解决PHP在IIS上调用schtasks时“访问被拒绝”的权限配置指南

本文详细阐述了在Windows Server环境下，PHP通过IIS执行schtasks命令时遇到“访问被拒绝”错误的解决方案。核心问题在于IIS应用程序池身份（通常是IUSR）缺少对正确路径下schtasks.exe的执行权限。教程指出，对于64位系统上的32位应用程序，应将权限授予C:\Windows\SysWOW64\schtasks.exe，而非常见的System32路径，并提供了详细的配置步骤和注意事项，以确保任务调度器命令能够顺利执行。

问题描述

在windows server环境中，当尝试通过php的exec()函数在iis下执行schtasks命令来创建或管理计划任务时，经常会遇到“访问被拒绝”（access denied）的错误。尽管相同的命令在命令行中可以直接运行，且在本地windows 10开发机上工作正常，但在服务器iis环境下却失败，返回错误代码1。常见的尝试包括为iusr或iis_users组授予cmd.exe、schtasks.exe（位于system32）以及任务文件夹（c:\windows\system32\tasks）的权限，甚至尝试禁用uac、移除任务文件夹写保护或禁用防火墙，但这些措施往往无法解决问题。

以下是一个典型的PHP代码示例，它尝试创建一个每月执行的计划任务，并返回“访问被拒绝”的错误：

<?php
$results = array(
    "output" => NULL,
    "code" => NULL
);
exec(
    'schtasks /create /sc MONTHLY /tn AtlantisPrint /tr C:\SoftwarehausHeider\Atlantis\prog\atlantis.exe /ru Administrator /rp XXXX /f 2>&1',
    $results["output"],
    $results["code"]
);
echo "<pre class="brush:php;toolbar:false">" . print_r($results, TRUE) . "

"; ?>

执行上述代码后，$results数组会显示类似以下内容：

Array
(
    [output] => Array
        (
            [0] => Zugriff verweigert // Access denied
        )

    [code] => 1
)

根本原因分析

此问题的核心在于权限配置的精确性。在64位Windows Server上，IIS通常运行32位的PHP应用程序（例如PHP 7.4）。当32位应用程序尝试调用系统可执行文件时，操作系统会进行文件系统重定向。这意味着，如果一个32位进程请求访问C:\Windows\System32目录，它实际上会被重定向到C:\Windows\SysWOW64目录。

因此，即使您为C:\Windows\System32\schtasks.exe授予了IUSR用户的权限，但由于PHP应用程序是32位的，它实际尝试访问的是C:\Windows\SysWOW64\schtasks.exe。如果IUSR用户对SysWOW64路径下的schtasks.exe没有足够的权限，则会抛出“访问被拒绝”错误。

立即学习“PHP免费学习笔记（深入）”；

解决方案

解决此问题的关键是确保IIS应用程序池的身份（通常是IUSR或IIS_IUSRS组中的某个用户）对C:\Windows\SysWOW64\schtasks.exe文件拥有“读取和执行”权限。

以下是详细的配置步骤：

1. 确定IIS应用程序池身份：

   • 打开IIS管理器。
   • 导航到“应用程序池”。
   • 找到您的PHP网站所使用的应用程序池（通常是“DefaultAppPool”或其他自定义名称）。
   • 查看其“标识”设置。常见的内置账户包括“ApplicationPoolIdentity”、“NetworkService”或“LocalSystem”，而匿名身份验证通常使用IUSR或IIS_IUSRS组。请根据实际情况确定。最常见且需要手动赋权的是IUSR。

2. 定位正确的schtasks.exe路径：

   • 在64位Windows Server上，32位应用程序调用的schtasks.exe位于C:\Windows\SysWOW64\目录下。

3. 授予权限：

   • 打开文件资源管理器，导航到C:\Windows\SysWOW64\目录。
   • 找到schtasks.exe文件。
   • 右键点击schtasks.exe，选择“属性”。
   • 切换到“安全”选项卡。
   • 点击“编辑”按钮。
   • 点击“添加”按钮。
   • 在“选择用户或组”对话框中，输入在步骤1中确定的IIS应用程序池身份（例如IUSR），然后点击“检查名称”进行验证，确认无误后点击“确定”。
   • 选中刚刚添加的用户或组（例如IUSR）。
   • 在下方的“权限”列表中，勾选“读取和执行”权限（通常“读取”和“执行”会一起勾选）。
   • 点击“应用”，然后点击“确定”关闭所有对话框。

4. 测试PHP脚本：

   • 在完成上述权限配置后，重新运行您的PHP脚本。此时，schtasks命令应该能够成功执行，不再返回“访问被拒绝”错误。

注意事项与最佳实践

• 权限最小化原则： 始终遵循最小权限原则。只授予必要的权限，避免给予过高的权限（如完全控制），以降低安全风险。
• 应用程序池身份： 了解您的IIS应用程序池的运行身份至关重要。不同的身份可能需要不同的权限配置。如果您使用了自定义的应用程序池身份，请确保为该特定用户或组授予权限。
• 其他可能需要的权限：
  • 虽然本问题主要解决了schtasks.exe的执行权限，但如果schtasks命令所创建的任务涉及到执行其他程序（如示例中的C:\SoftwarehausHeider\Atlantis\prog\atlantis.exe），则IIS应用程序池身份也可能需要对这些程序及其相关目录拥有“读取和执行”权限。
  • 如果计划任务需要写入日志文件或临时文件，则可能还需要对相应的目录授予“写入”权限。
• 错误排查： 当遇到“访问被拒绝”错误时，首先应确认执行命令的进程身份，然后检查该身份对所有涉及到的文件、文件夹和注册表项是否具有足够的权限。使用Process Monitor等工具可以帮助追踪权限失败的详细信息。
• 系统环境差异： 尽管本教程针对64位Windows Server上的32位PHP应用，但请务必根据您的具体系统架构和应用程序类型来确定正确的路径（System32或SysWOW64）。

总结

在IIS环境下通过PHP调用schtasks时出现“访问被拒绝”错误，通常是由于IIS应用程序池身份对C:\Windows\SysWOW64\schtasks.exe缺少“读取和执行”权限所致。通过精确识别并授予IUSR（或相应应用程序池身份）对该路径下schtasks.exe的正确权限，可以有效解决此问题。理解64位系统上32位应用程序的文件系统重定向机制，是成功解决此类权限问题的关键。

以上就是解决PHP在IIS上调用schtasks时“访问被拒绝”的权限配置指南的详细内容，更多请关注php中文网其它相关文章！