locked
IISにおけるアクセス権の付与について RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    初めまして。

    IIS上にあるwebページへのアクセス権設定について質問があり、投稿させていただきました。

    初歩的な質問でしたら、大変申し訳ございません。

    お伺いしたいのは「IUSR」がどういったものなのかということです。

    以下、今現在の状況です。

    windows serverを3種構築し、ActiveDirectoryでドメインの管理をしています。これを仮にA、B、Cとさせてください。

    Aのローカルサーバー(localhost)にIISをインストールしwebページを置いています。

    ドメインコントローラーのあるBと設定のないCも同じドメインにいるためhttp://コンピュータ名、http://IPアドレスでページの閲覧ができています。

    これをBは閲覧できるけれどCはできない、といったものにしたいのです。

    こちらで行った処置ですが、

    該当ページのプロパティからセキュリティを開いてB、Cそれぞれのユーザーを登録。Bはフルアクセス、Cはアクセスを拒否。

    といったものになります。

    しかし、BCどちらも表示される現状です。

    そこで気になったのがIUSRとIIS_IUSRSです。IIS_IUSRSはあまり関係なさそうなのですが、IUSRは読み取りの許可を外すとABCすべてからコンピュータ名やIPアドレスで表示ができなくなりました。

    IUSRを読み取りできないようにしてユーザーで許可を出せばと思ったのですがそちらもうまくいかず。IUSRはどういった役割のものなのでしょうか?

    もしよろしければ、ご回答いただけますと幸いです。よろしくお願いいたします。

    2020年11月20日 10:05

回答

  • Question
    サインインして投票
    0
    サインインして投票
    勘違いしていそうなので念のため追伸。

    質問の IUSR と IIS_IUSRS は下の構成で ② に関係することです。

    クライアント(ブラウザ) <= ① => Web サーバー (IIS) <= ② => サーバー側のリソース

    一方、質問にある「これをBは閲覧できるけれどCはできない、といったものにしたい」というのは上の ① の話で、IUSR と IIS_IUSRS には直接の関係はありません。

    ① は IIS で設定する認証によりますが、デフォルトでは匿名認証が有効になっていますので(下の画像参照)、「BCどちらも表示される現状です」となったのだと思います。チェックしてみてください。




    結局どうしたいのか書いてないので分かりませんが、サーバー/クライアントとも Active Directory ドメイン環境に属しているなら、統合 Windows 認証でシングルサインオンになるようにしてはいかがですか。
    • 回答としてマーク saborts 2020年11月24日 2:24
    2020年11月21日 1:33

すべての返信

  • Question
    サインインして投票
    0
    サインインして投票

    > そこで気になったのがIUSRとIIS_IUSRSです。

    ググって調べたりしてるのですか? 以下のような記事はすぐ見つかると思うのですが・・・


    IIS 7.0 での組み込みユーザーとグループ アカウントとは
    https://docs.microsoft.com/ja-jp/previous-versions/dd939094(v=technet.10)

    アプリケーション プール ID
    https://docs.microsoft.com/ja-jp/previous-versions/ee886292(v=technet.10)

    IIS のアクセス許可
    https://creativeweb.jp/tips/iis_acl/


    • 編集済み SurferOnWww 2020年11月21日 0:06 リンク設定
    2020年11月20日 11:20
  • Question
    サインインして投票
    0
    サインインして投票
    勘違いしていそうなので念のため追伸。

    質問の IUSR と IIS_IUSRS は下の構成で ② に関係することです。

    クライアント(ブラウザ) <= ① => Web サーバー (IIS) <= ② => サーバー側のリソース

    一方、質問にある「これをBは閲覧できるけれどCはできない、といったものにしたい」というのは上の ① の話で、IUSR と IIS_IUSRS には直接の関係はありません。

    ① は IIS で設定する認証によりますが、デフォルトでは匿名認証が有効になっていますので(下の画像参照)、「BCどちらも表示される現状です」となったのだと思います。チェックしてみてください。




    結局どうしたいのか書いてないので分かりませんが、サーバー/クライアントとも Active Directory ドメイン環境に属しているなら、統合 Windows 認証でシングルサインオンになるようにしてはいかがですか。
    • 回答としてマーク saborts 2020年11月24日 2:24
    2020年11月21日 1:33
  • Question
    サインインして投票
    0
    サインインして投票
    ありがとうございます。仰るようにIISとは何か自分でも調べて、貼っていただいたリンクも確認しておりました。ただ、それでも今回やるものとの関係性が理解できない現状でした。 ご説明いただいて、今回のものとは関係がない匿名認証のものだと理解できました。画像もつけていただき、ありがたいです。匿名認証を無効にしてWindows認証・シングルサインオンの設定も見返してみます。自分でも調べ足りないところも多く、大変ご迷惑をおかけしました。ごめんなさい。
    2020年11月21日 1:42