ACL y utilizar MetaACL para ACL de la metabase los cambios de permisos

Seleccione idioma Seleccione idioma
Id. de artículo: 326902 - Ver los productos a los que se aplica este artículo
importante este artículo contiene información sobre cómo se modifica la metabase. Antes de modificar la metabase, compruebe que dispone de una copia de seguridad que pueda restaurar si surge algún problema. Para obtener información sobre cómo hacerlo, consulte el tema de la Ayuda "Hacer copia de seguridad y restaurar la configuración" de Microsoft Management Console (MMC).
Expandir todo | Contraer todo

En esta página

Resumen

En este artículo se describe cómo listas de control de acceso (ACL) funcionan en el Microsoft Internet Information Server (IIS) 4.0 o de la metabase de Microsoft Internet Information Services (IIS) 5.0. La metabase no está protegida sólo por el sistema operativo ACL en el archivo específico (metabase.bin), pero el archivo tiene también la protección de ACL en el propio directorio.

Nota El archivo metabase.bin es un directorio totalmente compatible del Protocolo ligero de acceso directorios (LDAP) de X.500 y se rige por permisos en una relación Parent\Child. Por lo tanto, ACL son aplicado de forma recursiva el directorio hasta que alcanza la raíz.

En este artículo describe también la función de las ACL en la metabase de IIS, cómo modificar las ACL y las ACL predeterminadas para IIS 4.0 y IIS 5.0.

Más información

Listas de control de acceso

Introducción

En la metabase, ACL limitar el acceso de ciertas cuentas de usuario a determinadas claves en el directorio de metabase.bin. Dos tipos de permisos se conceden con ACL:
  • ACCESS_ALLOWED_ACE
  • ACCESS_DENIED_ACE
Microsoft recomienda que sólo utilice ACCESS_ALLOWED_ACE porque Microsoft no prueba exhaustivamente ACCESS_DENIED_ACE .

Porque ACL toda la información se almacena en la metabase en la propiedad MD_ADMIN_ACL , puede ver la información con típica metabase ver herramientas como Adsutil y Mdutil.

Derechos disponibles

Cuando modifica la ACL de la metabase, están disponibles los siguientes derechos:
  • MD_ACR_UNSECURE_PROPS_READ : ofrece un acceso de usuario de sólo lectura a cualquier propiedad no segura.
  • MD_ACR_READ : da derechos a cualquier propiedad segura o no segura de lectura de un usuario.
  • MD_ACR_ENUM_KEYS : ofrece un usuario el derecho a enumerar todos los nombres de todos los nodos secundarios.
  • MD_ACR_WRITE_DAC : ofrece un usuario el derecho a escribir o crear una propiedad AdminACL en el nodo correspondiente.
  • MD_ACR_WRITE : ofrece un usuario el derecho a modificar (incluido agregar o set) las propiedades excepto propiedades restringidas. Para obtener más información, consulte la sección sobre las propiedades restringidas por la plataforma.
  • MD_ACR_RESTRICTED_WRITE : ofrece un usuario el derecho de modificar cualquier propiedad que está configurado para sólo el administrador . Este permiso proporciona control total a esa tecla para un usuario.

Modificar ACL

Advertencia si modifica la metabase incorrectamente, puede causar serios problemas que le obligarán a instalar de nuevo todos los productos que utilizan la metabase. Microsoft no puede garantizar la solución de los problemas resultantes de una modificación incorrecta de la metabase. Modifique la metabase bajo su responsabilidad.

Nota Haga siempre una copia de seguridad de la metabase antes de modificarla.

Para modificar las ACL, utilice una utilidad que se denomina Metaacl.vbs. Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
267904Metaacl.exe modificar permisos de metabase para el IIS Admin Objects
Este ejemplo modifica la clave w3svc para denegar el acceso a los administradores.

Advertencia Hacerlo en un sistema de producción puede ser extremadamente peligroso y ocasionar que IIS falle al funcionar como se ha diseñado. Este ejemplo sólo recorre el proceso de edición con fines de demostración.
  1. Copie el archivo Metaacl.vbs al directorio %systemdrive%\Inetpub\Adminscripts.
  2. Haga clic en Inicio , haga clic en Ejecutar , escriba CMD y, a continuación, haga clic en Ejecutar para abrir un símbolo.
  3. En el símbolo del sistema, ejecute el comando siguiente para cambiar al directorio AdminScripts:
    c:\cd Inetpub\Adminscripts
    					
  4. Para modificar los parámetros que se encuentra en IIS: / / LOCALHOST/W3SVC, ejecute el siguiente comando:
    c:\Inetpub\Adminscripts>cscript metaacl.vbs IIS://LOCALHOST/W3SVC mydomain\mydomainaccount RW
    
    					
    recibe la respuesta siguiente:
    ACE para mydomain\mydomainaccount agregado.
Puede utilizar Metaacl.vbs para agregar los siguientes derechos para cualquier usuario:
  • R leer
  • Escritura de W
  • S restringido escritura
  • Lectura de propiedades U no seguras
  • E enumerar claves
  • D escribir DACL (permisos)

ACL por plataforma de servidor

IIS 4.0

  • ACL predeterminadas la lista siguiente describe las ACL predeterminada que se colocan en el directorio de metabase.bin cuando está instalado IIS 4.0:
    LM -
       W3SVC
          BUILTIN\Administrators
            Access: RWSUED
          Everyone
            Access:     E
       MSFTPSVC
          BUILTIN\Administrators
            Access: RWSUED
          Everyone
            Access:     E
       SMTPSVC  
          BUILTIN\Administrators
            Access: RWSUED
          Everyone
            Access:     E
       NNTPSVC
          BUILTIN\Administrators
            Access: RWSUED
          Everyone
            Access:     E
    					
  • ACL restringidas la lista siguiente describe las propiedades de clave de metabase que se marcan como restringido en las instalaciones predeterminadas de IIS 4.0:
    MD_ADMIN_ACL
    MD_APP_ISOLATED
    MD_VR_PATH
    MD_ACCESS_PERM
    MD_ANONYMOUS_USER_NAME
    MD_ANONYMOUS_PWD
    MD_MAX_BANDWIDTH
    MD_MAX_BANDWIDTH_BLOCKED
    MD_ISM_ACCESS_CHECK
    MD_FILTER_LOAD_ORDER
    MD_FILTER_STATE
    MD_FILTER_ENABLED
    MD_FILTER_DESCRIPTION
    MD_FILTER_FLAGS
    MD_FILTER_IMAGE_PATH
    MD_SECURE_BINDINGS
    MD_SERVER_BINDINGS
    					

IIS 5.0

  • ACL predeterminadas la lista siguiente describe las ACL predeterminada que se colocan en el directorio de metabase.bin cuando está instalado IIS 5.0:
    LM - 
       W3SVC
          BUILTIN\Administrators
            Access: RWSUED
          Everyone
            Access:     E 
          {IISMachineName}\VS Developers
            Access: RWSUE 
       MSFTPSVC
          BUILTIN\Administrators
            Access: RWSUED
          Everyone
            Access:     E
       SMTPSVC
          BUILTIN\Administrators
            Access: RWSUED
          Everyone
            Access:     E 
       NNTPSVC
          BUILTIN\Administrators
            Access: RWSUED
          Everyone
            Access:     E 
    					
  • ACL restringidas la lista siguiente describe las propiedades de clave de metabase que se marcan como restringido en las instalaciones predeterminadas de IIS 5.0:
    MD_ADMIN_ACL
    MD_APP_ISOLATED
    MD_VR_PATH
    MD_ACCESS_PERM
    MD_ANONYMOUS_USER_NAME
    MD_ANONYMOUS_PWD
    MD_MAX_BANDWIDTH
    MD_MAX_BANDWIDTH_BLOCKED
    MD_ISM_ACCESS_CHECK
    MD_FILTER_LOAD_ORDER
    MD_FILTER_STATE
    MD_FILTER_ENABLED
    MD_FILTER_DESCRIPTION
    MD_FILTER_FLAGS
    MD_FILTER_IMAGE_PATH
    MD_SECURE_BINDINGS
    MD_SERVER_BINDINGS
    					

IIS 6.0

  • Default ACLs The following list describes the default ACLs that are put in the Metabase.xml directory when IIS 6.0 is installed:
    LM ? 
         W3SVC 
            NT AUTHORITY\LOCAL SERVICE 
    	  Access: R UE 
    	NT AUTHORITY\NETWORK SERVICE 
    	  Access: R UE 
    	{computername}\IIS_WPG 
               Access: R UE 
            BUILTIN\Administrators 
               Access: RWSUED
            {computername}\ASPNET
               Access: R   E 
         W3SVC/Filters
            NT AUTHORITY\LOCAL SERVICE
               Access: RW UE
            NT AUTHORITY\NETWORK SERVIC
               Access: RW UE
            {computername}\IIS_WPG
               Access: RW UE
            BUILTIN\Administrators
               Access: RWSUED
         W3SVC/1/Filters
            NT AUTHORITY\LOCAL SERVICE
               Access: RW UE
            NT AUTHORITY\NETWORK SERVIC
               Access: RW UE
            {computername}\IIS_WPG
               Access: RW UE
            BUILTIN\Administrators
               Access: RWSUED
         W3SVC/AppPools
            NT AUTHORITY\LOCAL SERVICE
               Access:    U
            NT AUTHORITY\NETWORK SERVICE
               Access:    U
           {computername}\IIS_WPG
               Access:    U
            BUILTIN\Administrators
               Access: RWSUED
         W3SVC/INFO
            BUILTIN\Administrators
               Access: RWSUED
         MSFTPSVC 
            BUILTIN\Administrators 
               Access: RWSUED 
         SMTPSVC 
            BUILTIN\Administrators
               Access: RWSUED
            NT AUTHORITY\LOCAL SERVICE
               Access:    UE
            NT AUTHORITY\NETWORK SERVICE
               Access:    UE
         NNTPSVC
            BUILTIN\Administrators
               Access: RWSUED
            NT AUTHORITY\LOCAL SERVICE
               Access:    UE
            NT AUTHORITY\NETWORK SERVICE
               Access:    UE
         Logging
            BUILTIN\Administrators
               Access: RWSUED 
    						
  • Restricted ACLs The following list describes the metabase key properties that are marked as restricted on default installations of IIS 6.0:
    MD_ADMIN_ACL
    MD_VPROP_ADMIN_ACL_RAW_BINARY
    MD_APPPOOL_ORPHAN_ACTION_EXE
    MD_APPPOOL_ORPHAN_ACTION_PARAMS
    MD_APPPOOL_AUTO_SHUTDOWN_EXE
    MD_APPPOOL_AUTO_SHUTDOWN_PARAMS
    MD_APPPOOL_IDENTITY_TYPE
    MD_APP_APPPOOL_ID
    MD_APP_ISOLATED
    MD_VR_PATH
    MD_ACCESS_PERM
    MD_VR_USERNAME
    MD_VR_PASSWORD
    MD_ANONYMOUS_USER_NAME
    MD_ANONYMOUS_PWD
    MD_LOGSQL_USER_NAME
    MD_LOGSQL_PASSWORD
    MD_WAM_USER_NAME
    MD_WAM_PWD
    MD_AD_CONNECTIONS_USERNAME
    MD_AD_CONNECTIONS_PASSWORD
    MD_MAX_BANDWIDTH
    MD_MAX_BANDWIDTH_BLOCKED
    MD_ISM_ACCESS_CHECK
    MD_FILTER_LOAD_ORDER
    MD_FILTER_ENABLED
    MD_FILTER_IMAGE_PATH
    MD_SECURE_BINDINGS
    MD_SERVER_BINDINGS
    MD_ASP_ENABLECLIENTDEBUG
    MD_ASP_ENABLESERVERDEBUG
    MD_ASP_ENABLEPARENTPATHS
    MD_ASP_ERRORSTONTLOG
    MD_ASP_KEEPSESSIONIDSECURE
    MD_ASP_LOGERRORREQUESTS
    MD_ASP_DISKTEMPLATECACHEDIRECTORY
    36948 RouteUserName
    36949 RoutePassword
    36958 SmtpDsPassword
    41191 Pop3DsPassword
    45461 FeedAccountName
    45462 FeedPassword
    49384 ImapDsPassword
    						

Referencias

Para obtener más información acerca de la ACL y de la metabase de IIS, visite los siguientes sitios Web de Microsoft:
AdminACL
http://www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/791d575e-5364-45a9-90ef-4dfd23f38d67.mspx

Introducción a la Metabase de IIS
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/iis/43a51d34-7c81-413b-9727-ec9a19d0b428.mspx

Introducción a objetos de administración IIS
http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/iisbook/c01_iis_administration_objects.mspx

Propiedades

Id. de artículo: 326902 - Última revisión: lunes, 03 de diciembre de 2007 - Versión: 6.6
La información de este artículo se refiere a:
  • Servicios de Microsoft Internet Information Server 6.0
  • Servicios de Microsoft Internet Information Server 5.0
  • Microsoft Windows NT version 4.0 Option Pack
Palabras clave: 
kbmt kbhowtomaster kbinfo KB326902 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 326902

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com