WindowsIIS6安全保护贴—URL授权全攻略(3)

5.配置作用域6 G: `/ p* F% h7 ^+ r3 j- z
3 x6 w+ D* L) |5 P1 m. |. e6 z
接着要为新建的应用程序IIS6 URL授权配置作用域。右键点击“IIS6 URL授权”选项，在弹出菜单中选择“新建作用域”，在名称栏中输入“WebApp”后，点击“确定”按钮。接着依次展开“IIS6 URL授权→定义”，右键点击“角色定义”选项，在弹出菜单中选择“新建角色定义”。下面在角色定义中创建作用域，在名称栏中输入“Viewer”后，点击“确定”按钮。然后点击“角色定义”选项，在右侧框体中右键点鱒iewer选项，弹出快捷菜单，选择“属性”选项，切换到“定义”标签页，点击“添加”按钮后，切换到“操作”标签页，在操作定义列表框中选中“AccessURL”选项后，连续两次点击“确定”按钮。, [- R# ]+ G2 X1 H1 V6 r* b% H

& Y3 M! q5 W  N然后依次展开“IIS6 URL授权→ WebApp”，右键点击“角色分配”选项，在弹出的菜单中选中“分配角色”。在添加角色对话框中选中“Viewer”选项后，点击“确定”按钮。接着在右侧框体中右键点击“Viewer”选项，选择“分配Windows用户和组”选项，弹出选择用户或组对话框（如图5），在“输入对象名称来选择”栏中输入访问网站页面需要的用户账号，然后点击“确定”按钮。
; _9 u0 E( l, H4 M/ h6 b. Z* R
, S3 Y2 X2 Q+ z/ h/ S% W- {' c$ F% x  Z/ I0 M! `- Y

" A  o/ b( Z+ }0 y0 N; u! y+ N- W" {2 a% w3 o

' }5 ?7 y5 j$ v4 R. `5 z" P: ~5 @4 I

1 y% F* R0 O0 }% c' R% \& Q7 X, a6.配置读取器角色
: n6 q4 M; d6 z5 b' `1 U: w0 x. b. P( g! G
默认情况下，IIS6是以Network Service账号身份运行的。下面就对读取器使用的账号进行配置。右键单击“MyStore.xml”项，在弹出的菜单中选择“属性”，切换到“安全”标签页，在“授权管理器用户角色”下来列表中选中“读取器”，接着点击“添加”按钮，在“输入对象名称来选择”栏中输入“Network Service”账号，接着两次点击“确定”按钮。
8 p) H4 t  q( L
" v& E" ^7 Q% F  g  A7 n& Y/ w7.配置IIS Metabase文件
- F8 E3 @0 r! I9 F, n2 H1 h
& @4 f' q1 z. Y* j! W2 [+ s完成了以上配置过程后，URL授权功能依然还没启用，还需要修改IIS Metabase文件参数才行。下面我们就使用vbs脚本对IIS Metabase文件进行修改。进入到“C:\ Inetpub\AdminScripts”目录下，新建一个名为“SetUrlAuth.vbs”的脚本文件。打开此文件后，将以下内容复制到脚本文件中，最后要保存文件。
' M- L; N. I$ M0 ]9 ~3 E
- R! w0 {* u4 D+ E* }% y1 _6 [8 N  ?脚本内容如下：# P2 w; R8 L3 H5 T  d5 N  `3 n3 [

- _* a9 y4 u+ O" s" }# M) A'SetUrlAuth.vbs 内容* i) i+ U$ k& K
Set objArgs= WScript.Arguments
. Q7 w7 a! o! O0 yIf objArgs.count  4 then$ r, S' r+ l1 M* i) j9 |* D) _2 ~
wscript.echo "Usage: SetUrlAuth VDirPath AzScopeName AzStoreName AzEnable
2 A, s$ ?2 r3 z& i; k[ImpersonationLevel]"
8 j1 u! d9 t: V5 D( z# P6 Qwscript.echo "": P/ C" @9 E! |
wscript.echo "Example:". D( |- r. k3 ?- A2 f
wscript.echo " SetUrlAuth w3svc/1/root/MyApp MyApp
- x1 n8 ?" i8 H% |msxml://d:\inetpub\wwwroot\AzStore.xml True 1" ) [  L: J2 C0 z
wscript.echo ""9 \5 E3 x, F/ d& X8 J0 p6 C. m
wscript.echo "Run with 'cscript' command in cmd.exe to avoid msgboxes"7 ?" d( K* R; }5 M3 P6 L0 B
Else2 ]/ n" K- E5 c% y, A: J
wscript.echo objargs(0): E1 x% ~: `) `5 S, r/ @% i( j! x+ |
DIM iis
% Z2 `! o1 C; Lset iis = GetObject("IIS://localhost/"  objArgs(0)); p% \4 l' I6 ~2 [! F: V0 {3 G7 m
iis.AzScopeName = objArgs(1)
' W9 ~$ P5 }0 E3 |iis.AzStoreName = objArgs(2)
4 ]7 r/ Y/ s/ X/ o( C; o$ Wiis.AzEnable = objArgs(3)
% @! }% ?: ?1 M3 |& \; |) m* K" qIf objArgs.count  4 then
, K3 o, I) U+ V6 f+ y! aiis.AzImpersonationLevel = objArgs(4)3 y8 c6 }2 R" _* N( C" W' j
End if( ]/ \. ], k% ~0 s
iis.SetInfo, W9 W5 p( N; j# U, W
End if
' P3 A" I+ D# ~  }4 T& |0 E4 e9 b
4 v4 X. @; B, v: a* n# D接着点击“开始→运行”，在运行对话框中输入“Cmd.exe”命令，弹出命令提示符窗口。切换到“C:\ Inetpub\AdminScripts”目录下，运行“Cscript SetUrlAuth.vbs W3svc\1\Root\WebApp WebApp msxml://C:\MyStore.xml true 1”命令，完成Metabase文件参数修改。
" n& b3 S4 L5 \  M& Z6 E
: C- x% c0 o, l$ D' L这样就启用了URL授权功能。只有在授权管理器的Viewer角色中指定的用户账号，才能访问你网站Online虚拟目录的页面。