此组就会出现在下方的文本框中,然后点"确定": 出现的就是如下图所示的内容,点"确定"关闭此对话框:打开"Internet 信息服务",开始对虚拟主机进行设置,本例中的以对"第一虚拟主机"设置为例进行说明,右击该主机名,在弹出的菜单中选择"属性":弹出一个"第一虚拟主机属性"的对话框,从对话框中可以看到该虚拟主机用户的使用的是"F:\VHOST1"这个文件夹:暂时先不管刚才的"第一虚拟主机属性"对话框,切换到"资源管理器",找到"F:\VHOST1"这个文件夹,右击,选"属性"→"安全"选项卡,此时可以看到该文件夹的默认安全设置是"Everyone"完全控制(视不同情况显示的内容不完全一样),首先将最将下的"允许将来自父系的可继承权限传播给该对象"前面的对号去掉:此时会弹出如下图所示的"安全"警告,点"删除":此时安全选项卡中的所有组和用户都将被清空(如果没有清空,请使用"删除"将其清空),然后点"添加"按钮。
    将如图中所示的"Administrator"及在前面所创建的新帐号"IUSR_VHOST1"添加进来,将给予完全控制的权限,还可以根据实际需要添加其他组或用户,但一定不要将"Guests"组、"IUSR_机器名"这些匿名访问的帐号添加上去!
    再切换到前面打开的"第一虚拟主机属性"的对话框,打开"目录安全性"选项卡,点匿名访问和验证控制的"编辑":在弹出的"验证方法"对方框(如下图所示),点"编辑":弹出了"匿名用户帐号",默认的就是"IUSR_机器名",点"浏览":在"选择用户"对话框中找到前面创建的新帐号"IUSR_VHOST1",双击:此时匿名用户名就改过来了,在密码框中输入前面创建时为该帐号设置的密码:再确定一遍密码:OK,完成了,点确定关闭这些对话框。经此设置后,"第一虚拟主机"的用户,使用 ASP 的FileSystemObject 组件也只能访问自己的目录:F:\VHOST1下的内容,当试图访问其他内容时,会出现诸如"没有权限"、"硬盘未准备好"、"5a8zd_00服务器内部错误"等出错提示了。  

另:如果该用户需要读取硬盘的分区容量及硬盘的序列号,那这样的设置将使其无法读取。如果要允许其读取这些和整个分区有关的内容,请右键点击该硬盘的分区(卷),选择"属性"→"安全",将这个用户的帐号添加到列表中,并至少给予"读取"权限。由于该卷下的子目录都已经设置为"禁止将来自父系的可继承权限传播给该对象",所以不会影响下面的子目录的权限设置


- 作者: 白色的鱼 2005年02月23日, 星期三 08:50
Trackback
你可以使用这个链接引用该篇日志 http://publishblog.blogdriver.com/blog/tb.b?diaryID=548024
标签: