Sikkerhed ved opsætning af flere domains på IIS 5.0

Cykel klubben i min hjemstad

Og der vil du lave sikkerhed, for???
Hva med bare at fjerne, for ASP mulighed, for sitet...

De er nok ikke ligefrem super nørder, som kommer for at ødelægge det du har på serveren...

ASP skal bruges på sitet!

Jeg ved ikke hvor mange der kommer til at rode med den, derfor ville jeg sætte lidt sikkerhed på sitet.

Buger du Win2K(server)?

J. Robert

Ja det er en W2K server.

Min umiddelbare tanke er at
1)
oprette en ny bruger \"CykelWeb\" give \'Læse tilladelse\'

2)
Gøre \'CykelWeb\' medlem af gæste kontoen

3)
Sætte NTFS tilladdelser på deres hjemmemappe \'www\' så det kun er \'Administrator\' og \'CykelWeb\' der har adgang

4)
Angive \'CykelWeb\' Som konto til anonym adgang til siden under mappesikkerhed i IIS snap in (Egenskaber for web stedet)

Men det kan da næsten ikke passe det er nok ?

Hmmmm skal kontoen \'Everyone\' så egentligt ikke slettes fra alle andre mapper på compen. ?

Din fremgangsmåde er rigtig.

Men i punkt 4 får du ikke noget ud af at anvende en anden konto.
- I stedet skal du fjerne markering i \"Anonym\" og anvende \"Intergraded Windows Auth..\" (Du har jo en bruger konto liggende, som IIS vil anvende) De skal så logge sig på din website, når de browser.

Men hvad med upload og rettelser i mappen.

Der skal du have givet forskellige tilladelser i IIS, så derfor gør følgende når ovenstående punkter er udført:

I IIS vælger du websiten og højreklikker.
1. Vælg \"All Tasks\".
2. Vælg \"Configure Server Extensions\"
(Dvs. din mappe er endnu ikke sat op til at arbejde i IIS).
3. Nu er du igang med at oprette webgrupper med IIS-rettigheder (er forskellig fra alm. rettigheder. - se hjælp for nærmere info)
4. Navngiv din gruppen f.eks. \"cykelweb\" eller vælg default.(vælges default kan den anvendes til alle brugere på nye fremtidige websites).
Vælg \"next\"
5. Vælg default administrator og vælg \"Next\".
6. Under Mail Server marker feltet \"No I\'ll do it later\". Vælg \"Next\".
7. Vælg \"Finish\"
8. Gå ind i \"Computer Manager\" og vælg brugeren til dine ny oprettede grupper. (Vælg hver gruppe og tilføj din bruger eller vælg bruger og tilføj grupper).
9. Du er færdig.

J. Robert

øøøhh, var selvfølgelig et svar og ikke en kommentar.

J. Robert

Forresten. - Når \"Configure Server Extension\" benytter ordet \"webserver\", menes der websiten, som er markeret.

J. Robert

Jeg glemte følgende:

Når du er færdig med ovenstående går du ind i IIS og vælger websiten og højreklikker.
Vælg Properties\"
Vælg fanen \"server extensions\"
Marker følgende:
- Log Authors
- Allow Authors to upload executables
(dette er selvfølgelig op til dig).

Er valg muligheden \"sløret\". Skal du istedet vælge \"din server\", højreklik, vælg \"properties\", vælg fanen \"server extensions\"(hér ligger mulighederne også).
For ikke at gøre dine valg globale kan du markere \"Manage permissions manually\", hvorefter du kan gå tilbage til din website og se at \"sløringen\" er væk.

Håber ikke det er for \"roden\".

J. Robert

Ok, men kan jeg ikke under punkt 4) gøre det sådant at de ikke skal logge sig på........evt. hvis man satte den konto til ikke at bruge password så den virker nøjagtigt som IUSR_Maskinnavn.

Grunden til dette er at hvis de bruger forskellige WYSIWYG programmer som kan prewieve siderne på serveren vil de få en fejl fra programmet :-(
Grunden til at jeg smed så mange penge til Server udgaven var at jeg også selv sidder og laver webs til forskellige sites som jeg tester lokalt inden de uploades, og hvis ikke jeg her bruger IUSR_MaskinNavn og anonym adgang fejler mit WYSIWYG prg. hvilket er Dreamweaver UltraDev.

Der skal forresten overhovedet ikke tages hensyn til FrontPage da jeg kun vil tillade alm. FTP overførelse.

Hvis du skulle lægge inde med en fremgangs måde på papir modtager jeg også gerne den på Fax/Mail (kun hvis du har og ellers gider)

Under punkt 4, kan du selvfølgelig gøre som du beskriver. - jeg tænker kun på sikkerheden.

Jeg arbejder selv med dreamweaver UD og kender problemet.

Du skal tænke på at de nok ikke kommer til arbejde Lokalt.

Du kan stadig uploade selvom denne extension er med og sikkerheden bibeholdes.

Jeg vil henvise til hjælp i IIS via browser og TechNet, da jeg eller ikke kender andre metoder end beskrevet.

Måske andre vil give en kommentar (yes,yes)?

J. Robert

Du kan selvfølgelig benytte det du selv skriver under punkt 4 og derefter følge min beskrivelse.

J. Robert

Ok, jeg prøver mig lige frem og tilbage når jeg kommer hjem..........glemte at starte VNC her til morgen :-(

Man bliver jo ligefrem klog af at læse hjælpe filen :-) *LOL*

Min tanke var ikke helt ved siden, det eneste der bare ikke rigtigt står noget om er det med at oprette nye brugere til hvert web sted.
Hvis man oprette en ny bruger til et websted så skal man bare sørge for at give den bruger lov til at logge på lokalt ellers kan IIS ikke få lov at se webstedet og sende filen til klient browseren. Det med at logge på lokalt skulle vist gøres direkte i regristrerings databasen...eller sådan noget....men det finder jeg ud af senere.
Jeg mener at det må bliver mere sikkert at oprette en bruger til hvert websted.
Hvoffor ?

Vi siger der er tre webs. w1 & w2 &w3

hvis alle 3 bruger IUSR_maskinenavn, og denne er tilladt NTFS adgang på de 3 webs, så må det jo på en eller anden måde kunne lade sig gøre at lave et script (FSO) (for en kunde) som så giver adgang til alle 3.
Men hvis w1 har konto k1 og k1 kun har NTFS tilladelse til at operere i sin egen \'www\' mappe så skulle det jo ikke kunne lade sig gøre at få adgang til w2 & w3 forudsat at man selvfølgelig har husket at sætte Administrator, System & Creator Owner kontoerne til \'Full Control\' på ALLE DREV FØRST og slette kontoen Everyone FRA ALLE DREV

Nu er det senge tid, så fortsættelse følger :-))

Kommentarer modtages med åben favn :)

Jeg kan se du har fuldstændig styr på brugerrettigheder til mappe og filer.

Men der er stadig forskel på \"Permissions\" på selve brugerne opsat normalt under \"Brugere & Grupper\" og dem du sætter i IIS.

I IIS er en administrator ikke en administrator...mmmhh (Tænk lidt på den).

Du behøver derfor ikke lave et scripts, som giver en bruger adgang til de 3 web. - Du laver jo 3 grupper i IIS, under \"configure server extension\".

Der bliver derved oprettet 3 webgrupper, defineret efter en i forvejen indbygget konto(De kan ikke ændres). Ligesom f.eks. administrator kontoen når du starter maskinen første gang eller IUSR-kontoen. 

Du smider så den(de) bruger ind i den respektive IIS-gruppekonto(oprettet i IIS), som du ønsker skal arbejde på din IIS.

I IIS permissions har du derved fastsat, hvad dine brugere må i IIS og via forindstillet NTFS rettigheden for Mapper og filer, hvad de må inde i mapperne.(Hvis jeg kan sige det sååån?)

Øøøøøh forvirret. - Det er jeg snart.

Råd:
Når du bruger NTFS, så bibehold fuld adgang i \"Permissions\" og styr istedet dine brugere via \"Security\"(det er det nemmeste).

Jeg er vist ved at være træt, så jeg siger Godnat.

J. Robert

<citat>
Du behøver derfor ikke lave et scripts, som giver en bruger adgang til de 3 web. - Du laver jo 3 grupper i IIS, under \"configure server extension\".
</citat>
Jeg mente også at det kunne være en bruger på web serveren der lavede et script med FSO som gav tilladelse til de 3 webs :-) og det må jo under ingen omstændigheder ske.
FSO er jo en dejlig ting men samtidigt meget meget farlig!

Derfor kunne det tænkes at når man opretter w1, w2 & w3 med konto IUSR_..... og Slettede Everyone fra alle drev og så gav IUSR_... lov til at arbejde i w1,2,3\'s hjemmemappe..... laver lige en skitse :-)

OK. - Jeg er med på hvad du mener.
Et FSO der aktiveres fra websiden via et script.

Jeg kigger lidt på det senere i aften.
- Jeg skal lige være 100% sikker på hvad ISS går ved Executefiler og hvad rettigheder de har.

Info:
Når du vælger mappen(i explore)du har sat rettigheder på kan du ved højreklik vælge \"properties\"/\"security\"/\"advanced\".
Vælg den bruger du vil se specielle rettigheder på og vælg View/Edit.

Hér er en dejlig liste man kan ændre lidt på.
- Jeg sammenligner lige denne med IIS Permission.

Vender tilbage lidt senere(maven knurrer), hvis du ikke allerede har fundet en løsning.

J. Robert

Der kom så mange kunder sidst på dagen at først har fået fred nu :-)

Er lige ved at lave en skitse over hvordan jeg mener at det sættes mest sikkert op + læse i iishelp

BTW.
Jeg er fuldt ud klar over hvordan man sætter rettigheder på drev og hvordan rettigheder på mapper arter sig i forhold til drev rettigheder

Det lyder dejligt, for så ved du også følgende:
For at kunne sætte rettigheder hvilken bruger skal man så være. - Ja, \"administrator\"/\"Acount Operators\".

Dvs. uanset om de laver et FSO script der prøver på at lave nye rettigheder/tilladelser, så kan det ikke lade sig gøre, da de ikke har disse rettigheder. de kender heller ikke bruger/password, som skal indgå i scriptet for at få adgang. De kan kun lave \"sikre\" executes.

Du skal som du har nævnt tidligere ikke slette \"Everyone\" for alle mapper, da dine brugere stadig kun har adgang til den ene mappe du har givet dem rettighed til.

Alle andre mapper (selv med everyone rettighed) kan de ikke røre ved.

Det der kan ske er at de overfylder din harddisk.

Correct me if I\'m wrong?

J. Robert

AAAAAAAAA you might be wrong :-))

men nu skal jeg ikke lege smart *LOL*

Der stod at det anbefales at slette Everyone fra drevene!!! og så give hjemmemappe w1 tilladelse med konto k1 og så arver rettigheder fra Parent samtidigt......

Skitse er næsten færdig :-)

http://bo-johansen.adsl.dk/eksperten/100762/

giver den mening ???

Der stod at IIS påtager sig den Konto som der er angivet for web stedet (vi siger browser kald til w1 med konto k1) og tjekker NTFS rettighederne på den fil der kaldes fra browseren, er der angivet at k1 har ret til at læse filen kan IIS læse den og sende den til browseren, hvis Rettighederne ikke er sat kan IIS ikke læse filen.
Ergo, ved at slette everyone (som også inkludere Guest) og lave konto til w1 = k1 og kun tillade k1 på den ene mappe med der tilhørende undermapper så må det da være totalt umuligt at liste noget som helst med FSO fra andet end w1\'s hjemmemappe

Sludre jeg eller lyder det ikke bare lidt rigtigt ??

Jeg er lige ved at kigge på den.
J. Robert

Du har OS på C: ikke?
Og du har givet dem \"Full Control\"?
Jeg går udfra at dine brugere ikke har nogen konto i rød markering, men kun i blå, hvor du kan give \"Full Control\" over mapperne (w1,w2,w3).

I IIS skal du så oprette Permission (server extensions) over webstedet via Wizard.

Wizard opretter 3 grupper til websted (administrator, Auhtor, user).

Du skla derefter smide dine brugerkontoer over i de respktive grupper.

Det mener jeg er mest sikkert.
- Kan du følge mig?

J. Robert

skla = skal
respktive=respektive

Yep.

Det er kun Rød der har rettigheder på C: og undermapper.

Blå Kontoer tildeles så til hver deres web af mig manuelt.

Oprette w1 :
Under oprettelse af Web angives der så bare at kontoe w1 bruges til dette og ikke IUSR_Maskinnavn
Det er totalt ligegyldigt hvor mange rettigheder jeg tildeler igennem IIS, da NTFS tilladelserne overgår dem som er sat i IIS hvis de er mindre sikker end NTFS tilladelserne

eks. (1
NTFS tilladelsen på w1 er kun sat til \'Read\'
Jeg sætter så IIS tilladelsen til \'Read\' og \'Execute\' men alligevel kan der ikke Excecutes noget fordi NTFS ikke tillader det.

eks. (2
NTFS tilladelsen på w1 er kun sat til \'Read\' og \'Execute\'
Jeg sætter så IIS tilladelsen til \'Read\' men alligevel kan der ikke Excecutes noget fordi IIS ikke tillader det selvom NTFS gør.

Det er rigtigt at begrænsninger ligger på laveste rettighed tildelt brugeren på stedet.

Men som du lige har sat det op kan du jo ligeså godt sige at de har \"Read\" og \"Write\" i NTFS og ikke andet.

Jeg troede de skulle have mulighed for at køre scripts (ASP), men det skal de måske ikke?

Hvorfor lader du ikke IIS tildele til blå konto?
Det er Build-In rettigheder specielt begrænset til webstedet.

På den måde kan brugerne \"Execute\" uden fare for sikkerheden.

Men hvis du skal være sikker på de ikke kører scripts er det den rigtige måde du gør det på.

J. Robert

Jo jo de skal også have ret til at køre asp of FSO, det var kun et lille simpelt eksempel.

<citat>
Hvorfor lader du ikke IIS tildele til blå konto?
</citat>
Det er for at undgå et evt. sikkerheds hul i IIS, IIS vil jo tildel den forbandede Everyone konto.

Jeg tester lige lidt.

Lidt trælst at det nye kabinet ikke er kommet endnu, så nu skal jeg gøre det på min arbejds maskine hvor alle min doks og andet ligger........nu vil jeg sørme håbe det ikke går galt :-)

Det kan højst køre webserveren helt ned og brænde CPU\'en af *G*.

Back to the buttom of the toppage... mmmmhh.

NEJ!
Det du snakker om nu er IIS inde i \"Properties\", \"Directory Securities\".
Det er dem du selv vil sætte op og det er OK.

Men til den blå konto snakker jeg om \"All Tasks\", \"Server Extensions\".

Kør den wizard(Om end, så får du den prøvet). Gå bagefter ind i \"Computer Manager\", \"Users\". Nu kan du se den har oprettet 3 grupper. Det er disse grupper du skal bruge og delegere dine IIS rettigheder fra.

Du kan altid slette dem bagefter og efterlader ingen rester.

J. Robert

Jeg sidder foresten lige og indstallere PHP til Webservern. - Kender du noget til det?
J. Robert

Vi har vist snart fyldt hele databasen herinde  op *g*
J. Robert

Jamen det er lige det, ligemeget hvad jeg vælger så oprettes der ikke en ny Bruger men i stedet bruges IUSR_MaskinNavn og så igen tillader den Everyone kontoen og sætter NTFS tilladelser for EveryKontoen til det som jeg selvfølgelig vælger.

Jeg mener ikke Everyone kontoen har noget at lave som NTFS på den folder. Det skal kun være Admin, Owner og System + den konto som jeg selv opretter.

Tror jeg har fået det til at funge. Er ved at lave en check liste som jeg lige poster her når den er færdig. Det bliver nok først Søndag da jeg har en masse jeg skal have lavet.

BTW.
Dette er den bedste tråd jeg nogensinde har været med i her på eksperten.dk nogensinde.

Jeg hæver points til 100 som tak for din kæmpe store deltagelse i denne tråd :-)

Nej desværre, har ikke leget med PHP endnu, men det er helt klart næste project :)

Ved at disable Everyone kontoen kan andre heller ikke få adgang selvom de fysisk er ved serveren :-)

Jeg er virkeligt ude i det helt store sikkerheds ? her *LOL*

Hov....

Du skriver \'All Tasks + Server Extensions\'

Jeg har kun \'All Tasks + Permission Wizard\'

FP 2000 Server Extensions er ikke installeret i IIS, skal de det for at få den frem...... dammmmmmmm håber ikke det er rigtigt.....vil ikke have deres skide FP extension installeret, den er et stort sikkerheds hul efter hvad jeg læste engang

Nå nu er det senge tid.

Vender frygteligt tilbage snart :-)

Jeg har testet lidt frem og tilbage og har fundet at den eneste måde hvor man selv 100% bestemmer hvilke kontoer og rettigheder der tildeles til web stedet, gøres på denne måde :

<liste>

I dette eksempel opretter vi 1 web-sted.

Adressen er fiktiv og er www.web.dk

Dette Web sted kalder vi \'W1\' fra nu af.

1)
Vi opretter en Konto til web stedet som vi kalder \'K1\' i Users.
Password sætter vi til \'1\' og gør denne medlem af Gruppen Guest.

2)
Vi opretter en mappe på \'D:\\home\\webdk\\\' i webdk ligger der 2 mapper
\'www\' & \'db\'

D:
..|home
..|..|webdk
..|..|..|www
..|..|..|db

3)
Nu sætter vi vores NTFS tilladelser på selve drevet.

Stifinder åbnes og der højreklikkes på D:
Vælger \'Properties + Security\'

Her tilføjer vi følgende Kontoer :

\'Administrator\' med \'Full Control\'
\'Creator Owner\' med \'Full Control\'
\'System\' Med \'Full Control\'

Alle andre kontoer slettes så det kun er de 3 der har tilladelse
til drevet. (bør gøres på alle drev som er på maskinen)

Clicker \'Ok\'

4)

4.A)
Åbner MMC \'start + settings + Controlpanel + Administrative tools +
Computer Management\' udvider noden \'Service and Applications\'
markere \'Internet information Service\' vælger \'Action + New + Web Site\'


4.B)
Click \'Next\' Description skriver vi \'www.web.dk\' + \'Next\'

Vælger maskinens ip adresse

Sætter TCP port til \'80\'

Skriver Host Headder til \'www.web.dk\'

\'Next\'

Vælger stien til webbet \'D:\\home\\webdk\\www\'

Vikler \'Allow anonymous Access\' fra


\'Next\'

vælger de rettigheder man ønsker

\'Next\'

5)
Højre klik på \'www.web.dk\' + \'Properties\'


5.A) Fanebladet \'Web Site\'

Under \'Advanced\' + \'Add\' Vælges Ip + Port \'80\' + Host Headder Name =
\'web.dk\' + \'Ok\'

Enable logging skal være vinklet til.


5.B) Fanebladet \'Directory Security\'

Under \'Anonymous Acces\' click \'Edit\'

Vinkel \'Anonymous Acces\' til + Click \'Edit\'

\'Browse\' og vælg bruger konto \'K1\' + \'Ok\'

Slet nu din servers navn samt \'\\\'

Sørg for at \'Allow IIS to control password\' er vinklet fra.

skriv \'1\' som password og confirm password (vindue lukker)

Vinkel \'Integrated Windows authentication\' til. + \'Ok\'

Tryk \'Apply\' + \'Ok\'


6) NTFS Rettigheder web stedet.

Åben \'Stifinder\' find mappen \'webdk\'
Under egenskaber for denne vælges \'Security\'
Der skulle gerne kun være 3 kontoer her, \'Aministrator\', \'System\' og
\'Creator Owner\'
Click \'Add\' og vælg konto \'K1\' og tildel de tilladelser den nu skal have.
Gå evt. ind under \'Advanced\' for at få flere muligheder.

\'Ok\'

Dit site er nu færdigt og sikret.

</liste>

Den eneste måde jeg har fået det til at funge uden at \'Everyone\' kontoen bliver tildelt mappen.
Grunden til at jeg sætter NTFS tilladelser \'K1\' på mappen \'webdk\' og ikke under mappen \'www\' er at så kan databaser ligge i mappen \'db\' uden for port 80\'s rækkevidde men stadigt så IIS kan få lov at læse DB\'er som bruges på web stedet.

Er det ikke nogenlunde rigtigt sat op ??

Punkt 1:
Desuden skal du have sikret dig at den anonyme bruger der oprettes (k1) har fået tildelt rettigheden til at logge på lokalt ellers giver IIS ingen adgang til nogen, se følgende:

You can change the account that is used for Anonymous authentication in the Internet Information Services snap-in, either at the Web server service level, or for individual virtual directories and files. The anonymous account must have the user right to log on locally. If the account does not have the Log On Locally permission, IIS will not be able to service any anonymous requests.

Sådan giver du Log on Locally rettigheder:
Domain controller security policiy/local policy/user rigts assignment/logon locally/ (tilføj konto k1 eller gruppen).

Begrænsinger på \"Integrated Windows Auth..\":
1. Only Microsoft Internet Explorer, version 2.0 or later, supports this authentication method.
2. Integrated Windows authentication does not work over HTTP Proxy connections.

Ellers vil jeg gøre det på samme måde(Flot arbejde).

Ja det er lige det med Domain controller..... kan ikke finde den nogen steder....vent fandt den sgu lige :-))

control panel + administrative tools + Local security polici :-)

Ahhhhhh så opretter jeg en gruppe der hedder \'WEBS\' og giver den tilladelse til \'Log on locally\' og gør de forskellige sites kontoer (K1) medlem af denne (så er jeg fri for at give hver konto ret til log on locally)
På denne måde må jeg da være 100% sikker på at Windows ikke lige pludselig adder en bruger nogen steder som han ikke skal have lov til.

Det aller bedste var selvfølgelig at lade være med at bruge gruppen \'WEBS\' og sætte log on locally på hver bruger......... hvis man sådant helt skulle undgå sikkerheds krydsninger nogen steder meeeeeeeeeeeeeen der skal vel også være en grænse til dette hobby brug :-)

test.bo.leweb.dk

kan du se den ?

http://test.bo.leweb.dk selvfølgelig :-)

Yep! - Flot design *G*

Ha ha mange tak :-)

Det tog flere timer at lave.....må hellere sætte en lille Copyright nede i hjørnet :-))

Smider lige en opdateret fremgangs måde her om lidt.

Takker for point.

Sådan, en idiot sikker forklaring på hvordan en server kan!!! sættes op.

Så må vi jo bare håbe at det er nogenlunde rigtigt ;-))


<Forklaring>

I dette eksempel opretter vi 1 web-sted.

Adressen er fiktiv og er www.web.dk

Dette Web sted kalder vi \'W1\' fra nu af.

1) Oprette Konto og Gruppe

1.A)
Vi opretter først en ny Gruppe som vi kun bruger til formål at logge på
lokalt så vi er fri for at sætte den værdi hver gang der oprettes 1 web sted

Start + Settings + ControlPanel + Administrative tools + Computer Management (MMC)
Udvid noden \'System Tools\' og \'Local Users and Groups\' marker Groups gå til
\'Action\' (I TOPPEN) + \'New Group\'

Group Name = Web Gruppe
Description = Web gruppe som bruges til Log On Locally for alle sites


Gå nu til

Start + Settings + ControlPanel + Administrative tools + Local Security Policy
Udvid noden \'Local Policies\' click på \'User Rights Assigment\' og find
\'Log On Locally\' + dobbelt click + \'Add\' vælg \'Web Gruppe\' \'Ok\' og \'Ok\'
Luk \'Local Security Settings\'


1.B)
Vi opretter en Konto til web stedet som vi kalder \'K1\' i Users.
Password sætter vi til \'1\' og gør denne medlem af Gruppen \'Web Gruppe\'

2)
Vi opretter en mappe på \'D:\\home\\webdk\\\' i webdk ligger der 2 mapper
\'www\' & \'db\'

D:
|home
| |_ webdk
|    |_ www
|    |  |_ Bruges til Hjemmeside
|    |
|    |_ db
|        |_ Bruges til Databaser

3)
Nu sætter vi vores NTFS tilladelser på selve drevet.

Stifinder åbnes og der højreklikkes på D:
Vælger \'Properties + Security\'

Her tilføjer vi følgende Kontoer :

\'Administrator\' med \'Full Control\'
\'Creator Owner\' med \'Full Control\'
\'System\' Med \'Full Control\'

Alle andre kontoer slettes så det kun er de 3 der har tilladelse
til drevet. (bør gøres på alle drev som er på maskinen)

Clicker \'Ok\'

4)

4.A)
Åbner MMC, udvider noden \'Service and Applications\' markere
\'Internet information Service\' vælger \'Action + New + Web Site\'


4.B)
Click \'Next\' Description skriver vi \'www.web.dk\' + \'Next\'

Vælger maskinens ip adresse

Sætter TCP port til \'80\'

Skriver Host Headder til \'www.web.dk\'

\'Next\'

Vælger stien til webbet \'D:\\home\\webdk\\www\'

Vinkler \'Allow anonymous Access\' fra


\'Next\'

vælger de rettigheder man ønsker

\'Next\'

5)
Under noden \'Services And Applications\' + \'Internet Information Service\'
Højre klik på \'www.web.dk\' + \'Properties\'


5.A) Fanebladet \'Web Site\'

Under \'Advanced\' + \'Add\' Vælges Ip + Port \'80\' + Host Headder Name =
\'web.dk\' + \'Ok\'

Enable logging skal være vinklet til.


5.B) Fanebladet \'Directory Security\'

Vinkel \'Anonymous Acces\' til + Click \'Edit\'

\'Browse\' og vælg bruger konto \'K1\' + \'Ok\'

Slet nu din servers navn samt \'\\\'

Sørg for at \'Allow IIS to control password\' er vinklet fra.

skriv \'1\' som password og confirm password (vindue lukker)

Vinkel \'Integrated Windows authentication\' til. + \'Ok\'

Tryk \'Apply\' + \'Ok\'


6) NTFS Rettigheder web mappen.

Åben \'Stifinder\' find mappen \'webdk\'
Under egenskaber for denne vælges \'Security\'
Der skulle gerne kun være 3 kontoer her, \'Aministrator\', \'System\' og
\'Creator Owner\'
Click \'Add\' og vælg konto \'K1\' og tildel de tilladelser den nu skal have.
Gå evt. ind under \'Advanced\' for at få flere muligheder.

\'Ok\'

Dit site er nu færdigt og sikret og www bruges til at lægge hjemmesiden op i
mens db bruges til databaser som ikke kan downloades fra port 80.

</forklaring>

Hejsa,

1) Hvor oprettes "K1" kontoen?
2) Hvad er forskellen på under pkt. 5.B. at have "IUSR_something" og så din "K1" konto?
3) Hvilken konto/rettigheder vil du bruge til FTP?
4) Hvilken konto/rettigheder vil du bruge til billedbehandling?
5) Hvilken konto/rettigheder vil du bruge til at oprette biblioteker udenfor www root?
6) Hvilken konto/rettigheder vil du bruge til at slette biblioteker udenfor www root?

På forhånd tak.

1) Under Users.
bliver vel det samme som dette :
Start + Settings + ControlPanel + Administrative tools + Computer Management (MMC)
Udvid noden \'System Tools\' og \'Local Users and Groups\' marker Groups gå til
\'Action\' (I TOPPEN) + \'New Group\'

Bare at skifte Group ud med Users, hvis jeg ikke husker forkert.

2)Hvis du tænker på IUSR_something som IUSR_ServerNavn, så er forskellen at du er 100% sikker på at K1 Kontoen absolut kun har adgang til det websted du definere under NTFS rettighederne på mapperne, mens IUSR_ServerNavn vil have NTFS rettigheder til alle web server mapper
3) Vil bruge et andet FTP program end det som er med Windows
4) ?
5) Den konto som er defineret til det web sted (K1)
6) samme som over