这个问题没有在超级用户回答,我认为这是最好的地方,但没有人知道。 因为它涉及到一个服务器,希望它可以被转移到服务器故障,有人可以帮助我在那里。
基本上,我想testing服务器上的安全性。 我做了一个ASP脚本,只是列出了目录中的文件。 用户IISlogin意味着被locking,并且只能访问一个文件夹。 该脚本返回了文件夹和文件的数量,但在尝试读取其实际名称时拒绝访问。
这个用户名为testlockdown,有一个叫做lockeddown的组
我可以去任何文件夹,右键单击,然后执行属性然后安全性,我点击高级和有效的权限。
如果我检查客人用户或阵风组,我可以看到没有checkbox。 如果我检查组对象locking,没有checkbox,但如果我检查用户testlockdown,有一堆(约6)的对象,包括列表,读,创build对勾。
我一直在撕裂我的耳朵大约2小时,试图找出这个问题,打开审计,通过当地的安全政策,创造了更多的用户,团体。
我已经尽我所能,我无法弄清楚它是如何得到这些权限以及为什么/来自哪里的。
在testing期间,我创build了一个名为foo的新文件夹,在创build时它inheritance了Administrator,Creator所有者(并且im没有以此用户身份login)System和用户组。 但是,在有效的权限下,我又有了所有的checkbox!
从“networking用户testlockdown”我贴
用户名称testlockdown 全名testlockdown 评论用户testing安全性 用户的评论 国家代码000(系统默认) 帐户活跃是的 帐户过期从不 密码最后设置28/06/2009 19:22 密码过期从不 密码可以更改28/06/2009 19:22 需要密码是的 用户可能会更改密码是的 工作站允许所有 login脚本 用户资料 主目录 上次login03/08/2009 03:56 允许login时间全部 本地组成员*locking 全球集团成员*无 命令成功完成。
我在本地团体会员旁边看到一颗星星,但是我找不到这是什么意思,也不知道它是否相关。
我最好的猜测是,不知何故,这个用户正在从用户组获得权限,但我看不到或理解为什么。
我希望我已经提供了足够的信息。 我正在把头发拉出来! 如果您需要更多信息,我很乐意提供。
编辑 – 我应该说,我知道我可以添加一个拒绝的权限,但这不是真正的重点,因为它应该是不必要的
谢谢
你正在看什么被称为特殊权限。 我强烈build议您在Windows安全中阅读这篇文章,其中详细介绍了NTFS的安全性如何工作。
警告:使用IIStesting安全性时要小心。 IIS有另外一层没有链接到NTFS的安全性,但它会强制执行NTFS权限。 同时为特定用户locking文件夹不会影响匿名网站访问(IIS使用自己的帐户而不是login用户)来指定访问权限。
使用进程监视器检查正在访问文件的用户是否是您期望的用户。
你也可以看到用户正在请求什么。
如果这一切看起来不错,使用subinacl实用程序开始查看权限。
我发现这是因为任何用户(guest除外)自动成为已authentication用户的成员,而用户是用户的成员。
这意味着,默认情况下,创build的任何用户都是用户的成员(即使您不添加它们),即使创build了一个看起来完全locking的用户,并且只有一个用户组允许通过一个目录),它仍然具有对Windows目录和其他关键path的完整列表权限。
我不确定有多大的主机处理这个或甚至控制面板(如plesk)自动执行此操作,但我最好的猜测是每个驱动器的根目录,有一个否定的一切,然后只是手动允许主文件夹 – 看来凌乱,但我不知道任何其他方式从authentication的用户组中排除一个组。
无论如何,谢谢你对别人的帮助。