服务器配置之权限设置

　　权限设置是服务器配置的重要内容，也是服务器安全的基础。权限设置主要是对文件夹和文件访问权限的设置，即什么级别的用户能访问某个文件或文件夹，什么级别的用户不能访问，以下总结了系统常用命令文件和主要文件夹应该设置什么样的权限。

 

　　一、系统常用命令文件权限设置

　　1、打开 C 盘，搜索

"net.exe","net1.exe","cmd.exe","regedit.exe","tftp.exe","netstat.exe","at.exe","attrib.exe","cacls.exe","format.com","c.exe"，

只分配 Administrator 权限。

 

　　2、搜索 scrrun.dll，仅分配 Administrators 和 system 权限。

 

 

　　二、系统文件夹权限设置

　　1、C盘及其它盘：仅分配 Administrators 和 system 完全控制 权限；

　　C:\Windows：仅分配 Administrators 完全控制 权限，Users 读取和运行 权限，如图1所示：

图1

 

　　2、C:\Inetpub 文件夹

　　把它删除或仅分配 Administrators 和 system 权限。

 

　　3、只分配 Administrators 权限 的文件夹

　　C:\Documents and Settings（Windows 2008 R2：Users）

　　C:\Documents and Settings\All Users

 

　　5、C:\Documents and Settings\All Users\Documents

　　仅分配 Administrators 和 system 权限。

 

 

　　6、 C:\Documents and Settings\All Users\Application Data

　　仅分配 Administrators 和 IIS_WPG（读、写） 权限。

　　提示：IIS_WPG 用户在 Windows 2008 R2 中是 IIS_IUSRS。

 

　　7、C:\Documents and Settings\All Users\Application Data\Microsoft

　　仅分配 Administrators 和 system 完全控制；

　　IIS_WPG：读、写 权限。

 

　　8、C:\Documents and Settings\All Users\Application Data\Microsoft\HTML Help

　　仅分配 Administrators、system 和 Users 完全控制。

 

　　9、C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\DSS\achineKeys

　　不分配任何用户权限。

 

　　10、C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys

　　仅分配 Administrators 完全控制，如果用到 RSA 加密，需要分配 IIS_WPG 写入权限。

 

 

　　11、仅分配 Administrators 和 system 完全控制，Users 读取和运行 权限的文件夹：

　　C:\Windows\system32

　　C:\Windows\system32\lls

　　C:\Windows\system32\wbem

　　12、C:\Windows\system32\config：仅分配 Administrators 和 system 完全控制；

 

　　13、仅分配 Administrators 和 system 完全控制，Power Users 读取和运行 权限：

　　C:\Windows\system32\3com_dmi

　　C:\Windows\system32\administration

　　C:\Windows\system32\dhcp

　　C:\Windows\system32\drivers

　　C:\Windows\system32\export

　　C:\Windows\system32\icsxml

　　C:\Windows\system32\LogFiles

　　C:\Windows\system32\mui

　　C:\Windows\system32\oobe

　　C:\Windows\system32\ShellExt

　　C:\Windows\AppPatch

　　C:\Windows\Connection Wizard

 

　　14、仅分配 Administrators 和 system 完全控制，Users 继承父权限 的文件夹：

　　C:\Windows\system32\Cache

　　C:\Windows\system32\Com

 

 

　　15、C:\Windows\system32\CatRoot2：仅分配 Administrators 和 system 完全控制，Power Users 和 Users 读取和运行 权限；

　　16、C:\Windows\system32\MicrosoftPassport：仅分配 Administrators 和 system 完全控制，IIS_WPG 读、写、修改，Users 继承父 权限；

 

 

　　17、Windows 文件夹下仅分配 Administrators 和 system：完全控制，Power Users 读取和运行 权限的文件夹：

　　C:\Windows\addins：

　　C:\Windows\Driver Cache

　　C:\Windows\java

　　C:\Windows\msagent

　　C:\Windows\mui

　　C:\Windows\Resources

　　C:\Windows\twain_32

　　C:\Windows\Web

 

　　18、Windows 文件夹下仅分配 Administrators 和 system 完全控制的文件夹：

　　C:\Windows\Debug

  　　C:\Windows\repair

　　C:\Windows\security

 

　　19、C:\Windows\Help：仅分配 Administrators 和 system 完全控制，Power Users 读、写、修改，TERMINAL SERVER USER 读、写 权限；

 

　　20、C:\Windows\IIS Temporary ComPRessed Files：仅分配 Administrators 和 IIS_WPG 完全控制，Users 继承父 权限；

　　21、C:\Windows\system：继承父权限；

　　22、C:\Windows\TAPI：仅分配 Administrators、LOCAL SERVEICE、LOCAL SERVER 和 system 完全控制，Power Users 读、写 权限；

　　23、C:\Windows\Temp：仅分配 Administrators 和 system 完全控制，Power Users 读、写、修改 权限

 

　　24、仅分配 Administrators 和 system 完全控制的文件夹：

　　C:\PRogram Files

　　C:\Program Files\WindowsUpdate

 

　　25、C:\Program Files\Common Files\Microsoft Shared：继承父权限。

 

　　从上面这么多文件夹和文件可以看出，服务器配置的文件夹权限设置是比较麻烦的，但操作很简单，只要有耐心就可以顺利完成。