windows 2003 server IIS权限设置

Win2003 防木马、权限设置、IIS服务器安全配置整理一、系统的安装１、按照Windows2003安装光盘的提示安装，默认情况下2003没有把IIS6.0安装在系统里面。

２、IIS6.0的安装开始菜单—>控制面板—>添加或删除程序—>添加/删除Windows组件应用程序———（可选）|——启用网络 COM+ 访问（必选）|——Internet 信息服务(IIS)———Internet 信息服务管理器（必选）|——公用文件（必选）|——万维网服务———Active Server pages（必选）|——Internet 数据连接器（可选）|——WebDAV 发布（可选）|——万维网服务（必选）|——在服务器端的包含文件（可选）然后点击确定—>下一步安装。

（具体见本文附件1）３、系统补丁的更新点击开始菜单—>所有程序—>Windows Update按照提示进行补丁的安装。

４、备份系统用GHOST备份系统。

５、安装常用的软件例如：杀毒软件、解压缩软件等；安装完毕后,配置杀毒软件,扫描系统漏洞,安装之后用GHOST再次备份系统。

6、先关闭不需要的端口开启防火墙导入IPSEC策略在”网络连接”里，把不需要的协议和服务都删掉，这里只安装了基本的Internet协议（TCP/IP），由于要控制带宽流量服务，额外安装了Qos数据包计划程序。

在高级tcp/ip设置里--"NetBIOS"设置"禁用tcp/IP上的NetBIOS（S）"。

在高级选项里，使用"Internet连接防火墙"，这是windows 2003 自带的防火墙，在2000系统里没有的功能，虽然没什么功能，但可以屏蔽端口，这样已经基本达到了一个IPSec的功能。

修改3389远程连接端口修改注册表.开始--运行--regedit依次展开 HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/WDS/RDPWD/TDS/TCP右边键值中 PortNumber 改为你想用的端口号.注意使用十进制(例 10000 )HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/WINSTATIONS/RDP-TCP/右边键值中 PortNumber 改为你想用的端口号.注意使用十进制(例 10000 )注意：别忘了在WINDOWS2003自带的防火墙给+上10000端口修改完毕.重新启动服务器.设置生效.二、用户安全设置1、禁用Guest账号在计算机管理的用户里面把Guest账号禁用。

Microsoft? Windows? Server 2003 家族中的 Internet 信息服务 (IIS) 提供了可用于 Intranet、Internet 或 Extranet 上的集成 Web 服务器能力，这种服务器具有可靠性、可伸缩性、安全性以及可管理性的特点。可以使用 IIS 6.0 为动态网络应用程序创建功能强大的通讯平台。IIS 6.0 提供了一些新功能来帮助组织、IT 专业人士和 Web 管理员为单个 IIS 服务器或多个服务器上可能存在的上千个网站实现高性能、可靠性、可伸缩性和安全性的目标。
单击“文档”选项卡。
选中“启用默认内容文档”复选框。
单击“添加”将新的默认文档添加到列表。
单击要从列表中删除的文档，然后单击“删除”。
单击列表中的文档，然后单击“上移”或“下移”以更改默认文档响应客户请求的次序。
单击“确定”。
三、建立ＦＴＰ站点共享文件资源
（１）安装ＦＴＰ服务
单击所需的用户隔离选项，然后单击“下一步”。
在“路径”框中，键入或浏览到包含或将要包含共享内容的目录，然后单击“下一步”。
选中与要指定给用户的 FTP 站点访问权限相对应的复选框，然后单击“下一步”。
单击“完成”。
要在以后更改这些设置和其他设置，请右键单击 FTP 站点，然后打击“属性”。
在默认文档名称中不能使用逗号（例如 my,file.html）。逗号只用于在配置数据库中分隔多个默认文档。如果您在默认文档的名称中使用了逗号，IIS 会认为这表示有两个默认文档。
· 设置或更改默认文档的步骤
在 IIS 管理器中，展开本地计算机，展开“网站”目录，右键单击所需的网站，然后单击“属性”。
· 设置目录输出样式

如何配置IIS服务器?篇一：2003的Web服务器配置方法Windows 2003的Web服务器配置方法Windows Server 2003没有安装IIS 6.0，要通过控制面板来安装。

具体做法为:1. 进入“控制面板”。

2. 双击“添加或删除程序”。

3. 单击“添加/删除Windows 组件”。

4. 在“组件”列表框中，双击“应用程序服务器”。

5. 双击“Internet 信息服务(IIS)”。

6. 从中选择“万维网服务”及“文件传输协议(FTP)服务”。

7. 双击“万维网服务”，从中选择“Active Server Pages” 及“万维网服务”等。

安装好IIS后，接着设置Web服务器，具体做法为:1. 在“开始”菜单中选择“管理工具→Internet信息服务(IIS)管理器”。

2. 在“I nternet 信息服务(IIS)管理器”中双击“本地计算机”。

3. 右击“网站”，在弹出菜单中选择“新建→网站”，打开“网站创建向导”。

4. 依次填写“网站描述”、“IP 地址”、“端口号”、“路径”和“网站访问权限”等。

最后，为了便于访问还应设置默认文档(Index.asp、Index.htm)。

上述设置和Windows 2000 Server网站设置基本相同，但此时Web服务还仅适用于静态内容，即静态页面能正常浏览，常用Active Server Pages(ASP)功能没有被启用。

所以还应在“Internet 信息服务(IIS)管理器”的“ Web 服务扩展”中选择允许“Active Server Pages”。

另外，还应注意如果Web服务主目录所在分区是NTFS格式，而ASP网页有写入操作时(如用到新闻后台管理功能的)，要注意设置写入及修改权限。

一、架设Web服务器默认安装的Windows Server 2003没有配置IIS服务，需要我们手工安装。

进入控制面板，执行“添加或删除程序→添加/删除Windows 组件”进入Windows组件向导窗口，勾选“应用程序服务器→Internet 信息服务”，“确定”后返回Windows 组件向导窗口点击“下一步”即可添加好IIS服务。

Windows 2003 IIS安全权限设置解析系统默认用户情况为：administrators 超级管理员(组)system 系统用户(内置安全主体)guests 来宾帐号(组)iusr_服务器名匿名访问web用户iwam_服务器名启动iis进程用户www_cnnsc_org 自己添加的用户、添加后删除Users(组)、删除后添加到guests来宾帐号(组) 为加强系统安全、(guest)用户及(iusr_服务器名)用户均被禁用将访问web目录的全部账户设为guests组、去除其他的组■盘符安全访问权限△C:\盘administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限△D:\盘(如果用户网站内容放置在这个分区中)、administrators(组) 完全控制权限△E:\盘administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限△f:\盘administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限△如有其他盘符类推下去.■目录安全访问权限▲c:\windows\△administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限▲c:\windows\system32\△administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限、iwam_服务器名(用户) 读取+运行权限▲c:\windows\temp\△administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限、guests(组) 完全控制权限▲C:\WINDOWS\system32\config\△administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限▲c:\Program Files\△administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限▲C:\Program Files\Common Files\△administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限、guests(组) 读取+运行权限▲c:\Documents and Settings\△administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限▲C:\Documents and Settings\All Users\△administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限▲C:\Documents and Settings\All Users\Application Data\△administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限▲C:\Documents and Settings\All Users\Application Data\Microsoft\△administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限▲C:\Documents and Settings\All Users\Application Data\Microsoft\HTML Help\△administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限■禁止系统盘下的EXE文件：net.exe、cmd.exe、tftp.exe、netstat.exe、regedit.exe、regedt32.exe、at.exe、attrib.exe、cacls.exe △些文件都设置成administrators 完全控制权限■新建WWW(网站)根目录【administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限】▲根目录里新建wwwroot目录▲网站根目录、网页请上传到这个目录△administrators(组) 完全控制权限△www_cnnsc_org(用户)完全控制权限▲根目录里新建logfiles目录▲网站访问日志文件、本目录不占用您的空间△administrators(组) 完全控制权限▲根目录里新建database目录▲数据库目录、用来存放ACCESS数据库△administrators(组) 完全控制权限▲根目录里新建others目录▲用于存放您的其它文件、该类文件不会出现在网站上△administrators(组) 完全控制权限△www_cnnsc_org(用户)完全控制权限▲在FTP(登陆消息文件里填)IIS日志说明：〒〒〒〒〒〒〒〒〒〒〒〒〒〒〒〒〒〒〒〒〒〒〒〒〒〒〒〒〒〒〒〒〒〒〒〒〒〒〒欢迎您使用本虚拟主机.请使用CUTEFTP或者LEAFTP等软件上传您的网页.注意、如果上传不了、请把FTP软件的PASV模式关掉再试.您登陆进去的根目录为FTP根目录\--wwwroot网站根目录、网页请上传到这个目录.\--logfiles 网站访问日志文件、本目录不占用您的空间.\--database 数据库目录、用来存放ACCESS数据库.\--others 用于存放您的其它文件，该类文件不会出现在网站上.为了保证服务器高速稳定运行、请勿上传江湖游戏、广告交换、博彩类网站、大型论坛、软件下载等耗费系统资源的程序.IIS日志说明\--Date 动作发生时的日期\--Time 动作发生时的时间\--s-sitename 客户所访问的Internet服务于以及实例号\--s-computername 产生日志条目的服务器的名字\--s-ip 产生日志条目的服务器的IP地址\--cs-method客户端企图执行的动作(例如GET方法)\--cs-uri-stem被访问的资源、例如Default.asp\--cs-uri-query 客户所执行的查询\--s-port 客户端连接的端口号\--cs-username通过身份验证访问服务器的用户名、不包括匿名用户\--c-ip 访问服务器的客户端IP地址\--cs(User-Agent) 客户所用的浏览器\--sc-status用HTTP或者FTP术语所描述的动作状态\--sc-win32-status用Microsoft Windows的术语所描述的动作状态〒〒〒〒〒〒〒〒〒〒〒〒〒〒〒〒〒〒〒〒〒〒〒〒〒〒〒〒〒〒〒〒〒〒〒〒〒〒〒。

出现的错误如下：
您无权查看该网页
您可能没有权限用您提供的凭据查看此目录或网页。

解决办法：
1、没有设置好首页文件
打开IIS然后依次打开该网站的属性--文档--添加，把需要设置成首页的文件填上去，如index.html，iis默认文档上是index.htm而不是index.html，注意这一点，当初在这个细节上耽误了些时间；
2、没有允许ASP
打开IIS然后找到“web 服务扩展”，把“Active Server Pages”允许就行了
3、权限设置错误
全部都使用“IUSR_计算机名称”这个账户
打开网站目录的文件夹，右键属性--共享和安全--添加，右边会有一个“立即查找”，然后找到“IUSR_计算机名称”这个用户即可
打开IIS然后依次打开该网站的属性--目录安全性，这里会有一个IP和身份验证，点击一下“编辑”，然后会选“浏览”，就会有一个“立即查找”，然后找到“IUSR_计算机名称”这个用户即可
匿名身份验证
IIS 创建IUSR_计算机名称帐户（其中计算机名称是正在运行IIS 的服务器的名称），用来在匿名用户请求Web 内容时对他们进行身份验证。

此帐户授予用户本地登录权限。

你可以将匿名用户访问重置为使用任何有效的Windows 帐户。

4、没有设置执行的权限
打开IIS然后依次打开该网站的属性--主目录，
首先勾选“脚本资源访问”，然后将最下面的“执行权限”修改成“纯脚本”。

windows 2003文件服务器详细权限设置window server 2003文件服务器要求达到如下目标：1．网络管理员对所有共享文件夹都拥有完全控制权；2．所有员工对公共文件夹只拥有读取权限；3．每位员工只对自己的私人文件夹拥有完全控制权，且不能读取其他员工的文件夹；4．每位员工所能使用的磁盘空间有一定限制，并且已用空间达到一定程度后会得到警告。

创建用户和文件夹：根据经理提出的目标，阿昊首先为每位员工创建用户账户，并且在磁盘的NTFS分区中规划合理的文件夹结构。

私人文件夹以员工姓名命名，在域中添加用户的过程简述如下：1. 依次单击“开始/管理工具/Active Directory用户和计算机”，在打开窗口的左窗格中右击“Users”容器，执行“新建/用户”命令。

2. 在打开的“新建对象→用户”对话框中键入用户登录名（如“hongxiaowei”）和用户的全称（如“洪晓卫”）。

单击“下一步”按钮，在密码设置选项卡中设定密码并依次单击“下一步/完成”按钮。

重复此过程创建其他用户（如图1）。

图1 创建用户账户安装文件服务器：因为在默认情况下Windows Server 2003并没有安装“文件服务器”组件，因此阿昊手动将这些组件添加了进来。

1. 依次单击“开始/管理工具/管理您的服务器”，打开“管理您的服务器”窗口。

在“管理您的服务器角色”区域中单击“添加或删除角色”按钮，进入配置向导并单击“下一步”按钮。

2. 配置向导检测完网络设置后打开“服务器角色”选项卡。

在“服务器角色”列表中选中“文件服务器”选项，并单击“下一步”按钮。

3. 在打开的“文件服务器磁盘配额”选项卡中勾选“为此服务器的新用户设置默认磁盘空间配额”复选框，然后根据磁盘剩余空间及用户实际需要在“将磁盘空间限制为”和“将警告级别设置为”编辑框中键入合适的数值。

另外，勾选“拒绝将磁盘空间给超过配额限制的用户”复选框，可以禁止用户在其已用磁盘空间达到限额后向服务器写入数据。

（企业版的windows2003在第592行，默认为AspMaxRequestEntityAllowed="204800"即200K将其加两个0，即改为，现在最大就可以上载20M了。AspMaxRequestEntityAllowed="20480000".
4.IIS不能下载文件的问题的解决办法是把进入网站的属性。查看主目录里面的执行权限，设置成纯脚即可。
d)摘要身份验证
摘要身份验证克服了基本身份验证的许多缺点。在使用摘要身份验证时，密码不是以明文形式发送的。另外，你可以通过代理服务器使用摘要身份验证。摘要身份验证使用一种挑战/响应机制（集成Windows身份验证使用的机制），其中的密码是以加密形式发送的。
e) your-ip-was-logged-hotmail-scams-are-not-allowed-here身份验证
然后重启iis admin service服务
1、在web服务扩展允许active server pages和在服务器端的包含文件
2、修改各站点的属性主目录－配置－选项－启用父路径
3、使之可以上传大于200k的文件(修改成您要的大小就可以了，如在后面补两个0，就允许20m了)c:\WINDOWS\system32\inetsrv\MetaBase.xml
打开WIN2003中的“Internet信息服务(IIS)管理器”->“WEB服务扩展”，按菜单上的“操作”->“添加一个新的WEB服务扩展”
在“扩展名”中输入“PHP”，按“添加”，在弹出新的窗口中按“浏览”，选择安装PHP目录中的php4ts.dll文件后，在原本的窗口中“设置扩展状态为允许”前面打勾，确定即可。
第二步,启用父路径支持。IIS-网站－主目录－配置－选项－启用父路径

Windows 2003网站安全权限设置指南Windows 2003已成为比较流行的Web服务器操作系统,安全和性能得到了广泛认可，基于IIS Web服务器软件的网站数量也越来越多。

通常情况下，高校的大多数服务器会由技术力量相对雄厚的网络中心等IT 资源部门运维管理。

而网站程序的制作则由各单位、各部门自主负责，少数用户单位会自主开发，或者请专业的IT公司代为开发。

更多的用户单位则会将网站的制作当作一种福利，交由勤工俭学的学生开发。

因此，各网站程序的安全性参差不齐。

在这种情况下，如果不对服务器的默认安全权限进行调整，将这些网站运行于同一台服务器上，必将引发不少令人头痛的安全问题。

最常遇到的情况是：一台Windows 2003服务器上运行多个网站，其中某个网站存在着安全漏洞(例如,没有采用参数化的SQL查询或没有对用户提交的SQL语句进行过滤)，黑客便可通过攻击该网站取得权限，上传网页木马，得到了一个Web SHELL执行权限，或者直接利用网页木马，篡改该服务器上所有Web站点的源文件，往源文件里加入js和iframe恶意代码。

此时那些没有安装反病毒软件的访客，浏览这些页面时便会感染上病毒，不仅引来用户的严重不满和投诉，同时也使学校的形象严重受损。

为了避免类似事件的发生，我们有必要分开部署网站和数据库。

通常的做法是将网站存放在一台分配了公网IP的Windows 2003服务器，而数据库则运行于一台与互联网相隔离的私网IP数据库服务器上。

但是，仅启用以上的安全措施还远远不够，我们还必须调整这一台Windows2003 WEB服务器的安全权限，对权限作出严格的控制，实现各网站之间权限的隔离，方法如下：在Web服务器上，1.创建若干个系统用户，分别用作IIS6的应用程序池安全性用户和网站匿名访问帐户。

2.在IIS管理控制台中，创建若干应用程序池，并分别为每个程序池分配不同的安全性用户。

3.将各个网站分配到相应的应用程序池。

win2003iis设置完全篇一、启用Asp支持Windows Server2003默认安装，是不安装IIS6的，需要另外安装。

安装完IIS6，还需要单独开启对于ASP的支持。

第一步，启用Asp，进入：控制面板->管理工具->IIS(Internet服务器)-Web服务扩展->Active Server Pages->允许控制面板->管理工具->IIS(Internet服务器)-Web服务扩展->在服务端的包含文件->允许第二步,启用父路径支持。

IIS-网站－主目录－配置－选项－启用父路径第三步，权限分配IIS-网站－（具体站点）－（右键）权限－Users完全控制二、解决windows2003最大只能上载200K的限制。

先在服务里关闭iis admin service服务找到windows\system32\inesrv\下的metabase.xml,打开，找到ASPMaxRequestEntityAllowed把他修改为需要的值，然后重启iis admin service服务1、在web服务扩展允许active server pages和在服务器端的包含文件2、修改各站点的属性主目录－配置－选项－启用父路径3、使之可以上传大于200k的文件(修改成您要的大小就可以了，如在后面补两个0，就允许20m了)c:\WINDOWS\system32\inetsrv\MetaBase.xml（企业版的windows2003在第592行，默认为AspMaxRequestEntityAllowed="204800"即200K阿胶将其加两个0，即改为，现在最大就可以上载20M了。

AspMaxRequestEntityAllowed="20480000"本分步指南介绍了如何在Windows Server2003环境中设置一个用于匿名访问的WWW服务器。

windows 2003最完善最完美的权限及安全设置解决方案1. IIS6.0的安装和设置1.1 开始菜单—>控制面板—>添加或删除程序—>添加/删除Windows组件应用程序———（可选）|——启用网络COM+ 访问（必选）|——Internet 信息服务(IIS)———Internet 信息服务管理器（必选）|——公用文件（必选）|——万维网服务———Active Server pages（必选）|——Internet 数据连接器（可选）|——WebDAV 发布（可选）|——万维网服务（必选）|——在服务器端的包含文件（可选）在”网络连接”里，把不需要的协议和服务都删掉，这里只安装了基本的Internet协议（TCP/IP）和Microsoft网络客户端。

在高级tcp/ip设置里--"NetBIOS"设置"禁用tcp/IP上的NetBIOS （S）"。

在“本地连接”打开Windows 2003 自带的防火墙，可以屏蔽端口，基本达到一个IPSec的功能,只保留有用的端口,比如远程(3389)和Web(80),Ftp(21),邮件服务器(25,110),https(443),SQL(1433)1.2. IIS (Internet信息服务器管理器) 在"主目录"选项设置以下读允许写不允许脚本源访问不允许目录浏览建议关闭记录访问建议关闭索引资源建议关闭执行权限推荐选择“纯脚本”建议使用W 3C扩充日志文件格式，每天记录客户IP地址，用户名，服务器端口，方法，URI字根，HTTP状态，用户代理，而且每天均要审查日志。

(最好不要使用缺省的目录，建议更换一个记日志的路径，同时设置日志的访问权限，只允许管理员和system为Full Control)。

1.3. 在IIS6.0 -本地计算机- 属性- 允许直接编辑配置数据库在IIS中属性->主目录->配置->选项中，在网站“启用父路径”前面打上勾1.4. 在IIS中的Web服务扩展中选中Active Server Pages，点击“允许”1.5. 优化IIS6应用程序池1、取消“在空闲此段时间后关闭工作进程（分钟）”2、勾选“回收工作进程（请求数目）”3、取消“快速失败保护”1.6. 解决SERVER 2003不能上传大附件的问题在“服务”里关闭iis admin service 服务。

终级Win2003服务器安全配置篇今天演示一下服务器权限的设置，实现目标是系统盘任何一个目录asp网马不可以浏览,事件查看器完全无错,所有程序正常运行.这个不同于之前做的两个演示，此演示基本上保留系统默认的那些权限组不变，保留原味,以免取消不当造成莫名其妙的错误.看过这个演示，之前的超详细web服务器权限设置,精确到每个文件夹和超详细web服务器权限设置,事件查看器完全无报错就不用再看了.这个比原来做的有所改进.操作系统用的是雨林木风的ghost镜像,补丁是打上截止11.2号最新的Power Users组是否取消无所谓具体操作看演示windows下根目录的权限设置：C:\WINDOWS\Application Compatibility Scripts 不用做任何修改，包括其下所有子目录C:\WINDOWS\AppPatch AcWebSvc.dll已经有users组权限,其它文件加上users组权限C:\WINDOWS\Connection Wizard 取消users组权限C:\WINDOWS\Debug users组的默认不改C:\WINDOWS\Debug\UserMode默认不修改有写入文件的权限,取消users组权限,给特别的权限，看演示C:\WINDOWS\Debug\WPD不取消Authenticated Users组权限可以写入文件，创建目录.C:\WINDOWS\Driver Cache取消users组权限,给i386文件夹下所有文件加上users组权限C:\WINDOWS\Help取消users组权限C:\WINDOWS\Help\iisHelp\common取消users组权限C:\WINDOWS\IIS Temporary Compressed Files默认不修改C:\WINDOWS\ime不用做任何修改，包括其下所有子目录C:\WINDOWS\inf不用做任何修改，包括其下所有子目录C:\WINDOWS\Installer 删除everyone组权限，给目录下的文件加上everyone组读取和运行的权限C:\WINDOWS\java 取消users组权限,给子目录下的所有文件加上users组权限C:\WINDOWS\MAGICSET 默认不变C:\WINDOWS\Media 默认不变C:\WINDOWS\不用做任何修改，包括其下所有子目录C:\WINDOWS\msagent 取消users组权限，给子目录下的所有文件加上users组权限C:\WINDOWS\msapps 不用做任何修改，包括其下所有子目录C:\WINDOWS\mui取消users组权限C:\WINDOWS\PCHEALTH 默认不改C:\WINDOWS\PCHEALTH\ERRORREP\QHEADLES 取消everyone组的权限C:\WINDOWS\PCHEALTH\ERRORREP\QSIGNOFF 取消everyone组的权限C:\WINDOWS\PCHealth\UploadLB 删除everyone组的权限，其它下级目录不用管，没有user组和everyone组权限C:\WINDOWS\PCHealth\HelpCtr 删除everyone组的权限，其它下级目录不用管，没有user组和everyone组权限(这个不用按照演示中的搜索那些文件了，不须添加users组权限就行)C:\WINDOWS\PIF 默认不改C:\WINDOWS\PolicyBackup默认不改,给子目录下的所有文件加上users组权限C:\WINDOWS\Prefetch 默认不改C:\WINDOWS\provisioning 默认不改,给子目录下的所有文件加上users组权限C:\WINDOWS\pss默认不改,给子目录下的所有文件加上users组权限C:\WINDOWS\RegisteredPackages默认不改,给子目录下的所有文件加上users组权限C:\WINDOWS\Registration\CRMLog默认不改会有写入的权限，取消users组的权限C:\WINDOWS\Registration取消everyone组权限.加NETWORK SERVICE 给子目录下的文件加everyone可读取的权限,C:\WINDOWS\repair取消users组权限C:\WINDOWS\Resources取消users组权限C:\WINDOWS\security users组的默认不改，其下Database和logs目录默认不改.取消templates目录users 组权限,给文件加上users组C:\WINDOWS\ServicePackFiles 不用做任何修改，包括其下所有子目录C:\WINDOWS\SoftwareDistribution不用做任何修改，包括其下所有子目录C:\WINDOWS\srchasst 不用做任何修改，包括其下所有子目录C:\WINDOWS\system 保持默认C:\WINDOWS\TAPI取消users组权限，其下那个tsec.ini 权限不要改C:\WINDOWS\twain_32取消users组权限，给目录下的文件加users组权限C:\WINDOWS\vnDrvBas 不用做任何修改，包括其下所有子目录C:\WINDOWS\Web取消users组权限给其下的所有文件加上users组权限C:\WINDOWS\WinSxS 取消users组权限，搜索*.tlb，*.policy，*.cat，*.manifest,*.dll，给这些文件加上everyone组和users权限给目录加NETWORK SERVICE完全控制的权限C:\WINDOWS\system32\wbem 这个目录有重要作用。

一．Windows2000 server 的安装，配置安装活动目录（Active Directory）：选择“开始”→“程序”→“管理工具”→“配置服务器”，单击“下一步”。

单击对话框中的“Active Directory”,出现安装向导并由此配置直到安装成功。

创建工作组：启动WIN2000 SERVER，并以系统管理员（administrator）的身份登陆服务器。

选择“开始”→“程序”→“管理工具”→“Active Directory用户和计算机”，并在其中创建组，在组中加入用户。

添加IIS (Internet信息服务)操作：控制面板→添加/删除程序→添加/删除Windows组件→Internet信息服务→全选二．DNS服务器的配置DNS服务器安装完成以后会自动打开“配置DNS服务器向导”对话框。

用户可以在该向导的指引下创建区域。

第1步，在“配置DNS服务器向导”的欢迎页面中单击“下一步”按钮，打开“选择配置操作”向导页。

在默认情况下适合小型网络使用的“创建正向查找区域”单选框处于选中状态。

第2步，打开“主服务器位置”向导页，如果所部署的DNS服务器是网络中的第一台DNS服务器，则应该保持“这台服务器维护该区域”单选框的选中状态，将该DNS服务器作为主DNS服务器使用，并单击“下一步”按钮第3步，打开“区域名称”向导页，在“区域名称”编辑框中键入一个能反映公司信息的区域名称(如“”)，单击“下一步”按钮第4步，在打开的“区域文件”向导页中已经根据区域名称默认填入了一个文件名。

该文件是一个ASCII文本文件，里面保存着该区域的信息，默认情况下保存在“windowssystem32dns”文件夹中。

保持默认值不变，单击“下一步”按钮第5步，在打开的“动态更新”向导页中指定该DNS区域能够接受的注册信息更新类型。

允许动态更新可以让系统自动地在DNS中注册有关信息，在实际应用中比较有用，因此点选“允许非安全和安全动态更新”单选框，单击“下一步”按钮第6步，打开“转发器”向导页，保持“是，应当将查询转送到有下列IP地址的DNS服务器上”单选框的选中状态。

Windows 2003 服务器详解设置大全Windows Server 2003 是微软推出的一款服务器操作系统，它基于 Windows NT 的架构，具有非常好的稳定性、可靠性和安全性，适用于企业实施各种应用解决方案。

本文将详细介绍 Windows Server 2003 的设置方法和相关技巧。

安装 Windows 2003 服务器安装 Windows Server 2003 服务器需要以下步骤：1.选择安装语言和安装选项，例如安装 Windows Server 2003 标准版或企业版等。

2.选择安装位置，可以选择已有分区上进行安装，也可以新建分区。

3.设置管理员密码，以保证服务器的管理安全。

4.完成安装后，系统会自动重启，启动时将进入 Windows Server 2003配置向导。

配置 Windows 2003 服务器这里讲解 Windows Server 2003 服务器配置的方式和相关技术：配置网络1.左键单击“开始” ->“控制面板” -> “网络连接” -> “本地连接” -> 右键单击“属性”。

2.双击“Internet 协议(TCP/IP)”选项卡，进入“属性”对话框。

3.选择“自动获取 IP 地址”或“手动配置 IP 地址”进行网络配置。

配置域名和 DNS1.在“控制面板”中选择“管理工具”，然后单击“DNS”。

2.可以在“后缀”下输入本地 DNS 服务器的完全限定域名，也可以直接在“区域”下输入域名。

3.单击“新建区域”，输入相应的域名和 IP 地址。

可以在“区域域名”下找到设置的域名。

配置 FTP 高级服务1.在计算机上运行 Microsoft IIS (Internet 信息服务)，并选择“FTP站点”。

2.选择“FTP 站点”，点击“属性”按钮。

3.在“FTP 站点属性”对话框中，单击“高级”选项卡，随后将 FTP 主目录配置为指定目录。

配置防火墙1.在“控制面板”中找到“安全中心”，单击“Windows 防火墙”进行防火墙的配置。

windows2003 web服务器配置目录1. Web服务器概述2. IIS简介3. IIS的安装4. Internet 信息服务(IIS)管理器5.在IIS中创建Web网站6.网站的基本配置7.虚拟目录8.访问权限9.常见问题Web服务器概述Web服务器又称为WWW服务器，它是放置一般网站的服务器。

一台Web服务器上可以建立多个网站，各网站的拥有者只需要把做好的网页和相关文件放置在Web服务器的网站中，其它用户就可以用浏览器访问网站中的网页了。

我们配置Web服务器，就是在服务器上建立网站，并设置好相关的参数，至于网站中的网页应该由网站的维护人员制作并上传到服务器中，这个工作不属于配置服务器的工作。

IIS简介IIS（Internet信息服务器）是 Internet Information Server 的缩写，是微软提供的Internet服务器软件，包括WEB、FTP、SMTP等服务器组件。

它只能用于Windows操作系统。

IIS集成在Windows 2000/2003 Server版中，在Windows 2000 Server中集成的是IIS 5.0，在Windows Server 2003中集成的是IIS 6.0。

IIS 6.0不能用于Windows 2000中。

Windows 9x/Me里也有IIS，但只是PWS（个人WEB服务器），功能很有限，只支持1个连接。

Windows XP里也能安装IIS5.0，但功能受到限制，只支持10个连接。

通常在Windows XP操作系统中安装IIS的目的是为了调试ASP等程序。

IIS的安装一般在安装操作系统时不默认安装IIS，所以在第一次配置Web服务器时需要安装IIS。

安装方法为：1、打开“控制面板”，打开“添加/删除程序”，弹出“添加/删除程序”窗口。

2、单击窗口中的“添加/删除Windows组件”图标，弹出“Windows组件向导”对话框。

图13、选中“向导”中的“应用程序服务器”复选框。

Windowsserver2003web服务器配置教程步骤1：安装Windows Server 2003首先，您需要安装Windows Server 2003操作系统。

确保您具有适当的许可证，并将光盘插入服务器。

按照屏幕上的提示进行操作，直到安装完成。

步骤2：安装IIS（Internet Information Services）一旦Windows Server 2003安装完成，您需要安装IIS作为Web服务器。

打开“控制面板”，然后选择“添加/删除程序”。

在左侧的“添加/删除Windows组件”中，找到“Internet信息服务（IIS）”并选中它。

点击“下一步”并按照屏幕上的提示进行操作，直到安装完成。

步骤3：配置IIS安装完成后，打开IIS管理器。

在“开始”菜单中找到“管理工具”文件夹，然后选择“Internet信息服务（IIS）管理器”。

在左侧的树状列表中，展开“计算机名”并选择“网站”。

右键单击“默认网站”并选择“属性”。

在属性窗口中，您可以更改默认网站的各种设置。

例如，您可以更改网站的端口号，将其从默认的80更改为其他端口（例如8080）。

您还可以设置主目录，选择将网站文件保存在哪个文件夹中。

步骤4：创建虚拟目录或应用程序池在IIS中，您可以创建虚拟目录来托管网站的文件。

虚拟目录是指一个不同于默认网站文件夹的文件夹。

要创建虚拟目录，右键单击“网站”并选择“新建”>“虚拟目录”。

在虚拟目录创建向导中，您需要提供虚拟目录的别名和路径。

别名是您将在浏览器中使用的URL路径，路径是实际文件夹的位置。

按照向导的指示完成创建虚拟目录的过程。

另一种选择是创建应用程序池。

应用程序池是一组进程，用于托管网站或应用程序。

要创建应用程序池，右键单击“网站”并选择“新建”>“应用程序池”。

提供应用程序池的名称和其他设置，然后单击“确定”。

步骤5：配置安全性在配置Web服务器时，确保设置适当的安全性。

如何配置Win2003的NTFS文件系统权限及IIS权限设置参考.txt如果不懂就说出来，如果懂了，就笑笑别说出来。

贪婪是最真实的贫穷，满足是最真实的财富。

幽默就是一个人想哭的时候还有笑的兴致。

如何配置Win2003的NTFS文件系统权限一、首先了解权限设置的方案1、被授予权限的对象分用户和用户组两种2、批量设置有两大方案，当设置某个目录的权限时，进入高级I 可设置是否继承父级权限设置（第一个勾）II 可设置是否替换子目录及文件的权限设置（第二个勾）二、系统盘主要目录的权限设置C:只授予 System 和 Administrators 完全控制权限，删除其他用户或组，不替换子目录C:\Documents and Settings仅继承父级，并替换子目录C:\Inetpub删除之，不要使用该目录作为网站发布的目录。

C:\Program Files仅继承父级，并替换子目录C:\Program Files\Common Files\Microsoft Shared删除继承并保留设置（在“高级”中取消第一个勾，再在弹出的对话中选“复制”）添加 Users 组，只授予读取权限将该目录的设置替换它的子目录（勾中第二个勾）C:\Windows删除继承并保留设置添加 Users 组，只授予读取权限将该目录的设置替换它的子目录（具体做法和上面 /Microsoft Shared 目录设置一样）C:\Windows\Temp添加 IIS_WPG、ASPNET、Network Services、Network 用户或组授予完全控制权限，替换它的子目录C:\Windows\\Framework\v1.1.4322\Temporary Files添加 Everyone，授予完全控制权限，将该设置替换它的子目录三、其他盘的设置C盘设置完成，其他盘均仅给 System 和 Administrators 授予完全控制即可。

网站发布目录授予IIS匿名用户读取访问权限。

IIS权限高级设置以Windows Server 2003为例，虚拟主机用户不必进行此项设置。

首先，我们需要用到以下的组:IIS_WPG 组（也称为 IIS 工作进程组，IIS Worker Process Group）Guests组（来宾组，在系统中拥有最少的权限）以及以下的帐号:Internet 来宾帐户（匿名访问 Internet 信息服务的内置帐户）启动 IIS 进程帐户（用于启动进程外应用程序的 Internet 信息服务的内置帐户）首先我们新建两个帐号，打开控制面版中的管理工具然后找到计算机管理。

双击用户后展开用户的列表，在用户列表内点鼠标右键选择新用户。

如下图：点击新用户后出现下图：在用户名等位置输入您要使用的用户名，全名以及描述是做说明用的可以不填写。

这里建议您的用户名用"_iusr"和"_iwam"来做后缀以区别开IIS来宾帐号，和IIS的进程启动帐号。

一般来说iusr为IIS来宾，iwam为IIS进程启动帐号。

当然您也可以按照您的习惯来做后缀区分两个帐号已方便以后使用。

帐号的密码我建议您使用一个12位以上的数字字母和符号混合密码，或者是一个MD5两次后的密码。

这样可以有效的防止密码被人暴力破解。

帐号建立完成我们来更改一下帐号的所属组，首先更改siteserver_iusr的组为Guests.如下图所示。

接着更改siteserver_iwam的组为IIS_WPG.如下图所示。

这样我们就有了访问网站时用户连接服务器的帐号siteserver_iusr，和服务器用来启动程序池运行.net程序的帐号siteserver_iwam。

下面更改IIS的配置：在控制面板→管理工具→Internet 信息服务(IIS)管理器，打您的站点属性找到目录安全性选项卡，点身份验证和访问控制的编辑出现下图。

用户名中输入我们刚刚新添加的来宾组的帐号siteserver_iusr。