ACL e l'utilizzo MetaACL per metabase ACL modifiche alle autorizzazioni

Identificativo articolo: 326902 - Visualizza i prodotti a cui si riferisce l?articolo.
Traduzione automatica articoliAttenzione: Questo è un articolo tradotto in automatico.
importante In questo articolo contiene informazioni di modifica della metabase. Prima di modificare la metabase, verificare di avere a disposizione una copia di backup poter ripristinare se si verifica un problema. Per informazioni su come effettuare questa operazione, vedere "backup o ripristino configurazione" della Guida in Microsoft Management Console (MMC).
Espandi tutto | Chiudi tutto

In questa pagina

Sommario

Viene descritto come elenchi di controllo di accesso (ACL) utilizza la Microsoft Internet Information Server (IIS) 4.0 o metabase Microsoft Internet Information Services (IIS) 5.0. La metabase non è protetto solo dal sistema operativo ACL sul file specifico (metabase.bin), ma il file dispone anche di protezione ACL nella directory stessa.

Nota Il file metabase.bin sia la completamente compatibili con directory di X.500 LDAP (Lightweight Directory Access Protocol) ed è determinato dalle autorizzazioni in una relazione Parent\Child. Pertanto, gli ACL sono applicata in modo ricorsivo la directory fino a raggiunta la radice.

Viene inoltre descritto il ruolo di ACL nella metabase di IIS, come modificare gli ACL e gli ACL predefiniti per IIS 4.0 e IIS 5.0.
Torna all'inizio | Invia suggerimenti

Informazioni

Elenchi di controllo di accesso

Introduzione

Nella metabase, ACL limitare l'accesso di determinati account utente a determinate chiavi nella directory metabase.bin. Due tipi di autorizzazioni vengono concesse con elenchi di controllo di accesso:
  • ACCESS_ALLOWED_ACE
  • ACCESS_DENIED_ACE
Microsoft consiglia di utilizzare ACCESS_ALLOWED_ACE solo perché Microsoft non esegue test ACCESS_DENIED_ACE ampiamente.

Poiché tutte le informazioni ACL viene memorizzate nella metabase stesso nella proprietà MD_ADMIN_ACL , è possibile visualizzare le informazioni con metabase tipica visualizzazione di strumenti quali Adsutil e Mdutil.

Diritti disponibili

Quando si modificano gli ACL della metabase, sono disponibili i seguenti diritti:
  • MD_ACR_UNSECURE_PROPS_READ : fornisce l'accesso in sola lettura un utente a qualsiasi proprietà non protetto.
  • MD_ACR_READ : fornisce un utente leggere i diritti per qualsiasi proprietà protetta o non protette.
  • MD_ACR_ENUM_KEYS : fornisce un utente il diritto di enumerare tutti i nomi dei nodi figlio.
  • MD_ACR_WRITE_DAC : fornisce un utente il diritto di scrivere o creare una proprietà AdminACL in corrispondenza del nodo corrispondente.
  • MD_ACR_WRITE : fornisce un utente il diritto di modificare (incluso il componente o set) proprietà ad eccezione della proprietà con restrizioni. Per ulteriori informazioni, vedere la sezione sulle proprietà limitate dalla piattaforma.
  • MD_ACR_RESTRICTED_WRITE : fornisce un utente il diritto di modificare qualsiasi proprietà attualmente impostato solo l'amministratore . Questa autorizzazione consente il controllo completo per tale chiave a un utente.

Modifica di ACL

avviso Se si modifica la metabase in modo non corretto, si possono provocare problemi gravi che potrebbero richiedere la reinstallazione dei prodotti che utilizza la metabase. Microsoft non garantisce che i problemi derivanti se si modifica in modo non corretto della metabase possano essere risolti. La modifica della metabase a proprio rischio.

Nota Eseguire sempre il backup della metabase prima di modificarlo.

Per modificare gli ACL, è possibile utilizzare un'utilità denominata Metaacl.vbs. Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito riportato:
267904
(http://support.microsoft.com/kb/267904/ )
Metaacl.exe Modifica autorizzazioni di metabase per il IIS Admin Objects
Questo esempio modifica la chiave w3svc per negare l'accesso per gli amministratori.

avviso Questa operazione in un sistema di produzione possibile estremamente pericoloso e causare di IIS per non funzionare come previsto. In questo esempio viene solo esaminato il processo di modifica a scopo dimostrativo.
  1. Copiare il file Metaacl.vbs nella directory %systemdrive%\Inetpub\Adminscripts.
  2. Fare clic su Start , fare clic su Esegui , digitare CMD e quindi scegliere Esegui per aprire un prompt dei comandi.
  3. Al prompt dei comandi, eseguire il seguente comando per modificare la directory Adminscripts: 
    c:\cd Inetpub\Adminscripts
  4. Per modificare i parametri che si trova in IIS: / / LOCALHOST/W3SVC, eseguire il comando riportato di seguito: 
    c:\Inetpub\Adminscripts>cscript metaacl.vbs IIS://LOCALHOST/W3SVC mydomain\mydomainaccount RW
    verrà visualizzata la seguente risposta:
    Voce ACE per mydomain\mydomainaccount aggiunto.
È possibile utilizzare Metaacl.vbs per aggiungere i seguenti diritti per qualsiasi utente:
  • R lettura
  • Scrittura di W
  • Scrittura con restrizioni S
  • Lettura proprietà U non protetta
  • E enumerare chiavi
  • D scrivere DACL (autorizzazioni)

ACL dalla piattaforma server

IIS 4.0

  • ACL predefiniti di seguito sono elencati gli ACL predefiniti inclusi nella directory metabase.bin quando è installato IIS 4.0: 
    LM -
   W3SVC
      BUILTIN\Administrators
        Access: RWSUED
      Everyone
        Access:     E
   MSFTPSVC
      BUILTIN\Administrators
        Access: RWSUED
      Everyone
        Access:     E
   SMTPSVC  
      BUILTIN\Administrators
        Access: RWSUED
      Everyone
        Access:     E
   NNTPSVC
      BUILTIN\Administrators
        Access: RWSUED
      Everyone
        Access:     E
  • ACL con restrizioni di seguito sono elencati le proprietà chiave della metabase che sono contrassegnate come limitato nelle installazioni predefinite di IIS 4.0: 
    MD_ADMIN_ACL
MD_APP_ISOLATED
MD_VR_PATH
MD_ACCESS_PERM
MD_ANONYMOUS_USER_NAME
MD_ANONYMOUS_PWD
MD_MAX_BANDWIDTH
MD_MAX_BANDWIDTH_BLOCKED
MD_ISM_ACCESS_CHECK
MD_FILTER_LOAD_ORDER
MD_FILTER_STATE
MD_FILTER_ENABLED
MD_FILTER_DESCRIPTION
MD_FILTER_FLAGS
MD_FILTER_IMAGE_PATH
MD_SECURE_BINDINGS
MD_SERVER_BINDINGS

IIS 5.0 (informazioni in lingua inglese)

  • ACL predefiniti di seguito sono elencati gli ACL predefiniti inclusi nella directory metabase.bin quando è installato IIS 5.0: 
    LM - 
   W3SVC
      BUILTIN\Administrators
        Access: RWSUED
      Everyone
        Access:     E 
      {IISMachineName}\VS Developers
        Access: RWSUE 
   MSFTPSVC
      BUILTIN\Administrators
        Access: RWSUED
      Everyone
        Access:     E
   SMTPSVC
      BUILTIN\Administrators
        Access: RWSUED
      Everyone
        Access:     E 
   NNTPSVC
      BUILTIN\Administrators
        Access: RWSUED
      Everyone
        Access:     E
  • ACL con restrizioni di seguito sono elencati le proprietà chiave della metabase che sono contrassegnate come limitato nelle installazioni predefinite di IIS 5.0: 
    MD_ADMIN_ACL
MD_APP_ISOLATED
MD_VR_PATH
MD_ACCESS_PERM
MD_ANONYMOUS_USER_NAME
MD_ANONYMOUS_PWD
MD_MAX_BANDWIDTH
MD_MAX_BANDWIDTH_BLOCKED
MD_ISM_ACCESS_CHECK
MD_FILTER_LOAD_ORDER
MD_FILTER_STATE
MD_FILTER_ENABLED
MD_FILTER_DESCRIPTION
MD_FILTER_FLAGS
MD_FILTER_IMAGE_PATH
MD_SECURE_BINDINGS
MD_SERVER_BINDINGS

IIS 6.0

  • Default ACLs The following list describes the default ACLs that are put in the Metabase.xml directory when IIS 6.0 is installed: 
    LM ? 
     W3SVC 
        NT AUTHORITY\LOCAL SERVICE 
	  Access: R UE 
	NT AUTHORITY\NETWORK SERVICE 
	  Access: R UE 
	{computername}\IIS_WPG 
           Access: R UE 
        BUILTIN\Administrators 
           Access: RWSUED
        {computername}\ASPNET
           Access: R   E 
     W3SVC/Filters
        NT AUTHORITY\LOCAL SERVICE
           Access: RW UE
        NT AUTHORITY\NETWORK SERVIC
           Access: RW UE
        {computername}\IIS_WPG
           Access: RW UE
        BUILTIN\Administrators
           Access: RWSUED
     W3SVC/1/Filters
        NT AUTHORITY\LOCAL SERVICE
           Access: RW UE
        NT AUTHORITY\NETWORK SERVIC
           Access: RW UE
        {computername}\IIS_WPG
           Access: RW UE
        BUILTIN\Administrators
           Access: RWSUED
     W3SVC/AppPools
        NT AUTHORITY\LOCAL SERVICE
           Access:    U
        NT AUTHORITY\NETWORK SERVICE
           Access:    U
       {computername}\IIS_WPG
           Access:    U
        BUILTIN\Administrators
           Access: RWSUED
     W3SVC/INFO
        BUILTIN\Administrators
           Access: RWSUED
     MSFTPSVC 
        BUILTIN\Administrators 
           Access: RWSUED 
     SMTPSVC 
        BUILTIN\Administrators
           Access: RWSUED
        NT AUTHORITY\LOCAL SERVICE
           Access:    UE
        NT AUTHORITY\NETWORK SERVICE
           Access:    UE
     NNTPSVC
        BUILTIN\Administrators
           Access: RWSUED
        NT AUTHORITY\LOCAL SERVICE
           Access:    UE
        NT AUTHORITY\NETWORK SERVICE
           Access:    UE
     Logging
        BUILTIN\Administrators
           Access: RWSUED
  • Restricted ACLs The following list describes the metabase key properties that are marked as restricted on default installations of IIS 6.0: 
    MD_ADMIN_ACL
MD_VPROP_ADMIN_ACL_RAW_BINARY
MD_APPPOOL_ORPHAN_ACTION_EXE
MD_APPPOOL_ORPHAN_ACTION_PARAMS
MD_APPPOOL_AUTO_SHUTDOWN_EXE
MD_APPPOOL_AUTO_SHUTDOWN_PARAMS
MD_APPPOOL_IDENTITY_TYPE
MD_APP_APPPOOL_ID
MD_APP_ISOLATED
MD_VR_PATH
MD_ACCESS_PERM
MD_VR_USERNAME
MD_VR_PASSWORD
MD_ANONYMOUS_USER_NAME
MD_ANONYMOUS_PWD
MD_LOGSQL_USER_NAME
MD_LOGSQL_PASSWORD
MD_WAM_USER_NAME
MD_WAM_PWD
MD_AD_CONNECTIONS_USERNAME
MD_AD_CONNECTIONS_PASSWORD
MD_MAX_BANDWIDTH
MD_MAX_BANDWIDTH_BLOCKED
MD_ISM_ACCESS_CHECK
MD_FILTER_LOAD_ORDER
MD_FILTER_ENABLED
MD_FILTER_IMAGE_PATH
MD_SECURE_BINDINGS
MD_SERVER_BINDINGS
MD_ASP_ENABLECLIENTDEBUG
MD_ASP_ENABLESERVERDEBUG
MD_ASP_ENABLEPARENTPATHS
MD_ASP_ERRORSTONTLOG
MD_ASP_KEEPSESSIONIDSECURE
MD_ASP_LOGERRORREQUESTS
MD_ASP_DISKTEMPLATECACHEDIRECTORY
36948 RouteUserName
36949 RoutePassword
36958 SmtpDsPassword
41191 Pop3DsPassword
45461 FeedAccountName
45462 FeedPassword
49384 ImapDsPassword
Torna all'inizio | Invia suggerimenti

Riferimenti

Per ulteriori informazioni su ACL e la metabase di IIS, visitare i seguenti siti Web Microsoft:
AdminACL
http://www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/791d575e-5364-45a9-90ef-4dfd23f38d67.mspx
(http://www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/791d575e-5364-45a9-90ef-4dfd23f38d67.mspx)


Introduzione alla Metabase di IIS
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/iis/43a51d34-7c81-413b-9727-ec9a19d0b428.mspx
(http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/iis/43a51d34-7c81-413b-9727-ec9a19d0b428.mspx)


Panoramica oggetti Admin IIS
http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/iisbook/c01_iis_administration_objects.mspx
(http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/iisbook/c01_iis_administration_objects.mspx)
Torna all'inizio | Invia suggerimenti

Proprietà

Identificativo articolo: 326902 - Ultima modifica: lunedì 3 dicembre 2007 - Revisione: 6.6
Le informazioni in questo articolo si applicano a:
  • Microsoft Internet Information Services 6.0
  • Microsoft Internet Information Services 5.0
  • Microsoft Windows NT version 4.0 Option Pack
Chiavi: 
kbmt kbhowtomaster kbinfo KB326902 KbMtit
Traduzione automatica articoli
Il presente articolo è stato tradotto tramite il software di traduzione automatica di Microsoft e non da una persona. Microsoft offre sia articoli tradotti da persone fisiche sia articoli tradotti automaticamente da un software, in modo da rendere disponibili tutti gli articoli presenti nella nostra Knowledge Base nella lingua madre dell?utente. Tuttavia, un articolo tradotto in modo automatico non è sempre perfetto. Potrebbe contenere errori di sintassi, di grammatica o di utilizzo dei vocaboli, più o meno allo stesso modo di come una persona straniera potrebbe commettere degli errori parlando una lingua che non è la sua. Microsoft non è responsabile di alcuna imprecisione, errore o danno cagionato da qualsiasi traduzione non corretta dei contenuti o dell?utilizzo degli stessi fatto dai propri clienti. Microsoft, inoltre, aggiorna frequentemente il software di traduzione automatica.
Clicca qui per visualizzare la versione originale in inglese dell?articolo: 326902
(http://support.microsoft.com/kb/326902/en-us/ )
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.
Torna all'inizio | Invia suggerimenti

Invia suggerimenti

 
Torna all'inizioTorna all'inizio