Listes de contrôle d'accès et Utilisation MetaACL pour métabase ACL modifications d'autorisations

Traductions disponibles Traductions disponibles
Numéro d'article: 326902 - Voir les produits auxquels s'applique cet article
important Cet article contient des informations sur la modification de la métabase. Avant de modifier la métabase, vérifiez que vous disposez d'une copie de sauvegarde que vous pouvez restaurez si un problème se produit. Pour savoir comment procéder, consultez la rubrique d'aide " Configuration sauvegarde/restauration " dans Microsoft Management Console (MMC).
Agrandir tout | Réduire tout

Sommaire

Résumé

Cet article décrit comment listes de contrôle accès (ACL) fonctionnent dans le Microsoft Internet Information Server (IIS) 4.0 ou de la métabase Microsoft Internet Information Services (IIS) 5.0. La métabase n'est pas uniquement protégé par le système d'exploitation ACL sur le fichier particulier (Metabase.bin), mais le fichier a également protection de la liste de contrôle d'accès dans le répertoire lui-même.

note Le fichier Metabase.bin est un répertoire LDAP (X.500 Lightweight Directory Access Protocol) entièrement conforme et est régi par les autorisations dans une relation Parent\Child. Par conséquent, listes de contrôle d'accès sont appliqué de manière récursive le répertoire jusqu'à ce que la racine est atteinte.

Cet article décrit également le rôle de listes ACL dans la métabase IIS, comment modifier des listes de contrôle d'accès et les ACL par défaut pour les services Internet (IIS) 4.0 et IIS 5.0.

Plus d'informations

Listes de contrôle d'accès

Introduction

Dans la métabase, listes de contrôle d'accès limiter l'accès de certains comptes d'utilisateur à certaines clés dans le répertoire Metabase.bin. Deux types d'autorisations sont accordées avec les listes de contrôle d'accès :
  • ACCESS_ALLOWED_ACE
  • ACCESS_DENIED_ACE
Microsoft ne recommande qu'utilisent ACCESS_ALLOWED_ACE car Microsoft ne Testez pas largement ACCESS_DENIED_ACE .

Car toutes les informations de liste de contrôle d'accès sont stockées dans la métabase elle-même dans la propriété MD_ADMIN_ACL , vous pouvez afficher les informations avec affichage des outils tels que Adsutil et Mdutil de métabase typique.

Les droits disponibles

Lorsque vous modifiez la métabase ACL, les droits suivants sont disponibles :
  • MD_ACR_UNSECURE_PROPS_READ : donne un accès d'en lecture seule utilisateur à une propriété non sécurisée.
  • MD_ACR_READ : des donne un utilisateur droits de lecture à toute propriété sécurisée ou non sécurisée.
  • MD_ACR_ENUM_KEYS : donne à un utilisateur le droit à énumérer tous les noms des n?uds enfants.
  • MD_ACR_WRITE_DAC : donne à un utilisateur le droit d'écrire ou créer une propriété AdminACL sur le n?ud correspondant.
  • MD_ACR_WRITE : donne à un utilisateur le droit à modifier (y compris le complément ou un ensemble) propriétés à l'exception propriétés restreintes. Pour plus d'informations, consultez la section sur les propriétés restreintes par plate-forme.
  • MD_ACR_RESTRICTED_WRITE : donne à un utilisateur le droit à modifier toute propriété est paramétrée pour administrateur uniquement . Cette autorisation donne le contrôle total à cette clé à un utilisateur.

Modification des listes de contrôle d'accès

Avertissement Si vous modifiez la métabase incorrecte, vous pouvez générer des problèmes sérieuses pouvant vous obliger à réinstaller les produits qui utilisent la métabase. Microsoft ne peut pas garantir que des problèmes Si modification incorrecte de la métabase puissent être résolus. Modifier la métabase à vos risques et périls.

note Sauvegardez toujours la métabase avant de le modifier.

Pour modifier les listes de contrôle d'accès, vous utilisez un utilitaire nommé Metaacl.vbs. Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
267904 Modification des autorisations de métabase pour les IIS Admin Objects de Metaacl.exe
Cet exemple modifie la clé w3svc pour refuser l'accès pour les administrateurs.

Avertissement Cette opération sur un système de production peut être très dangereux et provoquer IIS pour ne pas fonctionner comme prévu. Cet exemple montre comment uniquement dans le processus Édition à des fins de démonstration.
  1. Copiez le fichier Metaacl.vbs dans le répertoire %systemdrive%\Inetpub\Adminscripts.
  2. Cliquez sur Démarrer , cliquez sur Exécuter , tapez CMD et puis cliquez sur Exécuter pour ouvrir une invite de commande.
  3. À l'invite de commandes, exécutez la commande suivante pour le répertoire AdminScripts :
    c:\cd Inetpub\Adminscripts
    					
  4. Pour modifier les paramètres situés dans les services Internet (IIS): / / localhost/W3SVC, exécutez la commande suivante :
    c:\Inetpub\Adminscripts>cscript metaacl.vbs IIS://LOCALHOST/W3SVC mydomain\mydomainaccount RW
    
    					
    vous recevez la réponse suivante :
    ACE pour mydomain\mydomainaccount ajouté.
Vous pouvez utiliser Metaacl.vbs pour ajouter les droits suivants pour n'importe quel utilisateur :
  • R Lecture
  • W écriture
  • Écriture restreinte S
  • OU unsecure propriétés en lecture
  • E énumérer les clés
  • D écrire DACL (autorisations)

ACL par la plate-forme de serveur

IIS 4.0

  • Listes de contrôle d'accès par défaut la liste suivante décrit les ACL par défaut qui sont placés dans le répertoire Metabase.bin Lorsque IIS 4.0 est installé :
    LM -
       W3SVC
          BUILTIN\Administrators
            Access: RWSUED
          Everyone
            Access:     E
       MSFTPSVC
          BUILTIN\Administrators
            Access: RWSUED
          Everyone
            Access:     E
       SMTPSVC  
          BUILTIN\Administrators
            Access: RWSUED
          Everyone
            Access:     E
       NNTPSVC
          BUILTIN\Administrators
            Access: RWSUED
          Everyone
            Access:     E
    					
  • ACL restreint la liste suivante décrit les propriétés clés métabase sont marquées comme limité sur les installations par défaut de services Internet (IIS) 4.0 :
    MD_ADMIN_ACL
    MD_APP_ISOLATED
    MD_VR_PATH
    MD_ACCESS_PERM
    MD_ANONYMOUS_USER_NAME
    MD_ANONYMOUS_PWD
    MD_MAX_BANDWIDTH
    MD_MAX_BANDWIDTH_BLOCKED
    MD_ISM_ACCESS_CHECK
    MD_FILTER_LOAD_ORDER
    MD_FILTER_STATE
    MD_FILTER_ENABLED
    MD_FILTER_DESCRIPTION
    MD_FILTER_FLAGS
    MD_FILTER_IMAGE_PATH
    MD_SECURE_BINDINGS
    MD_SERVER_BINDINGS
    					

IIS 5.0

  • Listes de contrôle d'accès par défaut la liste suivante décrit les ACL par défaut qui sont placés dans le répertoire Metabase.bin Lorsque IIS 5.0 est installé :
    LM - 
       W3SVC
          BUILTIN\Administrators
            Access: RWSUED
          Everyone
            Access:     E 
          {IISMachineName}\VS Developers
            Access: RWSUE 
       MSFTPSVC
          BUILTIN\Administrators
            Access: RWSUED
          Everyone
            Access:     E
       SMTPSVC
          BUILTIN\Administrators
            Access: RWSUED
          Everyone
            Access:     E 
       NNTPSVC
          BUILTIN\Administrators
            Access: RWSUED
          Everyone
            Access:     E 
    					
  • ACL restreint la liste suivante décrit les propriétés clés métabase sont marquées comme limité sur les installations par défaut de services Internet (IIS) 5.0 :
    MD_ADMIN_ACL
    MD_APP_ISOLATED
    MD_VR_PATH
    MD_ACCESS_PERM
    MD_ANONYMOUS_USER_NAME
    MD_ANONYMOUS_PWD
    MD_MAX_BANDWIDTH
    MD_MAX_BANDWIDTH_BLOCKED
    MD_ISM_ACCESS_CHECK
    MD_FILTER_LOAD_ORDER
    MD_FILTER_STATE
    MD_FILTER_ENABLED
    MD_FILTER_DESCRIPTION
    MD_FILTER_FLAGS
    MD_FILTER_IMAGE_PATH
    MD_SECURE_BINDINGS
    MD_SERVER_BINDINGS
    					

IIS 6.0

  • Default ACLs The following list describes the default ACLs that are put in the Metabase.xml directory when IIS 6.0 is installed:
    LM ? 
         W3SVC 
            NT AUTHORITY\LOCAL SERVICE 
    	  Access: R UE 
    	NT AUTHORITY\NETWORK SERVICE 
    	  Access: R UE 
    	{computername}\IIS_WPG 
               Access: R UE 
            BUILTIN\Administrators 
               Access: RWSUED
            {computername}\ASPNET
               Access: R   E 
         W3SVC/Filters
            NT AUTHORITY\LOCAL SERVICE
               Access: RW UE
            NT AUTHORITY\NETWORK SERVIC
               Access: RW UE
            {computername}\IIS_WPG
               Access: RW UE
            BUILTIN\Administrators
               Access: RWSUED
         W3SVC/1/Filters
            NT AUTHORITY\LOCAL SERVICE
               Access: RW UE
            NT AUTHORITY\NETWORK SERVIC
               Access: RW UE
            {computername}\IIS_WPG
               Access: RW UE
            BUILTIN\Administrators
               Access: RWSUED
         W3SVC/AppPools
            NT AUTHORITY\LOCAL SERVICE
               Access:    U
            NT AUTHORITY\NETWORK SERVICE
               Access:    U
           {computername}\IIS_WPG
               Access:    U
            BUILTIN\Administrators
               Access: RWSUED
         W3SVC/INFO
            BUILTIN\Administrators
               Access: RWSUED
         MSFTPSVC 
            BUILTIN\Administrators 
               Access: RWSUED 
         SMTPSVC 
            BUILTIN\Administrators
               Access: RWSUED
            NT AUTHORITY\LOCAL SERVICE
               Access:    UE
            NT AUTHORITY\NETWORK SERVICE
               Access:    UE
         NNTPSVC
            BUILTIN\Administrators
               Access: RWSUED
            NT AUTHORITY\LOCAL SERVICE
               Access:    UE
            NT AUTHORITY\NETWORK SERVICE
               Access:    UE
         Logging
            BUILTIN\Administrators
               Access: RWSUED 
    						
  • Restricted ACLs The following list describes the metabase key properties that are marked as restricted on default installations of IIS 6.0:
    MD_ADMIN_ACL
    MD_VPROP_ADMIN_ACL_RAW_BINARY
    MD_APPPOOL_ORPHAN_ACTION_EXE
    MD_APPPOOL_ORPHAN_ACTION_PARAMS
    MD_APPPOOL_AUTO_SHUTDOWN_EXE
    MD_APPPOOL_AUTO_SHUTDOWN_PARAMS
    MD_APPPOOL_IDENTITY_TYPE
    MD_APP_APPPOOL_ID
    MD_APP_ISOLATED
    MD_VR_PATH
    MD_ACCESS_PERM
    MD_VR_USERNAME
    MD_VR_PASSWORD
    MD_ANONYMOUS_USER_NAME
    MD_ANONYMOUS_PWD
    MD_LOGSQL_USER_NAME
    MD_LOGSQL_PASSWORD
    MD_WAM_USER_NAME
    MD_WAM_PWD
    MD_AD_CONNECTIONS_USERNAME
    MD_AD_CONNECTIONS_PASSWORD
    MD_MAX_BANDWIDTH
    MD_MAX_BANDWIDTH_BLOCKED
    MD_ISM_ACCESS_CHECK
    MD_FILTER_LOAD_ORDER
    MD_FILTER_ENABLED
    MD_FILTER_IMAGE_PATH
    MD_SECURE_BINDINGS
    MD_SERVER_BINDINGS
    MD_ASP_ENABLECLIENTDEBUG
    MD_ASP_ENABLESERVERDEBUG
    MD_ASP_ENABLEPARENTPATHS
    MD_ASP_ERRORSTONTLOG
    MD_ASP_KEEPSESSIONIDSECURE
    MD_ASP_LOGERRORREQUESTS
    MD_ASP_DISKTEMPLATECACHEDIRECTORY
    36948 RouteUserName
    36949 RoutePassword
    36958 SmtpDsPassword
    41191 Pop3DsPassword
    45461 FeedAccountName
    45462 FeedPassword
    49384 ImapDsPassword
    						

Références

Pour plus d'informations sur les listes de contrôle d'accès et la métabase IIS, reportez-vous au adresse aux sites Web de Microsoft aux adresses suivantes :
AdminACL
http://www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/791d575e-5364-45a9-90ef-4dfd23f38d67.mspx

Introduction à la métabase IIS
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/iis/43a51d34-7c81-413b-9727-ec9a19d0b428.mspx

Vue d'ensemble IIS Admin Objects
http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/iisbook/c01_iis_administration_objects.mspx

Propriétés

Numéro d'article: 326902 - Dernière mise à jour: lundi 3 décembre 2007 - Version: 6.6
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Internet Information Services 6.0
  • Microsoft Internet Information Services 5.0
  • Microsoft Windows NT version 4.0 Option Pack
Mots-clés : 
kbmt kbhowtomaster kbinfo KB326902 KbMtfr
Traduction automatique
IMPORTANT : Cet article est issu du système de traduction automatique mis au point par Microsoft (http://support.microsoft.com/gp/mtdetails). Un certain nombre d?articles obtenus par traduction automatique sont en effet mis à votre disposition en complément des articles traduits en langue française par des traducteurs professionnels. Cela vous permet d?avoir accès, dans votre propre langue, à l?ensemble des articles de la base de connaissances rédigés originellement en langue anglaise. Les articles traduits automatiquement ne sont pas toujours parfaits et peuvent comporter des erreurs de vocabulaire, de syntaxe ou de grammaire (probablement semblables aux erreurs que ferait une personne étrangère s?exprimant dans votre langue !). Néanmoins, mis à part ces imperfections, ces articles devraient suffire à vous orienter et à vous aider à résoudre votre problème. Microsoft s?efforce aussi continuellement de faire évoluer son système de traduction automatique.
La version anglaise de cet article est la suivante: 326902
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com