可以對伺服器硬碟上的任何檔案進行讀、寫、複製、刪除、改名等操作(當然,這是指在使用預設設定的 Windows NT / 2000 下才能做到)。但是禁止此組件後,引起的後果就是所有利用這個組件的 ASP 將無法運行,無法滿足客戶的需求。
如何既允許 FileSystemObject 組件,又不影響伺服器的安全性(即:不同虛擬機器主機使用者之間不能使用該組件讀寫別人的檔案)呢?這裡介紹本人在實驗中獲得的一種方法,下文以 Windows 2000 Server 為例來說明。
在伺服器上開啟資源管理員,用滑鼠右鍵點擊各個硬碟分區或卷的盤符,在快顯功能表中選擇“屬性”,選擇“安全”選項卡,此時就可以看到有哪些帳號可以訪問這個分區(卷)及存取權限。預設安裝後,出現的是“Everyone”具有完全控制的許可權。點“添加”,將“Administrators”、 “Backup Operators”、“Power Users”、“Users”等幾個組添加進去,並給予“完全控制”或相應的許可權,注意,不要給“Guests”組、“IUSR_機器名”這幾個帳號任何許可權。然後將“Everyone”組從列表中刪除,這樣,就只有授權的組和使用者才能訪問此硬碟分區了,而 ASP 執行時,是以“IUSR_機器名”的身份訪問硬碟的,這裡沒給該使用者帳號許可權,ASP 也就不能讀寫硬碟上的檔案了。
下面要做的就是給每個虛擬機器主機使用者佈建一個單獨的使用者帳號,然後再給每個帳號分配一個允許其完全控制的目錄。
如所示,開啟“電腦管理”→“本機使用者和組”→“使用者”,在右欄中點擊滑鼠右鍵,在彈出的菜單中選擇“新使用者”:
在彈出的“新使用者”對話方塊中根據實際需要輸入“使用者名稱”、“全名”、“描述”、“密碼”、“確認密碼”,並將“使用者下次登入時須更改密碼” 前的對號去掉,選中“使用者不能更改密碼”和“密碼永不到期”。本例是給第一虛擬機器主機的使用者建立一個匿名訪問 Internet 資訊服務的內建帳號“IUSR_VHOST1”,即:所有用戶端使用 http://xxx.xxx.xxxx/ 訪問此虛擬機器主機時,都是以這個身份來訪問的。輸入完成後點“建立”即可。可以根據實際需要,建立多個使用者,建立完畢後點“關閉”:
現在建立立的使用者已經出現在帳號列表中了,在列表中雙擊該帳號,以便進一步進行設定:
在彈出的“IUSR_VHOST1”(即剛才建立的新帳號)屬性對話方塊中點“隸屬於”選項卡:
剛建立的帳號預設是屬於“Users”組,選中該組,點“刪除”:
現在出現的是如所示,此時再點“添加”:
