Ваша проблема состоит в том, что, если IIS просто возвращает файлы, ASP.NET никогда не будет получать шанс вмешаться. Я полагаю, что это может быть сделано путем включения аутентификации на основе форм и значительного питания вокруг, но я просто переместил бы файлы вне wwwroot папки.
МЛАДШИЙ
Это - лучшая практика, чтобы сделать, чтобы владелец был независимо от того, что ограниченная учетная запись пользователя используется для загрузки/управления файлов на сервере. Группа часто является учетной записью, под которой работает php, таким образом, в этом случае апач был бы корректен. Другие полномочия ни на что не должны быть установлены, как они. Вы близко к идеальному.
Если у Вас есть ситуация, где несколько учетных записей могут изменять/редактировать файлы, можно создать сценарий крона что chowns dir рекурсивно каждый час или так поддержать корректное владение. Та же техника работает для хранения полномочий корректными также.
Кроме того, можно хотеть изменить umask ограниченной учетной записи пользователя, которая имеет владение, чтобы быть встроенной со схемой разрешения.
Вы определенно избегаете рискованных действий.
Ваши настройки собираются сохранить Вас от способности создать дополнительные папки в Вас, КАТАЛОГИ должны Вы нуждаться к по требованию через апача.
Я предложил бы, чтобы Вы использовали следующие полномочия:
DIRECTORIES: drwxrwx--- root apache
FILES: -rw-rw---- root apache
Добавьте своих разработчиков к апачской группе так, чтобы банка продолжила писать в эти файлы, должен они регистрироваться на пути ssh или ftp.
У Вас могут быть либеральные полномочия файла, если можно доверять тому, какие пользователи выполняют их. Если Вы - код, твердо затем, можно позволить апачской группе делать больше с полномочиями.
Править: В целом дайте апачу:
rwx if it needs to create folders
rw if it needs to create files
r if everything is static
В конце, к чему это сводится, только дает полномочия, что Вы должны. Сделайте их максимально консервативными и откройте их, поскольку Вы разрабатываете свое приложение, если Вы должны.
Одна небольшая вещь о группах. Вы будете видеть некоторые примеры, которые показывают это (это корректные настройки, также):
DIRECTORIES: drwxrwxrw- root somegroup
FILES: -rw-rw-r-- root somegroup
Эти полномочия требуются, чтобы веб-приложение работало, потому что апачский пользователь не является частью полномочий группы. В этом случае апача считают всеми так, что необходимо установить полномочия позволить всем взаимодействовать с веб-сайтом. Всеми я не имею в виду всех в мире (т.е. анонимный). Я имею в виду всех тот, кто в настоящее время пользователь на Вашем сервере (взгляд в/etc/passwd для получения списка).