保护虚拟目录

IIS 管理员可以使用本地用户身份验证来保护虚拟目录。身份验证委派是 IIS 6.0 和 Windows Server 2003 家族的一个功能,它允许映射到远程通用命名约定 (UNC) 共享的虚拟目录使用本地用户身份验证来访问该共享。

保护映射到本地目录的虚拟目录

IIS 支持使用所有 Windows 身份验证方法来控制对本地计算机上目录和文件的访问。下面的步骤介绍如何保护映射到本地计算机上目录和文件的新虚拟目录和现有虚拟目录。

要点 要点 您必须是本地计算机上 Administrators 组的成员或者必须被委派了相应的权限,才能执行下列步骤。作为安全性的最佳操作,请使用不属于 Administrators 组的帐户登录计算机,然后使用运行方式命令以管理员身份运行 IIS 管理器。在命令提示符下,键入 runas /user:administrative_accountname "mmc %systemroot%\system32\inetsrv\iis.msc"

创建映射到本地计算机上资源的安全虚拟目录

  1. 在 IIS 管理器中,展开本地计算机,展开“网站”文件夹,右键单击要在其中创建虚拟目录的网站或文件夹,指向“新建”,然后单击“虚拟目录”。
  2. 单击“下一步”。
  3. 在“别名”框中,键入新虚拟目录的别名,然后单击“下一步”。
  4. 在“路径”框中,键入本地目录的路径,然后单击“下一步”。
  5. 选择要授予的访问权限的相应复选框,并清除要拒绝的权限的复选框。
  6. 单击“下一步”以完成向导。

更改映射到本地计算机上资源的现有虚拟目录的安全性

  1. 在 IIS 管理器中,右键单击要保护的虚拟目录,然后单击“属性”。
  2. 在“虚拟目录”选项卡的“本地路径”下面,选择要允许的访问权限复选框,并清除要拒绝的权限复选框。
  3. 单击“确定”。

保护映射到 UNC 共享的虚拟目录

在 IIS 6.0 中,可以使用身份验证委派,将经过验证的请求用户凭据传递到 UNC 共享所在的远程文件服务器。这种方法比使用静态用户名和密码的方法更好,因为您可以限制每个用户或组对 UNC 共享特定部分的访问。

如果您使用静态用户名和密码来保护虚拟目录,则每个用户可以访问共享上的每个目录和文件。这意味着,用户可以访问 UNC 共享上属于其他用户的文件。通过模拟已验证用户访问主持共享的计算机的凭据,远程计算机使用这些凭据限制用户只能访问他们拥有访问权限的资源。

在创建虚拟目录或配置现有目录时,可以配置 IIS 以保护虚拟目录。

创建具有 UNC 路径的安全虚拟目录

  1. 在 IIS 管理器中,展开本地计算机,展开“网站”文件夹,右键单击一个网站、Web 应用程序、目录或虚拟目录,指向“新建”,然后单击“虚拟目录”。
  2. 单击“下一步”。
  3. 在“别名”框中,键入新虚拟目录的别名,然后单击“下一步”。
  4. 在“路径”框中,键入 UNC 共享上目录的路径,然后单击“下一步”。
  5. “虚拟目录创建向导”将路径格式识别为 UNC,并显示“用户名和密码”对话框。
  6. 要查找请求访问远程计算机的用户凭据,请选择“在验证到网络目录的访问时总是使用已经过身份验证的用户的凭据”复选框,并将“用户名”和“密码”框保留空白。单击“下一步”并执行第 8 步。
  7. 要使用静态用户名和密码来保护虚拟目录和共享,请填写“用户名”和“密码”框,并清除“在验证到网络目录的访问时总是使用已经过身份验证的用户的凭据”复选框,然后单击“下一步”。
  8. 选择要授予的访问权限的相应复选框,并清除要拒绝的权限的复选框。
  9. 单击“下一步”以完成向导。

保护具有 UNC 路径的现有虚拟目录

  1. 在 IIS 管理器中,右键单击要保护的虚拟目录,然后单击“属性”。
  2. 单击“连接为”。
  3. 要委派向远程计算机传递本地用户的凭据,请选择“在验证到网络目录的访问时总是使用已经过身份验证的用户的凭据”复选框,并将“用户名”和“密码”框保留空白。执行第 5 步。
  4. 要使用静态用户名和密码来保护虚拟目录和共享,请填写“用户名”和“密码”框,并清除“在验证到网络目录的访问时总是使用已经过身份验证的用户的凭据”复选框。
  5. 单击“确定”。
相关主题

© 1997-2003 Microsoft Corporation。保留所有权利