Seznamy ACL a pomocí MetaACL metabáze ACL změny oprávnění

ID článku: 326902 - Produkty, které se vztahují k tomuto článku.
Strojově přeložený článekUPOZORNĚNÍ: TENTO ČLÁNEK BYL STROJOVĚ PŘELOŽEN
Důležité Tento článek obsahuje informace o úpravě metabáze. Před úpravou metabázi ověřte, zda máte záložní kopii, která je možné obnovit v případě, že dojde k potížím. Informace o tomto postupu naleznete v tématu nápovědy "zálohování či obnovení konfigurace" v konzole MMC (konzola Microsoft Management Console).
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

Souhrn

Tento článek popisuje, jak seznamy řízení přístupu (ACL) pracovat v Internet Information Server (IIS) 4.0 nebo metabáze (IIS) 5.0. Metabáze není pouze chráněn ACL na určitý soubor (Metabase.bin) operačního systému, ale také má soubor ACL ochrany v adresáři sám.

Poznámka: Soubor Metabase.bin je plně kompatibilní s adresářů X.500 Lightweight Directory Access Protocol (LDAP) a řídí oprávnění ve vztahu Parent\Child. ACL proto jsou používána opakovaně až do adresáře, dokud není dosaženo kořenové.

Tento článek také popisuje roli ACL v metabázi IIS úpravy seznamů ACL a výchozí seznamy ACL pro službu IIS 4.0 a 5.0.
Zpět nahoru | Dejte nám zpětnou vazbu

Další informace

Seznamy řízení přístupu

Úvod

V metabázi seznamy ACL omezit přístup z určitých uživatelských účtů k určitým klíčům v adresáři Metabase.bin. Dva typy oprávnění jsou udělena s ACL:
  • ACCESS_ALLOWED_ACE
  • ACCESS_DENIED_ACE
Společnost Microsoft doporučuje používat pouze ACCESS_ALLOWED_ACE protože Microsoft rozsáhlé testování ACCESS_DENIED_ACE.

Protože všechny informace o seznamu ACL je uložena v metabázi sám v MD_ADMIN_ACL Vlastnost, můžete zobrazit informace s typickou metabáze zobrazení nástrojů Adsutil a Mdutil.

K dispozici práva

Při úpravě metabáze ACL, jsou k dispozici následující práva:
  • MD_ACR_UNSECURE_PROPS_READ: Poskytuje uživateli přístup jen pro čtení k libovolné vlastnosti nezabezpečené.
  • MD_ACR_READ: Poskytuje uživateli čtení práva na jakoukoliv vlastnost, zabezpečené nebo nezabezpečené.
  • MD_ACR_ENUM_KEYS: Poskytuje uživateli právo provést výčet všech názvů všech podřízených uzlů.
  • MD_ACR_WRITE_DAC: Opravňuje uživatele k psaní nebo vytvoření AdminACL Vlastnost odpovídajícího uzlu.
  • MD_ACR_WRITE: Dává uživateli právo upravit (včetně přidání nebo sadu) vlastnosti kromě vlastností s omezeným přístupem. Další informace naleznete v části o omezené vlastnosti platformou.
  • KONSTANTA MD_ACR_RESTRICTED_WRITE: Dává uživateli právo upravit jakoukoliv vlastnost, která je aktuálně nastavena na Pouze správce. Toto oprávnění umožňuje uživateli klíč úplné řízení.

Úpravy seznamů řízení přístupu

Upozornění Pokud upravíte metabázi nesprávně, můžete způsobit vážné problémy, které mohou vyžadovat přeinstalaci každého produktu, jenž metabázi využívá. Společnost Microsoft nemůže zaručit, že potíže vzniklé v důsledku nesprávné úpravy metabáze budete moci vyřešit. Metabázi upravujete na vlastní nebezpečí.

Poznámka: Před úpravou metabázi vždy zálohujte.

Chcete-li upravit seznamy ACL, použijete nástroj s názvem Metaacl.vbs.Další informace získáte klepnutím na následující číslo článku databáze Microsoft Knowledge Base:
267904
(http://support.microsoft.com/kb/267904/ )
Úpravy metabáze oprávnění pro objekty IIS Admin Object Metaacl.exe
V tomto příkladu změní W3SVC klíč k odepření přístupu pro správce.

Upozornění Tím ve výrobním systému lze velmi nebezpečné a způsobit selhání funkce podporovány služby IIS. Tento příklad pouze prostřednictvím procesu úprav pro demonstrační účely kroky.
  1. Zkopírujte soubor Metaacl.vbs do adresáře %systemdrive%\Inetpub\Adminscripts.
  2. Klepněte na tlačítko Spustit, klepněte na tlačítko Spustit, typ CMDa klepněte na tlačítko Spustit Otevřete příkazový řádek.
  3. Do příkazového řádku spusťte následující příkaz, který do adresáře Adminscripts:
    c:\cd Inetpub\Adminscripts
  4. Chcete upravit parametry umístěné na adrese IIS: / / LOCALHOST/W3SVC, spusťte následující příkaz:
    c:\Inetpub\Adminscripts>cscript metaacl.vbs IIS://LOCALHOST/W3SVC mydomain\mydomainaccount RW
    Obdržíte následující odezvu:
    ACE pro mydomain\mydomainaccount, přidali.
Metaacl.vbs lze přidat následující práva pro všechny uživatele:
  • R - čtení
  • W - zápis
  • S - zápis omezeným přístupem
  • U - nezabezpečené číst vlastnosti
  • E - výčet klíčů
  • D - zápis DACL (oprávnění)

Seznamy ACL platformou server

SLUŽBA IIS 4.0

  • Výchozí seznamy řízení přístupu Následující seznam popisuje výchozí seznamy ACL, které jsou umístěny v adresáři Metabase.bin při instalaci služby IIS 4.0:
    LM -
   W3SVC
      BUILTIN\Administrators
        Access: RWSUED
      Everyone
        Access:     E
   MSFTPSVC
      BUILTIN\Administrators
        Access: RWSUED
      Everyone
        Access:     E
   SMTPSVC  
      BUILTIN\Administrators
        Access: RWSUED
      Everyone
        Access:     E
   NNTPSVC
      BUILTIN\Administrators
        Access: RWSUED
      Everyone
        Access:     E
  • Seznamy ACL s omezeným přístupem Následující seznam popisuje klíčové vlastnosti metabáze, které jsou označeny jako omezeno na výchozí instalace služby IIS 4.0:
    MD_ADMIN_ACL
MD_APP_ISOLATED
MD_VR_PATH
MD_ACCESS_PERM
MD_ANONYMOUS_USER_NAME
MD_ANONYMOUS_PWD
MD_MAX_BANDWIDTH
MD_MAX_BANDWIDTH_BLOCKED
MD_ISM_ACCESS_CHECK
MD_FILTER_LOAD_ORDER
MD_FILTER_STATE
MD_FILTER_ENABLED
MD_FILTER_DESCRIPTION
MD_FILTER_FLAGS
MD_FILTER_IMAGE_PATH
MD_SECURE_BINDINGS
MD_SERVER_BINDINGS

SLUŽBA IIS 5.0

  • Výchozí seznamy řízení přístupu Následující seznam popisuje výchozí seznamy ACL, které jsou umístěny v adresáři Metabase.bin při instalaci služby IIS 5.0:
    LM - 
   W3SVC
      BUILTIN\Administrators
        Access: RWSUED
      Everyone
        Access:     E 
      {IISMachineName}\VS Developers
        Access: RWSUE 
   MSFTPSVC
      BUILTIN\Administrators
        Access: RWSUED
      Everyone
        Access:     E
   SMTPSVC
      BUILTIN\Administrators
        Access: RWSUED
      Everyone
        Access:     E 
   NNTPSVC
      BUILTIN\Administrators
        Access: RWSUED
      Everyone
        Access:     E
  • Seznamy ACL s omezeným přístupem Následující seznam popisuje klíčové vlastnosti metabáze, které jsou označeny jako omezeno na výchozí instalace služby IIS 5.0:
    MD_ADMIN_ACL
MD_APP_ISOLATED
MD_VR_PATH
MD_ACCESS_PERM
MD_ANONYMOUS_USER_NAME
MD_ANONYMOUS_PWD
MD_MAX_BANDWIDTH
MD_MAX_BANDWIDTH_BLOCKED
MD_ISM_ACCESS_CHECK
MD_FILTER_LOAD_ORDER
MD_FILTER_STATE
MD_FILTER_ENABLED
MD_FILTER_DESCRIPTION
MD_FILTER_FLAGS
MD_FILTER_IMAGE_PATH
MD_SECURE_BINDINGS
MD_SERVER_BINDINGS

SLUŽBA IIS 6.0

  • Výchozí seznamy řízení přístupu Následující seznam popisuje výchozí seznamy ACL, které jsou umístěny v adresáři Metabase.xml při instalaci služby IIS 6.0:
    LM – 
     W3SVC 
        NT AUTHORITY\LOCAL SERVICE 
	  Access: R UE 
	NT AUTHORITY\NETWORK SERVICE 
	  Access: R UE 
	{computername}\IIS_WPG 
           Access: R UE 
        BUILTIN\Administrators 
           Access: RWSUED
        {computername}\ASPNET
           Access: R   E 
     W3SVC/Filters
        NT AUTHORITY\LOCAL SERVICE
           Access: RW UE
        NT AUTHORITY\NETWORK SERVIC
           Access: RW UE
        {computername}\IIS_WPG
           Access: RW UE
        BUILTIN\Administrators
           Access: RWSUED
     W3SVC/1/Filters
        NT AUTHORITY\LOCAL SERVICE
           Access: RW UE
        NT AUTHORITY\NETWORK SERVIC
           Access: RW UE
        {computername}\IIS_WPG
           Access: RW UE
        BUILTIN\Administrators
           Access: RWSUED
     W3SVC/AppPools
        NT AUTHORITY\LOCAL SERVICE
           Access:    U
        NT AUTHORITY\NETWORK SERVICE
           Access:    U
       {computername}\IIS_WPG
           Access:    U
        BUILTIN\Administrators
           Access: RWSUED
     W3SVC/INFO
        BUILTIN\Administrators
           Access: RWSUED
     MSFTPSVC 
        BUILTIN\Administrators 
           Access: RWSUED 
     SMTPSVC 
        BUILTIN\Administrators
           Access: RWSUED
        NT AUTHORITY\LOCAL SERVICE
           Access:    UE
        NT AUTHORITY\NETWORK SERVICE
           Access:    UE
     NNTPSVC
        BUILTIN\Administrators
           Access: RWSUED
        NT AUTHORITY\LOCAL SERVICE
           Access:    UE
        NT AUTHORITY\NETWORK SERVICE
           Access:    UE
     Logging
        BUILTIN\Administrators
           Access: RWSUED
  • Seznamy ACL s omezeným přístupem Následující seznam popisuje klíčové vlastnosti metabáze, které jsou označeny jako omezeno na výchozí instalace služby IIS 6.0:
    MD_ADMIN_ACL
MD_VPROP_ADMIN_ACL_RAW_BINARY
MD_APPPOOL_ORPHAN_ACTION_EXE
MD_APPPOOL_ORPHAN_ACTION_PARAMS
MD_APPPOOL_AUTO_SHUTDOWN_EXE
MD_APPPOOL_AUTO_SHUTDOWN_PARAMS
MD_APPPOOL_IDENTITY_TYPE
MD_APP_APPPOOL_ID
MD_APP_ISOLATED
MD_VR_PATH
MD_ACCESS_PERM
MD_VR_USERNAME
MD_VR_PASSWORD
MD_ANONYMOUS_USER_NAME
MD_ANONYMOUS_PWD
MD_LOGSQL_USER_NAME
MD_LOGSQL_PASSWORD
MD_WAM_USER_NAME
MD_WAM_PWD
MD_AD_CONNECTIONS_USERNAME
MD_AD_CONNECTIONS_PASSWORD
MD_MAX_BANDWIDTH
MD_MAX_BANDWIDTH_BLOCKED
MD_ISM_ACCESS_CHECK
MD_FILTER_LOAD_ORDER
MD_FILTER_ENABLED
MD_FILTER_IMAGE_PATH
MD_SECURE_BINDINGS
MD_SERVER_BINDINGS
MD_ASP_ENABLECLIENTDEBUG
MD_ASP_ENABLESERVERDEBUG
MD_ASP_ENABLEPARENTPATHS
MD_ASP_ERRORSTONTLOG
MD_ASP_KEEPSESSIONIDSECURE
MD_ASP_LOGERRORREQUESTS
MD_ASP_DISKTEMPLATECACHEDIRECTORY
36948 RouteUserName
36949 RoutePassword
36958 SmtpDsPassword
41191 Pop3DsPassword
45461 FeedAccountName
45462 FeedPassword
49384 ImapDsPassword
Zpět nahoru | Dejte nám zpětnou vazbu

Odkazy

Další informace o seznamů ACL a metabáze služby IIS naleznete na následujících webech společnosti Microsoft:
AdminACL
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/IIS/791d575e-5364-45A9-90ef-4dfd23f38d67.mspx
(http://www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/791d575e-5364-45a9-90ef-4dfd23f38d67.mspx)


Úvod do metabáze služby IIS
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/IIS/43a51d34-7c81-413B-9727-ec9a19d0b428.mspx
(http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/iis/43a51d34-7c81-413b-9727-ec9a19d0b428.mspx)


Přehled objektů IIS Admin Object
http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/iisbook/c01_iis_administration_objects.mspx
(http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/iisbook/c01_iis_administration_objects.mspx)
Zpět nahoru | Dejte nám zpětnou vazbu

Vlastnosti

ID článku: 326902 - Poslední aktualizace: 19. května 2011 - Revize: 8.0
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft Internet Information Services 6.0
  • Microsoft Internet Information Services 5.0
Klíčová slova: 
kbhowtomaster kbinfo kbmt KB326902 KbMtcs
Strojově přeložený článek
Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.
Projděte si také anglickou verzi článku:326902
(http://support.microsoft.com/kb/326902/en-us/ )
Zpět nahoru | Dejte nám zpětnou vazbu

Dejte nám zpětnou vazbu

 
Zpět nahoruZpět nahoru