最近公司新配置的win10电脑,由于测试关于windows系统上项目的安装程序时默认使用了c盘安装,发现安装后的项目不是崩溃就是运行没结果的,偶然间发现同一个安装程序在d盘或其他非系统盘安装则正常。很自然会怀疑这是安装之后的项目在c盘没有足够的读写权限的原因。果然在网上查找相关原因后发现是因为win10的安全权限提高,默认不允许用户权限写访问系统盘。

asp.net服务器安全之磁盘访问权限设置

  于是手贱的我开始了一波犀利操作,手动把c盘的权限分配给所有人,但是由于默认账户不是管理员,导致对c盘的很多文件没有权限访问,电脑到手就不允许用户切换为管理员,这就让我很伤脑筋了,一怒之下做了最后的致命一击,更改c盘的所有者为我所在用户!当时的冲动总要付出代价的,于是电脑瞬间只留下了桌面壁纸,当我再次试图重启开机后,才偶然间想起,c盘已经丢失了TrustedInstaller的所有者和相关权限,这样系统启动就进不去了,哪里还有我所在用户的访问机会?于是就这样把电脑弄死了。

硬盘或文件夹: C:\ D:\ E:\ F:\ 类推

  因为所有的文件并没有损坏,只是无法访问,所以问题还不是最糟,但是没有权限进入c盘,原系统的所有操作包括恢复系统等,都是不可能存在了,当然中间也有试过使用大白菜的winpe切换回c盘权限,然而winpe里边却没有嵌入关于文件权限的内容,很遗憾也不能操作。

 

  就在我绝望着重新划分新区,从官网下使用U盘介质重装系统之后,在新系统上对旧系统所在磁盘分区进行修改所有者和权限之后,重启旧系统进入竟然又恰巧回来了。而且由于重新获取权限后为everyone完全控制,重新在c盘安装并运行项目也完全ok了。

主要权限部分:

  兜兜转转一圈,只是为了降低c盘的安全性?

其他权限部分:

  以后还是尽量少操作系统盘的好!

Administrators

  以此警记!

完全控制

 

 


如果安装了其他运行环境,比如PHP等,则根据PHP的环境功能要求来设置硬盘权限,一般是安装目录加上users读取运行权限就足够了,比如c:\php的话,就在根目录权限继承的情况下加上users读取运行权限,需要写入数据的比如tmp文件夹,则把user的写删权限加上,运行权限不要,然后把虚拟主机用户的读权限拒绝即可。如果是mysql的话,可以把mysql安装目录只要同硬盘根目录权限就可以了。如果是winwebmail,则最好建立独立的应用程序池和独立IIS用户,然后整个安装目录有user用户的读/运行/写/权限,IIS用户则相同,这个IIS用户就只用在winwebmail的WEB访问中,其他IIS站点切勿使用,安装了winwebmail的服务器硬盘权限设置后面举例

 

该文件夹,子文件夹及文件

 

<不是继承的>

CREATOR OWNER

完全控制

 

只有子文件夹及文件

 

<不是继承的>

SYSTEM

完全控制

 

该文件夹,子文件夹及文件

 

<不是继承的>

 

硬盘或文件夹: C:\Inetpub\

 

主要权限部分:

其他权限部分:

Administrators

完全控制

 

 

该文件夹,子文件夹及文件

 

<继承于c:\>

CREATOR OWNER

完全控制

 

只有子文件夹及文件

 

<继承于c:\>

SYSTEM

完全控制

 

该文件夹,子文件夹及文件

 

<继承于c:\>

 

硬盘或文件夹: C:\Inetpub\AdminScripts

 

主要权限部分:

其他权限部分:

Administrators

完全控制

 

 

该文件夹,子文件夹及文件

 

<不是继承的>

SYSTEM

完全控制

 

该文件夹,子文件夹及文件

 

<不是继承的>

 

硬盘或文件夹: C:\Inetpub\wwwroot

 

主要权限部分:

其他权限部分:

Administrators

完全控制

IIS_WPG

读取运行/列出文件夹目录/读取

 

该文件夹,子文件夹及文件

 

该文件夹,子文件夹及文件

 

<不是继承的>

 

<不是继承的>

SYSTEM

完全控制

Users

读取运行/列出文件夹目录/读取

 

该文件夹,子文件夹及文件

 

该文件夹,子文件夹及文件

 

<不是继承的>

 

<不是继承的>

这里可以把虚拟主机用户组加上
同Internet 来宾帐户一样的权限
拒绝权限

Internet 来宾帐户

创建文件/写入数据/:拒绝
创建文件夹/附加数据/:拒绝
写入属性/:拒绝
写入扩展属性/:拒绝
删除子文件夹及文件/:拒绝
删除/:拒绝

 

该文件夹,子文件夹及文件

 

<不是继承的>

 

硬盘或文件夹: C:\Inetpub\wwwroot\aspnet_client

 

主要权限部分:

其他权限部分:

Administrators

完全控制

Users

读取

 

该文件夹,子文件夹及文件

 

该文件夹,子文件夹及文件

 

<不是继承的>

 

<不是继承的>

SYSTEM

完全控制

 

 

该文件夹,子文件夹及文件

 

<不是继承的>

 

硬盘或文件夹: C:\Documents and Settings

 

主要权限部分:

其他权限部分:

Administrators

完全控制

 

 

该文件夹,子文件夹及文件

 

<不是继承的>

SYSTEM

完全控制

 

该文件夹,子文件夹及文件

 

<不是继承的>

 

硬盘或文件夹: C:\Documents and
Settings\All Users

 

主要权限部分:

其他权限部分:

Administrators

完全控制

Users

读取和运行

 

该文件夹,子文件夹及文件

 

该文件夹,子文件夹及文件

 

<不是继承的>

 

<不是继承的>

SYSTEM

完全控制

USERS组的权限仅仅限制于读取和运行,
绝对不能加上写入权限

 

该文件夹,子文件夹及文件

 

<不是继承的>

 

硬盘或文件夹: C:\Documents and
Settings\All Users\「开始」菜单

 

主要权限部分:

其他权限部分:

Administrators

完全控制

 

该文件夹,子文件夹及文件

 

<不是继承的>

SYSTEM

完全控制

 

该文件夹,子文件夹及文件

 

<不是继承的>

 

硬盘或文件夹: C:\Documents and
Settings\All Users\Application Data

 

主要权限部分:

其他权限部分:

Administrators

完全控制

Users

读取和运行

 

该文件夹,子文件夹及文件

 

该文件夹,子文件夹及文件

 

<不是继承的>

 

<不是继承的>

CREATOR OWNER

完全控制

Users

写入

 

只有子文件夹及文件

 

该文件夹,子文件夹

 

<不是继承的>

 

<不是继承的>

SYSTEM

完全控制

两个并列权限同用户组需要分开列权限

 

该文件夹,子文件夹及文件

 

<不是继承的>

 

硬盘或文件夹: C:\Documents and
Settings\All Users\Application Data\Microsoft

 

主要权限部分:

其他权限部分:

Administrators

完全控制

Users

读取和运行

 

该文件夹,子文件夹及文件

 

该文件夹,子文件夹及文件

 

<不是继承的>

 

<不是继承的>

SYSTEM

完全控制

此文件夹包含 Microsoft 应用程序状态数据

 

该文件夹,子文件夹及文件

 

<不是继承的>

 

硬盘或文件夹: C:\Documents and
Settings\All Users\Application
Data\Microsoft\Crypto\RSA\MachineKeys

 

主要权限部分:

其他权限部分:

Administrators

完全控制

Everyone

列出文件夹、读取属性、读取扩展属性、创建文件、创建文件夹、写入属性、写入扩展属性、读取权限

 

只有该文件夹

 

Everyone这里只有读写权限,不能加运行和删除权限,仅限该文件夹

只有该文件夹

 

<不是继承的>

<不是继承的>

 

硬盘或文件夹: C:\Documents and
Settings\All Users\Application
Data\Microsoft\Crypto\DSS\MachineKeys

 

主要权限部分:

其他权限部分:

Administrators

完全控制

Everyone

列出文件夹、读取属性、读取扩展属性、创建文件、创建文件夹、写入属性、写入扩展属性、读取权限

 

只有该文件夹

 

Everyone这里只有读写权限,不能加运行和删除权限,仅限该文件夹

只有该文件夹

 

<不是继承的>

<不是继承的>

 

硬盘或文件夹: C:\Documents and
Settings\All Users\Application Data\Microsoft\HTML Help

 

主要权限部分:

其他权限部分:

Administrators

完全控制

Users

读取和运行

 

该文件夹,子文件夹及文件

 

该文件夹,子文件夹及文件

 

<不是继承的>

 

<不是继承的>

SYSTEM

完全控制

 

 

该文件夹,子文件夹及文件

 

<不是继承的>

 

硬盘或文件夹: C:\Documents and
Settings\All Users\Application
Data\Microsoft\Network\Connections\Cm

 

主要权限部分:

其他权限部分:

Administrators

完全控制

Everyone

读取和运行

 

该文件夹,子文件夹及文件

 

该文件夹,子文件夹及文件

 

<不是继承的>

 

<不是继承的>

SYSTEM

完全控制

Everyone这里只有读和运行权限

 

该文件夹,子文件夹及文件

 

<不是继承的>

 

硬盘或文件夹: C:\Documents and
Settings\All Users\Application
Data\Microsoft\Network\Downloader

 

主要权限部分:

其他权限部分:

Administrators

完全控制

 

该文件夹,子文件夹及文件

 

<不是继承的>

SYSTEM

完全控制

 

该文件夹,子文件夹及文件

 

<不是继承的>

金沙糖果派对官方网站 , 

硬盘或文件夹: C:\Documents and
Settings\All Users\Application Data\Microsoft\Media Index

 

主要权限部分:

其他权限部分:

Administrators

完全控制

Users

读取和运行

 

该文件夹,子文件夹及文件

 

该文件夹,子文件夹及文件

 

<不是继承的>

 

<继承于上一级文件夹>

SYSTEM

完全控制

Users

创建文件/写入数据
创建文件夹/附加数据
写入属性
写入扩展属性
读取权限

 

该文件夹,子文件夹及文件

 

只有该文件夹

 

<不是继承的>

 

<不是继承的>

 

Users

创建文件/写入数据
创建文件夹/附加数据
写入属性
写入扩展属性

 

只有该子文件夹和文件

 

<不是继承的>

 

硬盘或文件夹: C:\Documents and
Settings\All Users\DRM

 

主要权限部分:

其他权限部分:

这里需要把GUEST用户组和IIS访问用户组全部禁止
Everyone的权限比较特殊,默认安装后已经带了
主要是要把IIS访问的用户组加上所有权限都禁止

Users

读取和运行

 

该文件夹,子文件夹及文件

 

<不是继承的>

Guests

拒绝所有

 

该文件夹,子文件夹及文件

 

<不是继承的>

Guest

拒绝所有

 

该文件夹,子文件夹及文件

 

<不是继承的>

IUSR_XXX
或某个虚拟主机用户组

 

 

拒绝所有

该文件夹,子文件夹及文件

<不是继承的>

 

硬盘或文件夹: C:\Documents and
Settings\All Users\Documents
(共享文档)

 

主要权限部分:

其他权限部分:

Administrators

完全控制

 

该文件夹,子文件夹及文件

 

<不是继承的>

CREATOR OWNER

完全控制

 

只有子文件夹及文件

 

<不是继承的>

SYSTEM

完全控制

 

该文件夹,子文件夹及文件

 

<不是继承的>

 

硬盘或文件夹: C:\Program Files

 

主要权限部分:

其他权限部分:

Administrators

完全控制

Users

读取和运行

 

该文件夹,子文件夹及文件

 

该文件夹,子文件夹及文件

 

<不是继承的>

 

<不是继承的>

CREATOR OWNER

完全控制

 

 

只有子文件夹及文件

 

<不是继承的>

SYSTEM

完全控制

 

该文件夹,子文件夹及文件

 

<不是继承的>

 

硬盘或文件夹: C:\Program Files\Common
Files\Microsoft Shared\web server extensions

 

主要权限部分:

其他权限部分:

Administrators

Author

发表评论

电子邮件地址不会被公开。 必填项已用*标注