오래됀 문서인데 필요한거 같아서 올려 봅니다.
참고하시길 바랍니다.
IIS 5.0 실행에 필요한 최소 NTFS 권한 |
마지막으로 수정한 날짜 : 13-Jun-2001
문서 번호: KR271071
본 문서의 정보는 다음의 제품에 적용됩니다.:
- Microsoft Internet Information Services 5.0
현상
이 문서에서는 IIS 5.0 웹 사이트에 필요한 최소 NTFS 액세스 권한에 대해 설명합니다. IIS를 설치할 때 이미 기본 웹 사이트와 기본 FTP 사이트에 대해 적절한 NTFS 액세스 권한을 갖고 있어야 합니다. 올바른 NTFS 권한이 필요한 폴더가 많이 있습니다. 이러한 폴더 중 하나의 설정이 틀리면 다음 중 하나 이상의 오류가 발생할 수 있습니다.
웹 브라우저의 오류:
You are not authorized to view this page
You do not have permission to view this directory or page using the credentials you supplied.
HTTP 401.3 - Access denied by ACL on resource
Internet Information Services
-또는-
웹 브라우저의 오류:
Server Application Error
The server has encountered an error while loading an application during the processing of your request. Please refer to the event log for more detailed information. Please contact the server administrator for assistance.
시스템 로그의 오류 설명:
Event Type: Warning
Event Source: W3SVC
Event Category: None
Event ID: 36
Date: 3/5/2001
Time: 9:59:40 AM
User: N/A
Computer: MACHINE-NAME
Description:
The server failed to load application '/LM/W3SVC/5/Root'. The error was 'General access denied error'.
For additional information specific to this message please visit the Microsoft Online Support site located at: http://www.microsoft.com/contentredirect.asp.
Event Type: Error
Event Source: DCOM
Event Category: None
Event ID: 10001
Date: 3/5/2001
Time: 9:59:40 AM
User: NT AUTHORITY\SYSTEM
Computer: MACHINE-NAME
Description:
Unable to start a DCOM Server: {99169CB1-A707-11D0-989D-00C04FD919C1} as ./IWAM_MACHINE-NAME. The error: "Access is denied. " Happened while starting this command: C:\WINNT\System32\dllhost.exe /Processid:{3D14228D-FBE1-11D0-995D-00C04FD919C1}
-또는-
웹 브라우저의 오류:
Error: Access is Denied.
시스템 로그의 오류 설명:
Event Type: Warning
Event Source: W3SVC
Event Category: None
Event ID: 30
Date: 3/5/2001
Time: 10:01:13 AM
User: N/A
Computer: MACHINE-NAME
Description:
The server was unable to read the file C:\WINNT\help\iisHelp\common\401-3.htm. The file does not exist. For additional information specific to this message please visit the Microsoft Online Support site located at: http://www.microsoft.com/contentredirect.asp.
원인
NTFS 권한이 기본 설정에서 변경되어 IIS 5.0 실행 권한으로는 충분하지 않습니다.
해결 방법
참고: 본 문서에서 설명하는 단계를 수행하면 IIS 5.0 컴퓨터에서 관리자만 소프트웨어를 설치하거나 실행할 수 있도록 권한이 제한됩니다. 이 문서에서 지정한대로 권한을 재설정한 후에는 인터넷 서비스 관리자를 통해 각 웹 사이트에 대해 Server Extensions 확인 작업을 수행해야 합니다. FrontPage 클라이언트가 HTTP 프로토콜을 사용하여 연결될 수 있으려면 이 단계가 필요합니다.
Windows 탐색기를 사용하여 다음과 같이 하십시오.
- 전체 하드 드라이브를 다음과 같이 설정합니다.
SYSTEM - 모든 권한
ADMINISTRATORS - 모든 권한
이렇게 설정하려면 고급을 누르고 모든 자식 개체의 사용 권한 재설정 및 상속 가능한 사용 권한 전파 허용을 선택합니다.
참고: Pagefile.sys 파일에 사용 권한을 적용하려고 하면 오류 메시지가 나타납니다. 이 오류 메시지와 유사한 모든 오류 메시지에 대해 계속을 누르십시오.
- Program Files\Common Files의 경우 Everyone을 추가하고 읽기 및 실행, 폴더 내용 보기 및 읽기를 선택합니다.
참고: 부모로부터 상속 가능한 사용 권한을 이 개체로 전파할 수 있음 확인란을 선택 취소하지 마십시오.
- Inetpub\Wwwroot의 경우 IUSR_MACHINE을 추가하고 읽기 및 실행, 폴더 내용 보기 및 읽기를 선택합니다.
참고: 부모로부터 상속 가능한 사용 권한을 이 개체로 전파할 수 있음 확인란을 선택 취소하지 마십시오.
- Winnt\System32 폴더에서 Inetsrv 폴더와 Certsrv 폴더를 제외하고 모든 폴더를 선택합니다.
이러한 폴더의 등록 정보 시트를 열고 부모로부터 상속 가능한 사용 권한을 이 개체로 전파할 수 있음을 선택 취소합니다. 나타나는 대화 상자에서 복사를 누릅니다. 확인을 눌러 등록 정보 시트를 종료합니다.
- Winnt 폴더에서 Downloaded Program Files, Help, IIS Temporary Compressed Files, Offline Web Pages, System32, Tasks, Temp 및 Web 폴더를 제외하고 모든 폴더를 선택합니다.
이러한 폴더의 등록 정보 시트를 열고 부모로부터 상속 가능한 사용 권한을 이 개체로 전파할 수 있음을 선택 취소합니다. 나타나는 대화 상자에서 복사를 누릅니다. 확인을 눌러 등록 정보 시트를 종료합니다.
- Winnt의 경우 Everyone을 추가하고 읽기 및 실행, 폴더 내용 보기 및 읽기를 선택합니다.
참고: 부모로부터 상속 가능한 사용 권한을 이 개체로 전파할 수 있음 확인란을 선택 취소하지 마십시오.
- Winnt\Temp(ASP 페이지에서 Access 데이터베이스를 볼 수 있게 해줌)의 경우 Everyone 그룹(이 그룹은 Winnt 폴더에서 상속하여 이미 존재해야 함)을 선택하고 수정을 선택합니다.
추가 정보
각 시스템 관리자의 필요에 맞게 사용 권한을 특수화할 수도 있지만 IUSR_MACHINE 계정 대신 Everyone 그룹을 사용하는 것이 좋습니다.
Everyone 그룹은 사용자 그룹, IUSR_MACHINE 계정 및 IWAM_MACHINE 계정을 포함합니다.
IIS 5.0에서는 웹 페이지를 실행하는 데 별도의 두 가지 계정을 사용합니다. 익명 인증을 사용할 경우 IIS는 IUSR_MACHINE 계정을 사용하여 해당 페이지를 봅니다. 그러나, Dllhost.exe라는 별도의 프로세스를 시작할 때는 IWAM_MACHINE을 사용합니다. 모든 ASP(Active Server Page), 구성 요소 개체 모델(COM) 구성 요소 또는 기타 ISAPI 확장(ASP는 ISAPI 확장으로 간주됨)이 Dllhost.exe 프로세스 내부에서 실행됩니다. 이것은 주로 안정성을 위한 것입니다. ASP 페이지에서 호출된 사용자 지정 COM 구성 요소가 동작하지 않아도 즉, 액세스 위반으로 인해 프로세스가 중단되어도 Inetinfo.exe가 영향을 받지 않아 웹 서비스가 계속 실행됩니다.
IIS 4.0의 두 가지 보호 수준은 아래와 같습니다.
- 기본설정: IIS 4.0이 프로세스 내 즉, SYSTEM 계정에 의해 시작되는 Inetinfo.exe 프로세스 내부에서 모든 응용 프로그램을 시작합니다. 웹 페이지가 나타나면 해당 페이지를 서비스하는 특정 스레드가 IUSR_MACHINE 계정의 컨텍스트에서 실행됩니다. HTM, ASP 및 그 밖의 다른 ISAPI 확장이 Inetinfo.exe 내부에서 실행됩니다.
- 구분 메모리 공간에서 실행(격리된 프로세스): 이를 out-of-process라고도 합니다. IWAM_MACHINE 계정을 사용하여 ASP와 그 밖의 다른 ISAPI 확장을 실행하는 별도의 Mtx.exe 프로세스를 만듭니다.
IIS 5.0의 세 가지 보호 수준은 아래와 같습니다.
- 낮음(IIS 프로세스): 이 설정은 IIS 4.0의 기본 설정과 유사합니다. 모든 웹 페이지가 HTM인지 아니면 ASP인지에 관계 없이 Inetinfo.exe 프로세스 내부에서 실행됩니다.
- 보통(풀링됨): 이것이 기본값입니다. IIS 4.0에서처럼 이 설정은 모든 ASP 및 COM 구성 요소가 실행되는 Dllhost.exe라는 별도의 프로세스를 시작합니다. 이 프로세스는 IIS 4.0에서처럼 IWAM_MACHINE 계정에 의해 시작됩니다. 또한, 이 설정은 IIS에서 실행하는 모든 웹 사이트가 ASP 페이지를 실행하는 데 이 단일 Dllhost.exe를 공유하므로 풀링됨이라고도 합니다. Windows 2000에서는 Mtx.exe가 Dllhost.exe로 대체됩니다.
- 높음(격리됨): 이 설정은 각 웹 사이트나 응용 프로그램에 대해 전용 Dllhost.exe 프로세스를 시작합니다. 5개의 웹 사이트가 있고 각각 높은 수준의 보호로 설정되어 있으면 총 6개의 Dllhost.exe 프로세스 즉, 5개의 Dllhost.exe 프로세스 외에 시스템 응용 프로그램 아래에서 COM+가 시작하는 추가 Dllhost.exe 프로세스 하나가 더 시작됩니다.
참조
Windows 2000의 기본 NTFS 권한을 복원하는 방법에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
Q266118 How to Restore the Default NTFS Permissions for Windows 2000
추가 검색어: iis 5 NTFS permission
'네트워크 동네' 카테고리의 다른 글
| 가끔 컴퓨터에 이런 이벤트가 생깁니다..원인을 알아 봤습니다. (3) | 2006/02/14 |
|---|---|
| 메일 서버 보안 (스팸 릴레이 등록 조회) (0) | 2006/02/13 |
| IIS 5.0 실행에 필요한 최소 NTFS 권한 (0) | 2006/02/13 |
| SSL VPN 자료 (0) | 2006/02/04 |
| RPC에서 특정 포트를 사용하도록 구성하는 방법과 IPSEC 을 이용한 보호 (1) | 2005/11/16 |
| 복제 도메인 컨트롤러의 Active Directory 수준 올리기 중 "액세스가 거부되었습니다." 오류 메시지 (0) | 2005/09/23 |
