Freigeben über

Freigabe- und NTFS-Berechtigungen

von Walter Oliver

Einführung

Die Dateiserverberechtigungen müssen sorgfältig implementiert werden, um einen angemessenen Zugriff auf Inhalte zu ermöglichen. Dies umfasst das Einschränken der Berechtigungen für die Freigabe und der physischen Ordner.

Erlaubnisse

In der folgenden Tabelle sind Berechtigungen aufgeführt, die für die Dateiserverfreigabe und -ordner im Shared Hosting Setup der im Abschnitt Planung der Webhostingarchitektur der Hostinganleitung erwähnt wurden. Basierend auf der verwendeten freigegebenen Hostingumgebung sollten Serveradministratoren ihre eigenen benutzerdefinierten Berechtigungen entwickeln, die ihren Anforderungen entsprechen.

Pfad Erlaubnisse Grund
\server\share$ (share) Domänenadministratoren - Vollzugriff Domänenbenutzer - MachineAccounts$ ändern - Vollzugriff Die Freigabeberechtigungen müssen es Administratoren und Website-Konten erlauben, den Zugriff auf den Inhalt zu erhalten. Der physische Pfad wird auf die tatsächlich erforderlichen Berechtigungen beschränkt.
E:\Inhalt (physischer Freigabepfad) Administratoren - Vollzugriffssystem - Vollzugriff Dies ist der freigegebene Ordner. Sie benötigt keine Berechtigungen für Konten, abgesehen von der integrierten Gruppe "Administratoren" und "Systemkonto".
E:\Content\<sitename> (der Container für eine bestimmte Website oder einen bestimmten Benutzer) Administratoren - Vollzugriff system - Vollzugriff Websitebesitzer - Listenordnerinhalte Dieser Ordner wird als Container für Ordner wie das Startverzeichnis der Website und die zugehörigen Protokolldateien verwendet. Der Websitebesitzer sollte diesen Ordner lesen können, aber keinen Schreibzugriff benötigt.
E:\Content\<sitename> \wwwroot (das IIS-Startverzeichnis für die Website) Administratoren - Vollzugriffssystem - Besitzer der Vollzugriffswebsite - Ändern des Benutzernamens des App-Pools - Lesen Dies ist der Stamm einer Website, die zum Benutzerkonto gehört. Der Benutzername des App-Pools wird sowohl als Anwendungspoolidentität als auch als anonymer Benutzername für die Website verwendet.
E:\Content\<sitename>\Logs (der Container für Protokolle) Administratoren - Vollzugriff System - Vollzugriff Websitebesitzer - Lesezugriff Beachten Sie, dass dieser Ordner für Protokolle ÜBER dem Stamm der Website gespeichert wird, sodass er von einem Besucher, der die Website durchsucht, nicht zugänglich ist. Es wird nicht empfohlen, dass Sie diesen Ordner an einem beliebigen Speicherort ablegen, auf den über einen Webbrowser zugegriffen werden kann, für Sicherheitszwecke.
E:\Content\<sitename>\Logs\FailedReqLogs (Container für fehlgeschlagene Anforderungsnachverfolgungsprotokolle) Administratoren - Vollzugriff System - Vollzugriff Benutzername des App-Pools - Vollzugriff Dies ist der Ordner, der zum Speichern von Protokolldateien für fehlgeschlagene Anforderungen verwendet wird, sodass ein Websitebesitzer Probleme mit seiner Website diagnostizieren kann. Diese Protokolle werden von der Identität des Arbeitsprozesses, dem Benutzernamen des App-Pools, geschrieben.
E:\Content\<sitename>\Logs\W3SVCLogFiles (der Container für W3SVC-Datenverkehrsprotokolle) Administratoren - Vollzugriff System - Vollzugriff MachineAccount$ - Vollzugriff Dies ist der Ordner, der zum Speichern der Protokolldateien für die Website verwendet wird, wodurch ein Websitebesitzer ihre Datenverkehrsmuster anzeigen kann. Wenn der Serveradministrator diese Dateien nicht freigeben möchte oder eine alternative Methode zum Ermitteln des Datenverkehrs bereitstellen möchte, können diese Dateien an anderer Stelle gespeichert werden. MachineAccount$ ist das Computerkonto des Webservers, da diese Protokolle von HTTP.SYS geschrieben werden.

Konfigurieren von Berechtigungen

So konfigurieren Sie Berechtigungen für die Freigabe

  1. Klicken Sie im Windows-Explorer mit der rechten Maustaste auf den Ordner, den Sie freigeben möchten, und klicken Sie dann auf "Eigenschaften".

  2. Klicken Sie auf der Registerkarte " Freigabe " auf " Erweiterte Freigabe".

  3. Klicken Sie in der Benutzerkontensteuerung auf "Weiter" , um die Aufforderung zu akzeptieren, dass Windows Ihre Berechtigung zum Ausführen der Aktion benötigt.

  4. Aktivieren Sie im Dialogfeld "Erweiterte Freigabe " das Kontrollkästchen "Diesen Ordner freigeben".

  5. Legen Sie den Freigabenamen und die Kommentare nach Bedarf fest. Um die Freigabe auszublenden, fügen Sie am Ende des Freigabenamens ein $ hinzu.

    Hinweis

    Das Ausblenden einer Freigabe bedeutet, dass beim Herstellen einer Verbindung mit [\server](file://server/) die Freigabe nur angezeigt wird, wenn Sie den Pfad [\server\share$](file://server/share$) explizit eingeben.

  6. Klicken Sie auf Berechtigungen.

  7. Entfernen Sie im Dialogfeld "Berechtigungen " die Gruppe "Jeder", sofern vorhanden.

  8. Fügen Sie den entsprechenden Benutzer oder die entsprechende Gruppe hinzu, der Zugriff auf die Freigabe haben soll.

  9. Geben Sie die Berechtigungen (Vollzugriff, Änderung, Lesezugriff) für den Benutzer oder die Gruppe an.

  10. Klicken Sie zweimal auf "OK ", und klicken Sie dann auf "Schließen ", um die Dialogfelder zu schließen.

So konfigurieren Sie Berechtigungen für die Ordnerstruktur

  1. Klicken Sie im Windows-Explorer mit der rechten Maustaste auf den Ordner, den Sie freigeben möchten, und klicken Sie dann auf "Eigenschaften".
  2. Klicken Sie auf der Registerkarte "Sicherheit " auf "Bearbeiten".
  3. Fügen Sie im Dialogfeld "Berechtigungen " die entsprechenden Benutzer oder Gruppen hinzu, die auf jeder Ebene der Ordnerstruktur Zugriff haben sollen.
  4. Geben Sie die Berechtigungen (Vollzugriff, Ändern, Lesen & Ausführen, Ordnerinhalt auflisten, Lesen, Schreiben, spezielle Berechtigungen) für die Benutzer oder Gruppen an.
  5. Klicken Sie zweimal auf "OK ", um die Dialogfelder zu schließen.

Sehen Sie sich Beispiele für C#- und PowerShell-Skripts an, um ein Beispielskript zur Konfiguration von Standarddokumenten zu finden. als Beispiel für die Erstellung einer Freigabe und das Setzen von Berechtigungen.

  • Last updated on