Zugriffssteuerungslisten und MetaACL für Metabasis ACL Berechtigungsänderungen

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 326902 - Produkte anzeigen, auf die sich dieser Artikel bezieht
wichtig Dieser Artikel enthält Informationen zum Bearbeiten der Metabasis. Bevor Sie die Metabasis bearbeiten, stellen Sie sicher, dass Sie eine Sicherungskopie, die Sie wiederherstellen können haben, wenn ein Problem auftritt. Informationen dazu, wie Sie dazu finden Sie unter das Hilfethema "Sicherungskopie erstellen/Konfiguration wiederherstellen" in Microsoft Management Console (MMC).
Alles erweitern | Alles schließen

Auf dieser Seite

Zusammenfassung

Dieser Artikel beschreibt Funktionsweise der Zugriffssteuerungslisten (ACLs) in der Microsoft Internet Information Server (IIS) 4.0 oder Microsoft Internet Information Services (IIS) 5.0-Metabasis. Die Metabasis ist nicht nur durch das Betriebssystem ACLs für bestimmte Datei (MetaBase.bin) geschützt, aber die Datei hat auch ACL-Schutz in das Verzeichnis selbst.

Hinweis: Die Datei MetaBase.bin ist ein vollständig kompatible x. 500 LIGHTWEIGHT Directory Access Protocol ()-Verzeichnis und Berechtigungen in Parent\Child Beziehung unterliegt. Daher werden ACLs angewendet rekursiv das Verzeichnis, bis der Stamm erreicht ist.

Dieser Artikel beschreibt auch die Rolle von ACLs in der IIS-Metabasis zum Bearbeiten von ACLs und die Standard-ACLs für IIS 4.0 und IIS 5.0.

Weitere Informationen

Zugriffssteuerungslisten

Einführung

In der Metabasis begrenzen ACLs den Zugriff auf bestimmte Benutzerkonten für bestimmte Schlüssel im Verzeichnis Metabase.bin. Mit ACLs werden zwei Arten von Berechtigungen erteilt:
  • ACCESS_ALLOWED_ACE
  • ACCESS_DENIED_ACE
Microsoft empfiehlt, dass Sie ACCESS_ALLOWED_ACE nur, verwenden da Microsoft ACCESS_DENIED_ACE nicht umfassend getestet.

Da alle ACL-Informationen in der Metabasis in der MD_ADMIN_ACL -Eigenschaft gespeichert wird, können Sie die Informationen mit typischen Metabasis Anzeigetools Adsutil sowie Mdutil anzeigen.

Verfügbaren Rechte

Wenn Sie die Metabasis ACLs ändern, sind die folgenden Rechte verfügbar:
  • MD_ACR_UNSECURE_PROPS_READ : Gibt ein Benutzer nur schreibgeschützten Zugriff auf nicht sichere-Eigenschaft.
  • MD_ACR_READ : verursacht ein Benutzer Leseberechtigung, eine sichere oder unsichere-Eigenschaft.
  • MD_ACR_ENUM_KEYS : Gibt einem Benutzer das Recht zum Auflisten aller Namen der untergeordneten Knoten.
  • MD_ACR_WRITE_DAC : einem Benutzer das Recht zum Schreiben oder erstellen eine AdminACL -Eigenschaft auf dem entsprechenden Knoten gibt.
  • MD_ACR_WRITE : Gibt einem Benutzer die Berechtigung zum Ändern (einschließlich hinzufügen oder Set) Eigenschaften außer eingeschränkte Eigenschaften. Weitere Informationen finden Sie nach Plattform im Abschnitt zur eingeschränkten Eigenschaften.
  • MD_ACR_RESTRICTED_WRITE : Gibt einem Benutzer das Recht, eine Eigenschaft zu ändern, die momentan mit nur-Administrator festgelegt ist. Diese Berechtigung ermöglicht Vollzugriff auf den Schlüssel für einen Benutzer.

Bearbeiten von ACLs

Warnung Eine unkorrekte Bearbeitung der Metabasis können Sie schwerwiegende Probleme verursachen, erforderlich machen können Sie jedes Produkt installieren, der die Metabasis verwendet. Microsoft kann nicht garantieren, dass Probleme, die eine unkorrekte Bearbeitung der Metabasis herrühren, behoben werden können. Bearbeitung der Metabasis erfolgt auf eigenes Risiko.

Hinweis: Immer sichern Sie die Metabasis, bevor Sie ihn bearbeiten.

Um die ACLs zu bearbeiten, verwenden Sie ein Dienstprogramm mit dem Namen Metaacl.vbs. Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base:
267904Ändern der Metabasis Berechtigungen für die IIS Admin Objects Metaacl.exe
In diesem Beispiel wird den w3svc -Schlüssel für die Administratoren den Zugriff verweigern geändert wird.

Warnung Dadurch auf einem Produktionssystem kann äußerst gefährlich sein und wie vorgesehen funktioniert Fehlschlagen von IIS führen. In diesem Beispiel wird nur schrittweise Durchlaufen des Bearbeitungsprozesses zu Demonstrationszwecken.
  1. Kopieren Sie die Metaacl.vbs-Datei in das Verzeichnis %systemdrive%\Inetpub\Adminscripts.
  2. Klicken Sie auf Start , klicken Sie auf Ausführen , geben Sie cmd ein und klicken Sie dann auf Ausführen , um eine Eingabeaufforderung zu öffnen.
  3. Führen Sie an der Eingabeaufforderung den folgenden Befehl in das Verzeichnis Adminscripts ändern:
    c:\cd Inetpub\Adminscripts
    					
  4. Um die Parameter am IIS zu ändern: / / LOCALHOST/W3SVC, führen Sie den folgenden Befehl:
    c:\Inetpub\Adminscripts>cscript metaacl.vbs IIS://LOCALHOST/W3SVC mydomain\mydomainaccount RW
    
    					
    Sie erhalten folgende Antwort:
    ACE für Mydomain\mydomainaccount hinzugefügt.
Metaacl.vbs können Sie die folgenden Rechte für alle Benutzer hinzufügen:
  • R - Read (Lesen)
  • W - Write (Schreiben)
  • S eingeschränkt schreiben
  • U nicht gesicherten Eigenschaften lesen
  • Listen Sie E Schlüssel auf
  • Schreiben Sie D DACL (Berechtigungen)

ACLs von Serverplattform

IIS 4.0

  • Standard-ACLs die folgende Liste beschreibt die Standard-ACLs im Verzeichnis Metabase.bin abgelegt werden, wenn IIS 4.0 installiert ist:
    LM -
       W3SVC
          BUILTIN\Administrators
            Access: RWSUED
          Everyone
            Access:     E
       MSFTPSVC
          BUILTIN\Administrators
            Access: RWSUED
          Everyone
            Access:     E
       SMTPSVC  
          BUILTIN\Administrators
            Access: RWSUED
          Everyone
            Access:     E
       NNTPSVC
          BUILTIN\Administrators
            Access: RWSUED
          Everyone
            Access:     E
    					
  • Eingeschränkte ACLs die folgende Liste beschreibt die wichtigsten Metabasiseigenschaften, die markiert sind auf Standardinstallationen von IIS 4.0 als eingeschränkt:
    MD_ADMIN_ACL
    MD_APP_ISOLATED
    MD_VR_PATH
    MD_ACCESS_PERM
    MD_ANONYMOUS_USER_NAME
    MD_ANONYMOUS_PWD
    MD_MAX_BANDWIDTH
    MD_MAX_BANDWIDTH_BLOCKED
    MD_ISM_ACCESS_CHECK
    MD_FILTER_LOAD_ORDER
    MD_FILTER_STATE
    MD_FILTER_ENABLED
    MD_FILTER_DESCRIPTION
    MD_FILTER_FLAGS
    MD_FILTER_IMAGE_PATH
    MD_SECURE_BINDINGS
    MD_SERVER_BINDINGS
    					

IIS 5.0

  • Standard-ACLs die folgende Liste beschreibt die Standard-ACLs im Verzeichnis Metabase.bin abgelegt werden, wenn IIS 5.0 installiert ist:
    LM - 
       W3SVC
          BUILTIN\Administrators
            Access: RWSUED
          Everyone
            Access:     E 
          {IISMachineName}\VS Developers
            Access: RWSUE 
       MSFTPSVC
          BUILTIN\Administrators
            Access: RWSUED
          Everyone
            Access:     E
       SMTPSVC
          BUILTIN\Administrators
            Access: RWSUED
          Everyone
            Access:     E 
       NNTPSVC
          BUILTIN\Administrators
            Access: RWSUED
          Everyone
            Access:     E 
    					
  • Eingeschränkte ACLs die folgende Liste beschreibt die wichtigsten Metabasiseigenschaften, die markiert sind als auf Installationen von IIS 5.0 standardmäßig eingeschränkt:
    MD_ADMIN_ACL
    MD_APP_ISOLATED
    MD_VR_PATH
    MD_ACCESS_PERM
    MD_ANONYMOUS_USER_NAME
    MD_ANONYMOUS_PWD
    MD_MAX_BANDWIDTH
    MD_MAX_BANDWIDTH_BLOCKED
    MD_ISM_ACCESS_CHECK
    MD_FILTER_LOAD_ORDER
    MD_FILTER_STATE
    MD_FILTER_ENABLED
    MD_FILTER_DESCRIPTION
    MD_FILTER_FLAGS
    MD_FILTER_IMAGE_PATH
    MD_SECURE_BINDINGS
    MD_SERVER_BINDINGS
    					

IIS 6.0

  • Default ACLs The following list describes the default ACLs that are put in the Metabase.xml directory when IIS 6.0 is installed:
    LM ? 
         W3SVC 
            NT AUTHORITY\LOCAL SERVICE 
    	  Access: R UE 
    	NT AUTHORITY\NETWORK SERVICE 
    	  Access: R UE 
    	{computername}\IIS_WPG 
               Access: R UE 
            BUILTIN\Administrators 
               Access: RWSUED
            {computername}\ASPNET
               Access: R   E 
         W3SVC/Filters
            NT AUTHORITY\LOCAL SERVICE
               Access: RW UE
            NT AUTHORITY\NETWORK SERVIC
               Access: RW UE
            {computername}\IIS_WPG
               Access: RW UE
            BUILTIN\Administrators
               Access: RWSUED
         W3SVC/1/Filters
            NT AUTHORITY\LOCAL SERVICE
               Access: RW UE
            NT AUTHORITY\NETWORK SERVIC
               Access: RW UE
            {computername}\IIS_WPG
               Access: RW UE
            BUILTIN\Administrators
               Access: RWSUED
         W3SVC/AppPools
            NT AUTHORITY\LOCAL SERVICE
               Access:    U
            NT AUTHORITY\NETWORK SERVICE
               Access:    U
           {computername}\IIS_WPG
               Access:    U
            BUILTIN\Administrators
               Access: RWSUED
         W3SVC/INFO
            BUILTIN\Administrators
               Access: RWSUED
         MSFTPSVC 
            BUILTIN\Administrators 
               Access: RWSUED 
         SMTPSVC 
            BUILTIN\Administrators
               Access: RWSUED
            NT AUTHORITY\LOCAL SERVICE
               Access:    UE
            NT AUTHORITY\NETWORK SERVICE
               Access:    UE
         NNTPSVC
            BUILTIN\Administrators
               Access: RWSUED
            NT AUTHORITY\LOCAL SERVICE
               Access:    UE
            NT AUTHORITY\NETWORK SERVICE
               Access:    UE
         Logging
            BUILTIN\Administrators
               Access: RWSUED 
    						
  • Restricted ACLs The following list describes the metabase key properties that are marked as restricted on default installations of IIS 6.0:
    MD_ADMIN_ACL
    MD_VPROP_ADMIN_ACL_RAW_BINARY
    MD_APPPOOL_ORPHAN_ACTION_EXE
    MD_APPPOOL_ORPHAN_ACTION_PARAMS
    MD_APPPOOL_AUTO_SHUTDOWN_EXE
    MD_APPPOOL_AUTO_SHUTDOWN_PARAMS
    MD_APPPOOL_IDENTITY_TYPE
    MD_APP_APPPOOL_ID
    MD_APP_ISOLATED
    MD_VR_PATH
    MD_ACCESS_PERM
    MD_VR_USERNAME
    MD_VR_PASSWORD
    MD_ANONYMOUS_USER_NAME
    MD_ANONYMOUS_PWD
    MD_LOGSQL_USER_NAME
    MD_LOGSQL_PASSWORD
    MD_WAM_USER_NAME
    MD_WAM_PWD
    MD_AD_CONNECTIONS_USERNAME
    MD_AD_CONNECTIONS_PASSWORD
    MD_MAX_BANDWIDTH
    MD_MAX_BANDWIDTH_BLOCKED
    MD_ISM_ACCESS_CHECK
    MD_FILTER_LOAD_ORDER
    MD_FILTER_ENABLED
    MD_FILTER_IMAGE_PATH
    MD_SECURE_BINDINGS
    MD_SERVER_BINDINGS
    MD_ASP_ENABLECLIENTDEBUG
    MD_ASP_ENABLESERVERDEBUG
    MD_ASP_ENABLEPARENTPATHS
    MD_ASP_ERRORSTONTLOG
    MD_ASP_KEEPSESSIONIDSECURE
    MD_ASP_LOGERRORREQUESTS
    MD_ASP_DISKTEMPLATECACHEDIRECTORY
    36948 RouteUserName
    36949 RoutePassword
    36958 SmtpDsPassword
    41191 Pop3DsPassword
    45461 FeedAccountName
    45462 FeedPassword
    49384 ImapDsPassword
    						

Informationsquellen

Weitere Informationen über ACLs und die IIS-Metabasis finden Sie auf der folgenden Microsoft-Websites:
AdminACL
http://www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/791d575e-5364-45a9-90ef-4dfd23f38d67.mspx

Einführung in die IIS-Metabasis
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/iis/43a51d34-7c81-413b-9727-ec9a19d0b428.mspx

IIS Admin Objects Overview
http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/iisbook/c01_iis_administration_objects.mspx

Eigenschaften

Artikel-ID: 326902 - Geändert am: Montag, 3. Dezember 2007 - Version: 6.6
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Internet Information Services 6.0
  • Microsoft Internet Information Services 5.0
  • Microsoft Windows NT version 4.0 Option Pack
Keywords: 
kbmt kbhowtomaster kbinfo KB326902 KbMtde
Maschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell und nicht von einem Menschen übersetzt. Die Microsoft Knowledge Base ist sehr umfangreich und ihre Inhalte werden ständig ergänzt beziehungsweise überarbeitet. Um Ihnen dennoch alle Inhalte auf Deutsch anbieten zu können, werden viele Artikel nicht von Menschen, sondern von Übersetzungsprogrammen übersetzt, die kontinuierlich optimiert werden. Doch noch sind maschinell übersetzte Texte in der Regel nicht perfekt, insbesondere hinsichtlich Grammatik und des Einsatzes von Fremdwörtern sowie Fachbegriffen. Microsoft übernimmt keine Gewähr für die sprachliche Qualität oder die technische Richtigkeit der Übersetzungen und ist nicht für Probleme haftbar, die direkt oder indirekt durch Übersetzungsfehler oder die Verwendung der übersetzten Inhalte durch Kunden entstehen könnten.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 326902
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com