windows+ms sql环境部署WebFuture，网站文件权限配置

在IIS中右键点击网站名称，选择“编辑权限”。

在“安全”选项卡下，点击“高级”按钮。

Hu[8i;’

在高级安全设置对话框中，按下图如示，设置禁用权限继承关系，选择“将已继承的权限转换为此对象的显式权限。”，通过禁用权限继承关系后，就能进一步删除不必要的权限。

禁用权限继续关系后，即可删除Windows自带的Authenticated Users、Users、Creator Owner等用户或用户组权限，仅保留System、Administrators权限。

其中Authenticated Users是Windows系纺中所有使用用户名、密码登录并通过身份验证的账户，其在网站目录中的权限可能导致其它账户对网站目录下的文件、文件夹进行非法访问和修改，所以有必要删除网站目录里默认自带的Authenticated Users的权限。

同理，Users是Windows所有账户的默认用户组，其在网站目录中的权限同样可能导致其它账户对网站目录进行非法访问，所以也有必要删除其权限。

Creator Owner 账户为访问控制列表（ACL）中的占位符，账户将被子目录或文件“所有者”账户代替，“所有者”可以更改对象的权限，其在网站目录中的权限可能导致目录权限被意外修改，即所谓的“非法提权”中的一种，所以也有必要将其删除。

点击“添加”按钮，在“选择主体”界面输入“IIS Apppool\webfuture”其中的“webfuture”为应用程序池标识账户名称，和程序池名称一样。

设置完账户主体后，点击“显示高级权限”按钮，进入更详尽的权限选择界面

‎网站根目录授予列出文件夹/读取数据、读取属性、读取扩展属性、读取权限这四项权限，如下图所示：

根目录下的Config目录授予列出文件夹/读取数据、读取属性、读取扩展属性、创建文件/写入数据、写入属性、写入扩展属性、读取权限这七项权限。

根目录下的Views、Views.Phone、Views.Pad以及 wwwroot 下的Upload、Content、Content.Pad、Content.Phone、App_Data这五个目录授予列出文件夹/读取数据、读取属性、读取扩展属性、创建文件/写入数据、创建文件夹/附加数据、写入属性、写入扩展属性、删除子文件夹及文件、删除、读取权限这十项权限，如下图所示：

在这里我们给应用程序池标识用户按下表汇总目录权限：

注一： wwwroot / App_Data目录为网站程序的索引、系统日志等数据文件存放目录，需要有写入、删除等权限以使得网站的索引、日志等文件能正常更新；

wwwroot / Upload目录为上传文件存放目录，需要写入、删除等权限，以使得上传的文件能正常保存和管理；

View、View.Pad、View.Phone目录为网站模板视图文件存放目录，需要有写入、删除等权限以使得模板标签文件能在后台被正常管理；

wwwroot / Content、wwwroot / Content.Pad、wwwroot / Content.Phone目录为网站样式文件存放目录，需要有写入、删除等权限以使得风格文件能在后台被正常管理；

Config目录为网站配置文件存放目录，需要写入权限，以使得网站配置信息能正常修改。

注二：应用程序池标识用户的权限配置遵守如下原则：写入权限和执行权限不同时授予同一目录，确保能写入的目录不能被执行，能执行的目录不能被写入。

注三：若网站已完成制作，相关页面的模板、风格无需经常修改，可进一步去除wwwroot / Content、wwwroot / Content.Pad、wwwroot / Content.Phone、View、View.Pad、View.Phone这六个目录的写入、删除权限，以保证网站的风格、模板等文件不被意外修改。当需要修改或管理模板或风格文件时，可重新授予这六个目录的写入、删除权限。