IIS 5.0 Web サーバーに必要な NTFS アクセス許可とユーザー権利の設定方法

文書番号: 271071 - 対象製品
この記事は、以前は次の ID で公開されていました: JP271071
すべて展開する | すべて折りたたむ

目次

概要

この資料では、専用のインターネット インフォメーション サービス (IIS) 5.0 Web サーバーに必要な最小限のアクセス許可の設定方法を、手順を追って説明します。

警告 : この資料で説明する内容は、基本的な IIS 機能 (静的な HTML コンテンツや簡単な Active Server Pages (ASP) コンテンツの提供など) を使用する専用の Web サーバーに対してのみ有効です。この資料で説明しているアクセス許可の要件は、Microsoft Windows 2000 および IIS 5.0 を実行している専用の Web サーバーにおける基本的なアクセス許可にのみ該当します。この資料では、さまざまなアクセス許可を必要とする可能性のある他のマイクロソフト製品やサードパーティ製品については考慮していません。使用している Web サーバーの役割について記載されている資料を参照し、テストを行ってから、運用中の Web サーバーに対してアクセス許可の変更を行うことをお勧めします。他のマイクロソフト製品に関する資料のリンクについては、「関連情報」を参照してください。

Microsoft Exchange Server 5.5、Microsoft Exchange 2000 Server、または追加のアクセス許可を必要とするサードパーティ アプリケーションなど、他の役割を実行する IIS サーバーに対してこれらのアクセス許可を適用した場合、それらの製品が正常に動作しない可能性があります。

: この資料の内容は、IIS 5.0 にのみ適用されます。他のバージョンの IIS には適用されません。

IIS 4.0 に必要なアクセス許可の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
187506
(http://support.microsoft.com/kb/187506/ )
IIS 4.0 で必要な NTFS アクセス権とユーザーの権利
IIS 6.0 に必要なアクセス許可の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
812614
(http://support.microsoft.com/kb/812614/ )
[INFO] IIS 6.0 でのデフォルトのアクセス許可とユーザー権利
この資料のテストでは、次の機能に関するテストが行われています。
  • HTML ドキュメント
  • Active Server Pages (ASP)
  • FrontPage Server Extensions (FPSE) による接続、編集、および保存など (Lockdown ツールで FPSE が有効になっている場合)
  • SSL (Secure Sockets Layer) 接続
この資料では、次のサーバーの役割またはアプリケーションで必要なセキュリティ設定については説明していません。
  • Windows 2000 ドメイン コントローラ
  • Microsoft Exchange 5.5 または Microsoft Exchange 2000 Outlook Web Access
  • Microsoft Small Business Server 2000
  • Microsoft SharePoint Portal Server または Microsoft SharePoint Team Services
  • Microsoft Commerce Server 2000 または Microsoft Commerce Server 2002
  • Microsoft BizTalk Server 2000 または Microsoft BizTalk Server 2002
  • Microsoft Content Management Server 2000 または Microsoft Content Management Server 2002
  • Microsoft Application Center 2000
セキュリティに関する具体的な要件については、サーバーおよびアプリケーションのマニュアルを参照してください。「サポート技術情報」 (Microsoft Knowledge Base) の関連資料へのリンクについては、「関連情報」を参照してください。

この資料に記載されているアクセス許可を適用する前に、最新バージョンの IIS Lockdown ツールを実行することをお勧めします。このツールの詳細については次のマイクロソフト Web サイトを参照してください。
http://www.microsoft.com/japan/technet/security/tools/locktool.mspx
(http://www.microsoft.com/japan/technet/security/tools/locktool.mspx)
この資料に記載されているアクセス許可を適用した後、サーバーのセキュリティをテストするための一連のテストの一部としてインストールしたプログラムおよびサービスを以下に示します。
  • インデックス サービス
  • ターミナル サービス
  • スクリプト デバッガ
  • IIS
    • 共通コンポーネント
    • オンライン ヘルプ
    • FrontPage Server Extensions 2000
    • インターネット サービス マネージャ (HTML)
    • WWW
    • FTP

Administrator と SYSTEM に所有権とアクセス許可を付与する

システムへのアクセス許可を割り当てるには、次の手順を実行します。
  1. エクスプローラを開きます。これを行うには、[スタート] ボタンをクリックし、[プログラム]、[アクセサリ] の順にポイントし、[エクスプローラ] をクリックします。
  2. [マイ コンピュータ] を展開します。
  3. システム ドライブ (通常は C ドライブ) を右クリックし、[プロパティ] をクリックします。
  4. [セキュリティ] タブをクリックし、[詳細] をクリックして [ローカル ディスクのアクセス制御の設定] ダイアログ ボックスを開きます。
  5. [所有者] タブをクリックし、[サブコンテナとオブジェクトの所有者の置き換え] チェック ボックスをオンにし、[適用] をクリックします。

    次のエラー メッセージが表示されたら、[続行] をクリックします。
    セキュリティ情報を適用中にエラーが発生しました:
    %systemdrive%\Pagefile.sys
  6. 次のエラー メッセージが表示されたら、[はい] をクリックします。
    ディレクトリ %systemdrive%\System Volume Information の内容を読み取るのに必要なアクセス許可がありません。ディレクトリのアクセス許可を変更して、フル コントロールで利用できるようにしますか?
  7. [OK] をクリックして、ダイアログ ボックスを閉じます。
  8. [追加] をクリックします。
  9. 次のユーザーを追加し、フル コントロールの NTFS アクセス許可を付与します。
    • Administrator
    • System
    • CREATOR OWNER
  10. これらの NTFS アクセス許可を追加した後、[詳細] をクリックし、[すべての子オブジェクトのアクセス許可を元に戻し、継承可能なアクセス許可を継承できるようにする] チェック ボックスをオンにしてから [適用] をクリックします。
  11. 次のエラー メッセージが表示されたら、[続行] をクリックします。
    セキュリティ情報を適用中にエラーが発生しました:
    %systemdrive%\Pagefile.sys
  12. NTFS アクセス許可の再設定が終わったら、[OK] をクリックします。
  13. [Everyone] をクリックし、[削除] をクリックし、[OK] をクリックします。
  14. %systemdrive%\Program Files\Common Files フォルダのプロパティを開き、[セキュリティ] タブをクリックします。匿名アクセスに使用するアカウントを追加します。デフォルトでは、これは IUSR_<MachineName> アカウントです。次に Users グループを追加します。以下の項目の [許可] チェック ボックスのみがオンになっていることを確認します。
    • 読み取りと実行
    • フォルダの内容の一覧表示
    • 読み取り
  15. Web コンテンツが格納されているルート ディレクトリのプロパティを開きます。デフォルトでは、これは %systemdrive%\Inetpub\Wwwroot フォルダです。[セキュリティ] タブをクリックし、IUSR_<MachineName> アカウントと Users グループを追加し、以下の項目の [許可] チェック ボックスのみがオンになっていることを確認します。
    • 読み取りと実行
    • フォルダの内容の一覧表示
    • 読み取り
  16. Inetpub\FTProot または FTP サイトのディレクトリ パスに書き込みの NTFS アクセス許可を付与する場合は、FTP サイトのディレクトリのプロパティを開き、手順 15. を再度実行します。

    : FTP サービスのユーザーが使用するディレクトリも含め、すべてのディレクトリで、書き込みの NTFS 許可を匿名アカウントに付与しないことを推奨します。このアクセス許可を付与すると、Web サーバーに不要なデータがアップロードされる可能性があります。

システム ディレクトリでの継承を無効にする

  1. %systemroot%\System32 フォルダで、次のフォルダを除くすべてのフォルダを選択します。
    • Inetsrv
    • Certsrv (存在する場合)
    • COM
  2. 選択されている任意のフォルダを右クリックし、[プロパティ] をクリックし、[セキュリティ] タブをクリックします。
  3. [継承可能なアクセス許可を親からこのオブジェクトに継承できるようにする] チェック ボックスをオフにし、[コピー] をクリックし、[OK] をクリックします。
  4. %systemroot% フォルダで、次のフォルダを除くすべてのフォルダを選択します。
    • Assembly (存在する場合)
    • Downloaded Program Files
    • Help
    • Microsoft.NET (存在する場合)
    • Offline Web Pages
    • System32
    • Tasks
    • Temp
    • Web
  5. 選択されている任意のフォルダを右クリックし、[プロパティ] をクリックし、[セキュリティ] タブをクリックします。
  6. [継承可能なアクセス許可を親からこのオブジェクトに継承できるようにする] チェック ボックスをオフにし、[コピー] をクリックし、[OK] をクリックします。
  7. 次のようにアクセス許可を適用します。
    1. %systemroot% フォルダのプロパティを開き、[セキュリティ] タブをクリックし、IUSR_<MachineName> アカウントと IWAM_<MachineName> アカウント、および Users グループを追加し、以下の項目の [許可] チェック ボックスのみがオンになっていることを確認し、[OK] をクリックします。
      • 読み取りと実行
      • フォルダの内容の一覧表示
      • 読み取り
    2. %systemroot%\Temp フォルダのプロパティを開き、[IUSR_<MachineName>] アカウント (このアカウントは Winnt フォルダから継承されているため既に存在しています) をクリックし、[変更] の [許可] チェック ボックスをオンにします。IWAM_<MachineName> アカウントおよび Users グループについてもこの手順を実行します。
    3. FrontPage や Microsoft Visual InterDev などの FrontPage Server Extension クライアントを使用する場合は、%systemdrive%\Inetpub\Wwwroot フォルダのプロパティを開き、[Authenticated Users] グループをクリックし、以下の項目の [許可] チェック ボックスをオンにし、[OK] をクリックします。
      • 変更
      • 読み取りと実行
      • フォルダの内容の一覧表示
      • 読み取り
      • 書き込み
先頭へ戻る | フィードバック

NTFS アクセス許可

次の表は、「システム ディレクトリでの継承を無効にする」に記載されている手順を実行した場合に適用されるアクセス許可の一覧です。この表は、参照専用です。

次の表のアクセス許可を適用するには、次の手順を実行します。
  1. エクスプローラを開きます。これを行うには、[スタート] ボタンをクリックし、[プログラム]、[アクセサリ] の順にポイントし、[エクスプローラ] をクリックします。
  2. [マイ コンピュータ] を展開します。
  3. %systemroot% を右クリックし、[プロパティ] をクリックします。
  4. [セキュリティ] タブをクリックし、[詳細] をクリックします。
  5. 対象のアクセス許可をダブルクリックし、[適用先] ボックスの一覧から適切な設定を選択します。
: [適用先] ボックスのデフォルトは、"このフォルダ、サブフォルダおよびファイル" です。
元に戻す全体を表示する
ディレクトリユーザー\グループアクセス許可適用先
%systemroot%\ (c:\winnt) Administrator フル コントロール デフォルト
System フル コントロール デフォルト
Users 読み取りと実行 デフォルト
%systemroot%\system32 Administrators フル コントロール デフォルト
System フル コントロール デフォルト
Users 読み取りと実行 デフォルト
%systemroot%\system32\inetsrv Administrators フル コントロール デフォルト
System フル コントロール デフォルト
Users 読み取りと実行 デフォルト
Inetpub\adminscripts Administrators フル コントロール デフォルト
Inetpub\urlscan (存在する場合) Administrators フル コントロール デフォルト
System フル コントロール デフォルト
%systemroot%\system32\inetsrv\metaback Administrators フル コントロール デフォルト
System フル コントロール デフォルト
%systemroot%\help\iishelp\common Administrators フル コントロール このフォルダとファイル
System フル コントロール このフォルダとファイル
IWAM_<Machinename> 読み取りと実行 このフォルダとファイル
Network フル コントロール このフォルダとファイル
Service このフォルダとファイル
Users 読み取りと実行 このフォルダとファイル
Inetpub\wwwroot (またはコンテンツ ディレクトリ) Administrators フル コントロール このフォルダとファイル
System フル コントロール このフォルダとファイル
IWAM_<MachineName> 読み取りと実行 このフォルダとファイル
Service 読み取りと実行 このフォルダとファイル
Network 読み取りと実行 このフォルダとファイル
オプション ** Users 読み取りと実行 このフォルダとファイル

** FrontPage Server Extensions を使用している場合、Authenticated Users または Users グループには、Visual InterDev 6.0 または FrontPage 2002 などの FrontPage タイプのクライアントを使用する開発者に必要な機能の作成、名前の変更、書き込み、または提供を行うために、変更の NTFS アクセス許可が必要です。

レジストリでアクセス許可を付与する

  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。次に、regedt32 と入力し、[OK] をクリックします。レジストリ エディタ (regedit.exe) では、Windows 2000 のアクセス許可を変更することはできないため、レジストリ エディタは使用しないでください。
  2. レジストリ エディタで [HKEY_LOCAL_MACHINE] ウィンドウをクリックします。
  3. [SYSTEM]、[CurrentControlSet]、[Services] の順に展開します。
  4. [IISADMIN] キーをクリックし、[セキュリティ] メニューの [アクセス許可] をクリックします (または Alt + S キーを押し、P キーを押します)。
  5. [継承可能なアクセス許可を親からこのオブジェクトに継承できるようにする] チェック ボックスをオフにし、[コピー] をクリックし、以下のユーザーを除くすべてのユーザーを削除します。
    • Administrators (読み取りおよびフル コントロールを許可します)
    • SYSTEM (読み取りおよびフル コントロールを許可します)
  6. [OK] をクリックします。
  7. MSFTPSVC キーについても上記の手順を繰り返します。
  8. [W3SVC] キーをクリックし、[セキュリティ] メニューの [アクセス許可] をクリックします。
  9. [継承可能なアクセス許可を親からこのオブジェクトに継承できるようにする] チェック ボックスをオフにして [コピー] をクリックし、以下のユーザーおよびグループを除くすべてのエントリを削除します。
    • Administrators (読み取りおよびフル コントロールを許可します)
    • SYSTEM (読み取りおよびフル コントロールを許可します)
    • NETWORK (読み取り)
    • SERVICE (読み取り)
    • IWAM_<MachineName> (読み取り)
  10. [OK] をクリックします。

レジストリ

次の表は、「レジストリでアクセス許可を付与する」に記載されている手順を実行した場合に適用されるアクセス許可の一覧です。この表は、参照専用です。

: HKLM という略語は HKEY_LOCAL_MACHINE を指します。
元に戻す全体を表示する
場所ユーザー\グループアクセス許可
HKLM\System\CurrentControlSet\Services\IISAdmin Administrators フル コントロール
System フル コントロール
HKLM\System\CurrentControlSet\Services\MsFtpSvc Administrators フル コントロール
System フル コントロール
HKLM\System\CurrentControlSet\Services\w3svc Administrators フル コントロール
System フル コントロール
IWAM_<MachineName> 読み取り

ローカル セキュリティ ポリシーで権利を付与する

  1. [スタート] ボタンをクリックし、[設定] をポイントし、[コントロール パネル] をクリックします。
  2. [管理ツール] をダブルクリックし、[ローカル セキュリティ ポリシー] をダブルクリックします。
  3. [ローカル セキュリティ設定] で、[ローカル ポリシー] を展開し、[ユーザー権利の割り当て] をクリックします。
  4. この資料の「ポリシー」の表に従い、以下の手順を実行してポリシーを変更します。
    1. ポリシーをダブルクリックします。
    2. 表に記載されていないユーザーが表示される場合は、そのユーザーの隣のチェック ボックスをオフにします。
    3. 一覧に記載されていないユーザーがあれば、追加します。追加するには、[追加] をクリックし、[ユーザーまたはグループの選択] ダイアログ ボックスでユーザーを選択します。
ドメイン コントローラ ポリシーはローカル ポリシーより優先されるため、[有効なポリシーの設定] と [ローカル ポリシーの設定] が一致していることを確認する必要があります。

ポリシー

次の表は、「ローカル セキュリティ ポリシーで権利を付与する」の手順を実行して適用するアクセス許可の一覧です。
元に戻す全体を表示する
ポリシーユーザー
ローカル ログオン Administrators
IUSR_<MachineName> (匿名)
Users (認証が必要)
ネットワーク経由でコンピュータへアクセス Administrators
ASPNET (.NET Framework)
IUSR_<MachineName> (匿名)
IWAM_<MachineName>
Users
バッチ ジョブとしてログオン ASPNET
Network
IUSR_<MachineName>
IWAM_<MachineName>
Service
サービスとしてログオン ASPNET
Network
Bypass Traverse Checking Administrators
IUSR_<MachineName> (匿名)
Users (基本認証、統合認証、ダイジェスト認証)
IWAM_<MachineName>

必要なサービス

IIS 4.0 に必要なサービスの関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
189271
(http://support.microsoft.com/kb/189271/ )
セキュリティが強化された IIS コンピュータを実行するために必要なサービスの一覧
先頭へ戻る | フィードバック

関連情報

Windows 2000 でデフォルトの NTFS アクセス許可を復元する方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
266118
(http://support.microsoft.com/kb/266118/ )
Windows 2000 でデフォルトの NTFS アクセス許可を復元する方法
260985
(http://support.microsoft.com/kb/260985/ )
[XIMS] CDONTS の使用に必要な最低限の NTFS アクセス許可
324068
(http://support.microsoft.com/kb/324068/ )
[HOWTO] 特定のオブジェクトに IIS のアクセス許可を設定する方法
815153
(http://support.microsoft.com/kb/815153/ )
NTFS ファイルのアクセス許可を構成して ASP.NET アプリケーションのセキュリティを強化する方法
先頭へ戻る | フィードバック

プロパティ

文書番号: 271071 - 最終更新日: 2006年10月13日 - リビジョン: 15.0
この資料は以下の製品について記述したものです。
  • Microsoft Internet Information Services 5.0
キーワード:?
kbhowtomaster kbhowto kbpending kbprb KB271071
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"
サポート期間が終了した「サポート技術情報」資料に関する免責事項
この資料は、マイクロソフトでサポートされていない製品について記述したものです。そのため、この資料は現状ベースで提供されており、今後更新されることはありません。
先頭へ戻る | フィードバック

フィードバック

 
先頭へ戻る先頭へ戻る