|
篇:asp.net2.0Microsofttreeview和webctrl_client目录问题
|
问:我们使用IIS已经有些年头了,现在正在将Web站点迁移至IIS6.0(新服务器,不是升级)。我希望控制安全性,但是不希望过分控制它,以至于系统无法处理文件。我还发现安装了IIS6.0的WindowsServer2003中添加了新的用户和组,例如ASPNET用户和IIS_WPG组,我想了解将这些用户和组的安全设置,以确保新Web站点的安全。请告诉我,在创建新Web站点时,我应该如何设置权限。这样我可以按需添加其他设置。我下面列出了wwwroot文件夹的默认权限供您参考。
您可以看到,这里设置了许多权限,而且有些还是冗余的。我需要为其他Web站点创建新的主文件夹,而且希望确保权限设置完全符合我的需要。
答:对于“应该具备什么权限”的回答是,“满足需求的最低权限”。IIS传送静态内容和脚本只需NTFS读取权限。其他一切权限都是依您的业务需求而定的。
从您所列出的权限我可以看出,您的服务器上全新安装了IIS6与FrontPage2002Extensions。值得注重的一点是,每次添加服务或产品时,服务器上所需的权限(有时是用户和组),都会发生变化。首先,让我们看一下在没有安装FrontPageServerExtensions的WindowsServer2003上,按默认值安装IIS6时wwwroot文件夹的权限设置。它们是:
我所列出的IIS6默认权限和您的服务器上的不同,这是因为您已经安装了FrontPageServerExtensions(FPSE)2002。您可以看到,权限设置不同之处很多。添加FPSE后的权限:
您说得很对,其中有些设置是重叠的。其中最大的一个变化就是InternetGuest帐户的权限,
删除了“拒绝写入”,添加了“列出文件夹内容”。这样一来,匿名Web用户的权限和Network与Interactive组完全相同。由于IUSR帐户要么是Network组的成员,要么是Interactive组的成员,因此从理论上说,没必要列出IUSR帐户的权限。另外,NetworkService组是IIS_WPG的成员,因此也不需要非凡列出。
FPSE使用权限的方法可能比较让人感到困惑。它主要是用于解决如下所示的问题:用户首先使用用户帐户经过身份验证进入Web站点,然后浏览其他只能使用NTFS权限进行匿名访问的其他内容。在这种情况下,用户可能会被拒绝访问,而您可能希望用户能够读取这些内容。幸运的是,在WindowsServer2003中,您可以让FSPE使用本地用户组,而不是内置Network和Interactive组的权限。要了解具体信息,可以仔细阅读http://www.microsoft.com/technet/prodtechnol/sppt/sharepnt/proddocs/admindoc/owsj03.asp以及http://www.microsoft.com/serviceproviders/whitepapers/fpse2002.asp处的内容。
最后,IIS6服务器上默认情况下没有ASPNet用户,只有在安装了ASP.net后才会加载。除非是为了与IIS5兼容而在工作进程隔离模式下运行ASP.net,否则不会使用ASPNet用户;默认情况下,这些应用程序运行在NetworkServices帐户下。要了解ASP.net和IIS6的具体信息,请参阅IIS6资源指南,其网址为http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/webapp/iis/iis6perf.mspx。
问:IIS6.0具有一个名为Web园的新功能,有了它,可以将应用程序池配置为使用多个工作进程。IIS何时创建额外的工作进程?在我们实施Web园之前,我们应该了解哪些知识?
答:在您创建应用程序池时,就会通知IIS6创建一个工作进程,以传送指派给该应用程序池的Web站点、文件和文件夹的内容。您可以将应用程序池配置为启动多个,而非一个工作进程,这样可以提高可扩展性。这个功能的名为Web园,是小型的“Web农场”。您无需使用多台计算机来传送相同的内容(Web农场),而是可以使用一台计算机中的多个进程来传送相同的内容。
在将IIS6应用程序配置为Web园时,您只需在“应用程序池属性”的“性能”选项卡的“最大工作进程数”框中,设置一个大于1的工作进程数。假如这个值大于1,每个请求都将启动一个新的工作进程实例,可启动的最多进程数为您所指定的最大工作进程数。后续的请求将以循环的方式发送至工作进程。
Web园在您的应用程序资源有限的情况下非常有用。例如,假如您到数据库的连接很慢,那么您可以使用多个工作进程来增加用户吞吐量,从而增加到数据库的连接数。
尽管在有些情况下使用Web园的用处非常大,但是要注重,每个工作进程的会话信息都是唯一的。由于请求以循环的方式路由到应用程序池工作进程,因此Web园对于会话信息存储在进程中的应用程序作用可能不大。
在少数情况下,让多个工作进程运行同一个应用程序会造成资源竞争。例如,假如所有工作进程都试图将信息记录到日志文件中,或是使用那些不是专用于多个并发访问的资源,那么可能出现资源竞争问题。
假如不存在这些问题,那么Web园可能正是您所需的功能之一,而且其作用会非常大。
问:我有一个企业内部网站,我希望所有通过验证的用户可以访问另一台服务器上的一个目录。我已经将远程服务器的内容映射到Web服务器的驱动器上,并且为了测试,为Everyone组授予了对这个共享资源的完全控制NTFS权限然后我们的应用程序通过引用驱动器盘符来访问内容。
当我们为这个目录配置集成的Windows身份验证时,所有用户都无法访问远程位置,但是假如我们使用基本身份验证,并指定域,用户则可以访问远程内容。我的问题是,集成的Windows身份验证为什么会无法记住用户访问远程服务器的凭证,而基本身份验证则可以?
答:尽管这看起来像是因为集成的Windows身份验证无法记住凭证而引起的问题,但事实并非如此。在确保任何站点或服务器的安全时,问题的要害在于在功能与安全性之间进行权衡。基本身份验证使用本地登录类型,也称为“交互式”登录。这种凭证类型可以委派给其他服务器。因此,可以使用通过基本身份验证获得的凭证成功地访问远程系统。访问SQL服务器也是如此。您可以使用基本身份验证来验证客户端,并将凭证转发给配置为使用SQL身份验证的SQL服务器。但是,当您使用集成的Windows身份验证来验证IIS服务器时,将会使用“网络”登录类型。这种登录类型的安全性远远高于基本身份验证,但是除非在企业内部网中使用Kerberos,否则凭证无法转发至其他服务器。一旦使用了Kerberos(且正确配置后),用户凭证就可以在整个目录林中委派(请参见Microsoft知识库文章326089)。
为了方便且可靠地访问远程内容,且无需考虑身份验证类型,在配置虚拟目录来访问远程内容时,将会提示您提供对IIS服务器和远程服务器均有效的用户名和密码。当您访问虚拟目录时,请求将会传递至指定用户,不管该用户使用何种验证方式,都可以访问远程内容。
除非您可以使用Kerberos,否则我建议您修改应用程序,改为使用标准的虚拟目录,而不是映射的驱动器。这样可以可靠地访问远程内容。另外,不建议使用映射的驱动器,这是因为映射驱动器包含在创建映射的用户的配置文件中。假如其他用户登录这台IIS服务器,映射驱动器将不存在,它们和您的应用程序之间不再存在关联关系。
将您的问题提交给IIS有问必答。虽然不能肯定一定会予以回复,但是挑选出的问题会连同答案一起刊登在下一期的IIS有问必答专栏中。
要获取IIS有问必答专栏前几个月的问题与解答,请单击此处。
我们代表Microsoft公司衷心希望本文章中的信息能对您有所帮助,但是应由您自己承担使用本文所带来的风险。本文中的所有信息都“按原样”提供,对于其准确性、完整性、非凡用途的适用性、所有权和不侵权原则,并没有任何明示或暗示的保证;本著作提及的任何第三方产品和信息,Microsoft公司都并未参与创作,也不向您推荐、支持或作出任何保证。对使用该信息而造成的任何损失,不管是直接的、间接的、非凡的,还是偶然的或必然的,即使已经警告过可能会有这种损失,Microsoft公司将不承担任何责任。
|
|
