最近研究IIS7.5+php 发现必须给PHP程序目录USR执行权，以及给web目录usr读权才能访问

最近研究IIS7.5+php 发现必须给PHP程序目录USR执行权，以及给web目录usr读权可正常访问，不需要设置iusr权限。

如果php程序目录只给admin和sys权限，web给什么权限也不能访问，
如果php程序目录给usr执行权，web给iusr读权，同样不能访问

不知道iis7.5下 假设php 5.3 各个部分的权限到底如何分配。请高人指点。

php目录
administrators：所有权限
system：所有权限
IIS_WPG：读取和运行

web目录，以及上级目录（比如你的web目录为C:\web\wwwroot，web文件夹、wwwroot文件夹，都要设置权限，或者设置web文件夹的权限，下面的目录继承权限）
administrators：所有权限
system：所有权限
IIS_WPG：读取
IUSR_你的机器名：读取

程序目录权限设置
例如：discuz! X2
以下目录及子目录
config
data
uc_client/data
uc_server/data
IIS_WPG、IUSR_你的机器名：读取，写入，删除（就是进入详细设置后，去掉前两个和后两个权限[意思就是让这个目录能读能写能删，但不能运行]）；同时，继承跟目录IIS_WPG、IUSR_你的机器名 的读取权限。

netbarghost 发表于 2011-6-1 10:21
php目录
administrators：所有权限
system：所有权限

哦，多谢，下午研究一下

有个问题  IIS_WPG 和 USR_你的机器名 都是iis6的用户了，
server2008r2 开始  没有 这两个用户了，

对哦，看成2003了，sorry

把
IIS_WPG 换成 IIS AppPool\应用程序池名（或者试试 IIS_IUSRS）
USR_你的机器名 换成 iusr
试试？

我用的是系统默认的用户权限，会有什么安全问题不？

netbarghost 发表于 2011-6-1 11:30
把
IIS_WPG 换成 IIS AppPool\应用程序池名（或者试试 IIS_IUSRS）
USR_你的机器名 换成 iusr

多谢才兄指教，运行正常。
看来2008的iis7.5改动不少。

=============================
总结：
基本的php运行权限设置

php目录
administrators：所有权限
system：所有权限
IIS AppPool\应用程序池名：读取和运行

web目录
administrators：所有权限
system：所有权限
IIS AppPool\应用程序池名：读取
IUSR：读取

qiyejia 发表于 2011-6-3 13:05
谢谢楼上，折腾半天老是500错误，按照上述办法解决了

我的只是在 php目录 和 web目录（不包括上级目录） ...

对服务器部署不是很了解，但是冥冥之中觉得给usr权限似乎不是上乘之选。
2003中都是每个站点单独设置用户权限。就是为了隔离风险。
2008中应该也是借鉴这种配置方式，或许有高人知道更好的策略