Permissões de compartilhamento e NTFS
Introdução
As permissões do servidor de arquivos devem ser cuidadosamente implementadas para fornecer o acesso apropriado ao conteúdo. Isso envolve o bloqueio de permissões nas pastas físicas e de compartilhamento.
Permissões
A tabela a seguir lista as permissões usadas para o compartilhamento do servidor de arquivos e as pastas na Configuração de Hospedagem Compartilhada mencionada na seção Planejamento da Arquitetura de Hospedagem na Web das Diretrizes de Hospedagem. De acordo com o ambiente de hospedagem compartilhada usado, os administradores de servidor devem desenvolver suas próprias permissões personalizadas que atendam às suas necessidades.
| Caminho | Permissões | Razão |
|---|---|---|
| \server\share$ (compartilhamento) | Administradores de Domínio – Usuários de Domínio de Controle Total – Alterar MachineAccounts$ – Controle Total | As permissões de compartilhamento precisam permitir que os administradores e as contas do site acessem o conteúdo. O caminho físico será restrito às permissões reais necessárias. |
| E:\Content (caminho físico do compartilhamento) | Administradores – Sistema de Controle Total – Controle Total | Esta é a pasta compartilhada. Ela não precisa de permissões para nenhuma conta, além do grupo Administradores e da conta de Sistema. |
| E:\Content\<sitename> (o contêiner de um site ou usuário específico) | Administradores – Sistema de Controle Total – Proprietário do Site de Controle Total – Listar Conteúdo da Pasta | Esta pasta é usada como contêiner para pastas como o diretório base do site e seus arquivos de log. O Proprietário do Site deve ler esta pasta, mas não precisa de acesso de gravação. |
| E:\Content\<sitename> \wwwroot (o diretório base do IIS para o site) | Administradores – Sistema de Controle Total – Proprietário do Site de Controle Total – Modificar Nome de Usuário do Pool de Aplicativos – Leitura | Esta é a raiz de um site pertencente à conta de usuário. O Nome de Usuário do Pool de Aplicativos é usado como a identidade do pool de aplicativos e o nome de usuário anônimo do site. |
| E:\Content\<sitename>\Logs (o contêiner para logs) | Administradores – Sistema de Controle Total – Proprietário do Site de Controle Total – Leitura | Observe que esta pasta para logs está armazenada ACIMA da raiz do site, portanto, ela não está acessível para visitantes que navegam no site. Não é recomendável que você coloque essa pasta em qualquer local acessível em um navegador da Web, para fins de segurança. |
| E:\Content\<sitename>\Logs\FailedReqLogs (o contêiner para logs de rastreamento de solicitação com falha) | Administradores – Sistema de Controle Total – Nome de Usuário do Pool de Aplicativos de Controle Total – Controle total | Esta é a pasta usada para armazenar arquivos de log de Solicitação com Falha, que permitem que um proprietário do site diagnostique problemas com o site. Esses logs são gravados pela identidade do processo de trabalho, Nome de Usuário do Pool de Aplicativos. |
| E:\Content\<sitename>\Logs\W3SVCLogFiles (o contêiner para logs de tráfego W3SVC) | Administradores – Sistema de Controle Total – MachineAccount$ de Controle Total – Controle Total | Esta é a pasta usada para armazenar os arquivos de log do site, que permitem que o proprietário do site veja os padrões de tráfego. Se o administrador do servidor não desejar compartilhar esses arquivos ou quiser fornecer um método alternativo para determinar o tráfego, esses arquivos poderão ser armazenados em outro lugar. MachineAccount$ é a conta de computador do servidor Web, pois esses logs são gravados por HTTP.SYS. |
Como Configurar Permissões
Para configurar permissões para o compartilhamento
No Windows Explorer, clique com o botão direito do mouse na pasta que você deseja compartilhar e clique em Propriedades.
Na guia Compartilhamento, clique em Compartilhamento Avançado.
Em Controle de Conta de Usuário, clique em Continuar para aceitar o prompt necessário para permitir que o Windows execute a ação.
Na caixa de diálogo Compartilhamento Avançado, marque Compartilhar esta pasta.
Defina o Nome do compartilhamento e os Comentários conforme apropriado. Para ocular o compartilhamento, adicione um $ ao final do nome do compartilhamento.
Observação
Ocultar um compartilhamento significa que, quando você se conectar a [\server]
(file://server/), você não verá o compartilhamento, a menos que insira especificamente o caminho [\server\share$](file://server/share$).Clique em Permissões.
Na caixa de diálogo Permissões, remova o grupo Todos, se houver.
Adicione o usuário ou grupo apropriado que deve ter acesso ao compartilhamento.
Especifique as permissões (Controle Total, Alteração, Leitura) para o usuário ou grupo.
Clique em OK duas vezes e, em seguida, clique em Fechar para fechar as caixas de diálogo.
Para configurar permissões para a estrutura de pastas
- No Windows Explorer, clique com o botão direito do mouse na pasta que você deseja compartilhar e clique em Propriedades.
- Na guia Segurança , clique em Editar.
- Na caixa de diálogo Permissões, adicione os usuários ou grupos apropriados que devem ter acesso em cada nível da estrutura de pastas.
- Especifique as permissões (Controle total, Modificar, Ler e executar, Listar conteúdo da pasta, Leitura, Gravar permissões especiais) para os usuários ou grupos.
- Clique em OK duas vezes para fechar as caixas de diálogo.
Confira Exemplos de Scripts do C# e do PowerShell para obter um script de exemplo para configurar documentos padrão. como exemplo de criação de um compartilhamento e uma configuração de permissões.