Tentando adicionar uma pasta em D: \ como um diretório virtual a um site no IIS.
"Obviamente", preciso adicionar uma ACL à pasta para o uso da principal de segurança do IIS.
Isso parece, na maioria das vezes, ser IIS_IUSRS .
Eu estava prestes a fazer isso
icacls D:\sites /grant:r "IIS_IUSRS":(OI)(OC)RX
mas primeiro fui verificar o que o IIS fazia para C: \ Inetpub \ wwwroot, mas quando executei o icacls c:\Inetpub\wwwroot obtive o seguinte
BUILTIN\IIS_IUSRS:(RX)
BUILTIN\IIS_IUSRS:(OI)(CI)(IO)(GR,GE)
Então, eu queria saber qual é a diferença efetiva entre (GR, GE) e RX? e / ou se houver uma maneira "mais correta" de garantir que uma pasta tenha a permissão correta configurada para ser usada como uma raiz de conteúdo do IIS.
E, como acompanhamento - Se eu apontar um diretório virtual para, por exemplo, "D: \ test", o IIS ficará feliz em exibir conteúdo dessa pasta, apesar de não haver entradas explícitas de IIS_IUSRS . Sondando a ACL eu recebo isso:
test BUILTIN\Administrators:(I)(F)
BUILTIN\Administrators:(I)(OI)(CI)(IO)(F)
NT AUTHORITY\SYSTEM:(I)(F)
NT AUTHORITY\SYSTEM:(I)(OI)(CI)(IO)(F)
NT AUTHORITY\Authenticated Users:(I)(M)
NT AUTHORITY\Authenticated Users:(I)(OI)(CI)(IO)(M)
BUILTIN\Users:(I)(RX)
BUILTIN\Users:(I)(OI)(CI)(IO)(GR,GE)
Quais contas eu preciso remover para que eu possa continuar a fazer backup e implantar com segurança nessa pasta, mas o IIS realmente honra IIS_IUSRS ?