IIS6使用指南之三 :创建和配置Web站点
IIS 6 中的用户访问控制体系
在上面中给大家介绍了Web站点中的配置,可以看到具有网站访问权限、身份验证和访问控制、IP地址和域名限制等配置,它们都只是IIS 6中用户访问控制体系的一部分。IIS 6中的用户访问控制体系是和Windows系统紧密结合的,当IIS服务器接收到客户所发送的访问请求时,它按照以下步骤进行处理:
-
IIS检查是否具有匹配客户访问请求的Web站点;如果没有则返回给客户400-错误请求错误信息;
-
IIS检查客户的IP地址是否在Web站点所允许访问的IP地址范围内;如果被拒绝则IIS拒绝客户访问并返回给客户403.6-禁止访问错误信息;
-
如果Web站点配置为使用除匿名验证的其他验证方式,则提示客户提交身份验证信息,如果客户提交的身份验证信息未能通过IIS服务器的身份验证,则IIS拒绝客户访问并返回给客户401.1-未经授权错误信息;
-
IIS检查网站访问权限,如果不具有相应的网站访问权限,则IIS拒绝客户访问并返回给客户403.2-禁止访问错误信息;
-
此时,工作进程模拟客户提交的用户账户或者使用配置为匿名访问时预定义的用户账户来访问网站主目录对应路径下的资源文件,如果此资源文件存放在NTFS格式的驱动器上,则Windows系统检查该资源文件的NTFS权限,如果工作进程模拟的用户账户不具有相应的权限,则工作进程访问被系统拒绝,此时IIS返回给客户401.3-未经授权错误信息。如果资源文件存放在FAT32格式的驱动器上则不会进行检查,因此强烈建议大家使用NTFS格式的驱动器并且将网站内容存放在除系统分区外的其他驱动器上,然后使用NTFS权限加以严格限制,这样可以带来更高的安全性。
关于IIS 6安装时的默认权限,可以参考微软的知识库文档“KB812614,Default permissions and user rights for IIS 6.0”。在使用ASP.NET时,默认情况下不会进行用户账户的模拟,因此,所有运行ASP.NET的Web 应用程序访问任何资源访问均使用ASP.NET进程所运行的用户账户,如果你需要创建自定义帐户来运行ASP.NET,请参考微软技术文章如何创建自定义帐户来运行 ASP.NET。