请教windows下apache的权限设置

因为我的服务器是2008的且是64位的windows下apache的权限设置，这里只说Windows下Apache应用环境相关的目录权限设置，至于其他基本的服务器目录权限设置就不提啦！

这个是我的服务器实际进行配置的环境配置情况：

apache安装目录：d:www-sapache

php目录：d:www-sphp5

mysql目录：d:www-smysql

网站根目录：d:www\htdocs\chaodiquan.com 抄底专门为运行Apache运行所使用的用户：apache-u（可不隶属于任何用户组）Windows下Apache应用环境塔建目录安全设置操作步骤：配置目录权限   这里的权限是重点

Apache所在的根目录（也就是D盘），只需要读取的权限，并且这个读取权限不需要继承到子目录与文件（可以在权限设置高级里选择——应用到：只有该文件夹——权限：列出文件夹/读取数据， 读取属性，读取扩展属性，读取权限——确定）。

Apache安装目录的上级目录（d:www-s），需要“读取”的权限（和根目录D盘的权限雷同）。

Apache安装目录，需要“列出文件夹目录”和“读取”的权限（可以为了方便使用继承）。

Apache安装目录下的子目录权限设置

“bin”和“modules”目录需要“读取和运行”、“列出文件夹和目录”、“读取”的权限。

“logs”目录需要“列出文件夹和目录”、“读取”、“写入”的权限（若Apache安装目录的权限使用啦继承，可只添加“写入”权限即可）。

到这里Apache的权限已经设置完毕，接下来设置PHP的权限

PHP目录（PHP5）可简单的设置为“读取和运行”、“列出文件夹和目录”、“读取”的权限。

Mysql目录下的bin文件夹和文件（mysql）需要为添加apache用户的“遍历文件夹和运行文件”、“列出文件夹和读取数据”的权限（可以在权限高级设置里找到）。

到这里Apache+Mysql+Php已经基本可以使用，接着配置网站根目录权限

网站根目录（www内）的上级目录www需要读取（“列出文件夹和读取数据”、“读取属性”、“读取扩展属性”、“读取权限”）的权限（和Apache的上级目录权限雷同，不需要继承到子目录和文件中去）。

网站根目录（htdocs）可简单的设置“读取”权限就可以啦（然后可以根据需要对缓存文件夹设置可写权限）。

到这里Apache+PHP+Mysql的环境受限制权限设置基本完成。

为Apache服务启用受限制用户

进入服务管理器（Services.msc，或者“我的电脑——属性——管理——服务”），找到Apache的服务项（Apache2.2），设置属性，登录用户选择受限用户（Apache-u）输入受限用户的密码，应用，确定。

这里“确定”之后一般会有提示（已授予账户.apache-u“以服务方式登录”的权利）。这个提示相当于在组策略（开始->管理工具

->本地安全策略，或者使用gpedit.msc打开）中的“用户权利分配”中选择“作为服务登陆”，添加apache-u用户。

可在任务管理器中查看httpd.exe进程的用户名为apache-u，使用PHP+Mysql的程序都可正常运行。

到这里已经完成啦“Windows下Apache应用环境目录权限”的受限制使用设置。

给指定的文件夹配置对应的访问权限是Apache配置中的基础应用，也是Apache使用者的必备技能之一。

在Apache配置文件中，给指定目录设置基本的访问权限，主要是靠Allow、Deny、Order三个指令的配合使用来实现的。

1.Allow指令

Allow指令的作用与其英文单词的含义一致，用于设置允许访问当前目录(及其子目录)或文件的用户范围。例如，Allow from all表示允许所有用户访问。下面，我们参考更多的例子，以帮助理解(Deny与Order用法一致)：

<Directory /web>

#只允许IP为123.10.10.2的用户访问/web目录

Allow from 123.10.10.2

</Directory>

<Directory /web>

#只允许IP以10.10开头的用户访问/web目录

Allow from 10.10

</Directory>

<Directory /web>

#只允许域名为365mini.com的用户访问

Allow from 365mini.com

</Directory>

2.Deny指令

同样的，Deny指令的作用就是「Deny(拒绝)」，用于设置拒绝访问当前目录或文件的用户范围。例如，Deny from all表示拒绝所有用户访问。

3.Order指令

在Apache的配置文件中，Order指令用于控制Allow指令和Deny指令的生效顺序。例如，Order Allow,Deny表示当前配置段中的Allow指令先生效，Deny指令后生效。

在Apache中，Allow指令和Deny指令在同一配置段中都可以有多条。不过，对于Allow和Deny指令而言，如果先生效的指令与后生效的指令的作用范围存在冲突，则起冲突的作用范围部分以后生效的指令为准。

下面，我们同样参考几个具体的例子以帮助大家理解：

<Directory /web>

Order Allow,Deny

Allow from all

Deny from 112.2.10.2

#先允许所有用户访问，再拒绝112.2.10.2

#总结：允许除IP为112.2.10.2外的所有用户访问

</Directory>

<Directory /web>

Order Allow,Deny

Deny from 112.2.10.2

Allow from all

#先允许所有用户访问，再拒绝112.2.10.2

#总结：允许除IP为112.2.10.2外的所有用户访问

#(即使Deny指令在Allow指令之前，但是根据Order Allow,Deny语句，仍然先看Allow，再看Deny)

</Directory>

<Directory /web>

Order Deny,Allow

Deny from 112.2.10.2

Allow from all

Deny from 123.10.10.1

#先拒绝112.2.10.2访问

#再拒绝123.10.10.1访问

#最后允许所有用户访问

#总结：允许所有用户访问

#(即使Allow指令在Deny指令前，但是根据Order Deny,Allow语句，仍然先看Deny，再看Allow)

</Directory>

在apache服务器安全配置时，首先会想到设置文件上传目录禁止php脚本执行，常用的方法是修改apache配置文件，或者配置在htaccess文件里面。上面的方法只是限制了php文件执行，如果没有设置php脚本对文件夹的访问权限，对于那些可以执行php文件，php脚本甚至能直接读写系统分区的文件。

可以通过配置open_basedir来限制php脚本允许访问的目录，下面是两种将php脚本对磁盘中文件的访问操作限制在指定目录下的方法，第一种是在php.ini文件中配置：

上面这条指令设置了php脚本可以访问的两个目录，在windows系统中目录之间用分号隔开，tmp目录为文件上传临时存储目录，禁止会导致无法处理文件上传。

第二种方法是在apache的vhosts.conf文件中配置，可以为每个虚拟主机单独配置，这种方法优先级要高于第一种。

---