現(xiàn)在絕大多數(shù)的虛擬主機都禁用了?ASP?的標準組件：FileSystemObject，因為這個組件為?ASP?提供了強大的文件系統(tǒng)訪問能力，可以對服務(wù)器硬盤上的任何文件進行讀、寫、復(fù)制、刪除、改名等操作(當然，這是指在使用默認設(shè)置的Windows?NT?/?2000?下才能做到)。但是禁止此組件后，引起的后果就是所有利用這個組件的?ASP?將無法運行，無法滿足客戶的需求。

如何既允許FileSystemObject組件，又不影響服務(wù)器的安全性(即：不同虛擬主機用戶之間不能使用該組件讀寫別人的文件)呢？這里介紹本人在實驗中獲得的一種方法。(下文以?Windows?2000?Server?為例來說明)

在服務(wù)器上打開資源管理器，用鼠標右鍵點擊各個硬盤分區(qū)或卷的盤符，在彈出菜單中選擇“屬性”，選擇“安全”選項卡，此時就可以看到有哪些帳號可以訪問這個分區(qū)(卷)及訪問權(quán)限。默認安裝后，出現(xiàn)的是“Everyone”具有完全控制的權(quán)限。點“添加”，將“Administrators”、“Backup?Operators”、“Power?Users”、“Users”等幾個組添加進去，并給予“完全控制”或相應(yīng)的權(quán)限，注意，不要給“Guests”組、“IUSR_機器名”這幾個帳號任何權(quán)限。然后將“Everyone”組從列表中刪除，這樣，就只有授權(quán)的組和用戶才能訪問此硬盤分區(qū)了，而?ASP?執(zhí)行時，是以“IUSR_機器名”的身份訪問硬盤的，這里沒給該用戶帳號權(quán)限，ASP也就不能讀寫硬盤上的文件了。

下面要做的就是給每個虛擬主機用戶設(shè)置一個單獨的用戶帳號，然后再給每個帳號分配一個允許其完全控制的目錄。

如下圖所示，打開“計算機管理”→“本地用戶和組”→“用戶”，在右欄中點擊鼠標右鍵，在彈出的菜單中選擇“新用戶”：

在彈出的“新用戶”對話框中根據(jù)實際需要輸入“用戶名”、“全名”、“描述”、“密碼”、“確認密碼”，并將“用戶下次登錄時須更改密碼”前的對號去掉，選中“用戶不能更改密碼”和“密碼永不過期”。本例是給第一虛擬主機的用戶建立一個匿名訪問Internet信息服務(wù)的內(nèi)置帳號"IUSR_VHOST1"，即：所有客戶端使用http://xxx.xxx.xxxx/訪問此虛擬主機時，都是以這個身份來訪問的。輸入完成后點“創(chuàng)建”即可。可以根據(jù)實際需要，創(chuàng)建多個用戶，創(chuàng)建完畢后點“關(guān)閉”。

現(xiàn)在新建立的用戶已經(jīng)出現(xiàn)在帳號列表中了，在列表中雙擊該帳號，以便進一步進行設(shè)置：

在彈出的“IUSR_VHOST1”(即剛才創(chuàng)建的新帳號)屬性對話框中點“隸屬于”選項卡：

剛建立的帳號默認是屬于“Users”組，選中該組，點“刪除”。

現(xiàn)在出現(xiàn)的是如下圖所示，此時再點“添加”:

在彈出的“選擇組”對話框中找到“Guests”，點“添加”，此組就會出現(xiàn)在下方的文本框中，然后點“確定”：

出現(xiàn)的就是如下圖所示的內(nèi)容，點“確定”關(guān)閉此對話框：

打開“Internet信息服務(wù)”，開始對虛擬主機進行設(shè)置，本例中的以對“第一虛擬主機”設(shè)置為例進行說明，右擊該主機名，在彈出的菜單中選擇“屬性”：

彈出一個“第一虛擬主機屬性”的對話框，從對話框中可以看到該虛擬主機用戶的使用的是“F:\VHOST1”這個文件夾：

暫時先不管剛才的“第一虛擬主機屬性”對話框，切換到“資源管理器”，找到“F:\VHOST1”這個文件夾，右擊，選“屬性”→“安全”選項卡，此時可以看到該文件夾的默認安全設(shè)置是“Everyone”完全控制(視不同情況顯示的內(nèi)容不完全一樣)，首先將“允許將來自父系的可繼承權(quán)限傳播給該對象”前面的對號去掉：

此時會彈出如下圖所示的“安全”警告，點“刪除”：

此時安全選項卡中的所有組和用戶都將被清空(如果沒有清空，請使用“刪除”將其清空)，然后點“添加”按鈕。

將如圖中所示的“Administrator”及在前面所創(chuàng)建的新帳號“IUSR_VHOST1”添加進來，將給予完全控制的權(quán)限，還可以根據(jù)實際需要添加其他組或用戶，但一定不要將“Guests”組、“IUSR_機器名”這些匿名訪問的帳號添加上去。

再切換到前面打開的"第一虛擬主機屬性"的對話框，打開"目錄安全性"選項卡，點匿名訪問和驗證控制的"編輯"：

在彈出的"驗證方法"對方框(如下圖所示)，點"編輯"：

彈出了"匿名用戶帳號"，默認的就是"IUSR_機器名"，點"瀏覽"：

在"選擇?用戶"對話框中找到前面創(chuàng)建的新帳號"IUSR_VHOST1"，雙擊：

此時匿名用戶名就改過來了，在密碼框中輸入前面創(chuàng)建時，為該帳號設(shè)置的密碼：

再確定一遍密碼：

OK，完成了，點確定關(guān)閉這些對話框。

經(jīng)此設(shè)置后，"第一虛擬主機"的用戶，使用?ASP?的?FileSystemObject?組件也只能訪問自己的目錄：F:\VHOST1?下的內(nèi)容，當試圖訪問其他內(nèi)容時，會出現(xiàn)諸如"沒有權(quán)限"、"硬盤未準備好"、"500?服務(wù)器內(nèi)部錯誤"等出錯提示了。

另：如果該用戶需要讀取硬盤的分區(qū)容量及硬盤的序列號，那這樣的設(shè)置將使其無法讀取。如果要允許其讀取這些和整個分區(qū)有關(guān)的內(nèi)容，請右鍵點擊該硬盤的分區(qū)(卷)，選擇"屬性"→"安全"，將這個用戶的帳號添加到列表中，并至少給予"讀取"權(quán)限。由于該卷下的子目錄都已經(jīng)設(shè)置為"禁止將來自父系的可繼承權(quán)限傳播給該對象"，所以不會影響下面的子目錄的權(quán)限設(shè)置。

以前也寫過一篇這方面的文章，沒有這么詳細，還有圖片，這些使用于虛擬主機和多用戶服務(wù)器安全設(shè)置

總結(jié)

以上是生活随笔為你收集整理的fso 拒绝访问_让虚拟主机免受FSO威胁(转)的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。