ACL、および MetaACL を使用したメタベースの ACL アクセス許可の変更

文書番号: 326902 - 対象製品
重要 : この資料には、メタベースの編集に関する情報が含まれています。メタベースを編集する前に、問題が発生した場合に備えて、復元用のバックアップ コピーを取っておいてください。バックアップ コピーの方法の詳細については、Microsoft 管理コンソール (MMC) のヘルプ トピック「メタベースのバックアップと復元の方法」を参照してください。
すべて展開する | すべて折りたたむ

目次

概要

この資料では、Microsoft Internet Information Server (IIS) 4.0 または Microsoft インターネット インフォメーション サービス (IIS) 5.0 のメタベースにおけるアクセス制御リスト (ACL) の役割について説明します。メタベースは、ファイル自体 (Metabase.bin) に対するオペレーティング システムの ACL によって保護されているほか、ディレクトリ自体も ACL で保護されています。

: Metabase.bin ファイルは、仕様に完全に準拠した X.500 LDAP (Lightweight Directory Access Protocol) ディレクトリであり、親子関係のアクセス許可によって制御されます。したがって、ACL はルートまでの親ディレクトリに再帰的に適用されます。

この資料では、IIS メタベースにおける ACL の役割、ACL の編集方法、および IIS 4.0 と IIS 5.0 のデフォルトの ACL についても説明します。
先頭へ戻る | フィードバック

詳細

アクセス制御リスト

はじめに

メタベースでは、ACL によって、特定のユーザー アカウントからアクセス可能な Metabase.bin ディレクトリ内のキーが制限されます。ACL では以下の 2 種類のアクセス許可が付与されます。
  • ACCESS_ALLOWED_ACE
  • ACCESS_DENIED_ACE
ACCESS_DENIED_ACE のテストは十分に行われていないため、ACCESS_ALLOWED_ACE のみを使用することをお勧めします。

ACL の情報はすべて、メタベース自体の MD_ADMIN_ACL プロパティに格納されているため、Adsutil や Mdutil などの一般的なメタベース表示ツールを使用して確認できます。

使用可能な権限

メタベース ACL を変更する場合、以下の権限を使用できます。
  • MD_ACR_UNSECURE_PROPS_READ : セキュリティ保護されていないプロパティに対する読み取り専用のアクセスをユーザーに許可します。
  • MD_ACR_READ : セキュリティ保護されているプロパティおよびセキュリティ保護されていないプロパティに対する読み取りの権限をユーザーに付与します。
  • MD_ACR_ENUM_KEYS : すべての子ノードの名前を列挙する権限をユーザーに付与します。
  • MD_ACR_WRITE_DAC : 対応するノードで AdminACL プロパティの書き込みまたは作成を行う権限をユーザーに付与します。
  • MD_ACR_WRITE : 制限付きプロパティ以外のプロパティの変更 (追加および設定も含みます) を行う権限をユーザーに付与します。詳細については、プラットフォーム別の制限付きプロパティの項を参照してください。
  • MD_ACR_RESTRICTED_WRITE : 現在 "管理者のみ" に設定されているプロパティの変更を行う権限をユーザーに付与します。これにより、そのキーに対するフルコントロールのアクセス許可がユーザーに付与されます。

ACL の編集

警告 : メタベースを誤って編集すると、深刻な問題が発生することがあります。最悪の場合、メタベースを使用するすべての製品の再インストールが必要になることがあります。マイクロソフトは、メタベースの誤った編集により発生した問題に関しては、一切責任を負わないものとします。メタベースの編集は、自己の責任において行ってください。

: メタベースを編集する前に、メタベースのバックアップを必ず作成してください。

ACL を編集するには、Metaacl.vbs というユーティリティを使用します。 関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
267904
(http://support.microsoft.com/kb/267904/ )
[IIS] SAMPLE: IIS Admin オブジェクト用のメタベース アクセス許可を変更するサンプル Metaacl.exe
この例では、管理者のアクセスを拒否するように w3svc キーを変更します。

警告 : 実際に運用中のシステムでこの操作を行うことは非常に危険であり、これによって IIS が正常に動作しなくなる場合があります。この例は、説明のために、編集の手順を示したものです。
  1. Metaacl.vbs ファイルを %systemdrive%\Inetpub\Adminscripts ディレクトリにコピーします。
  2. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。CMD と入力し、[OK] をクリックして、コマンド プロンプトを開きます。
  3. プロンプトで以下のコマンドを実行して Adminscripts ディレクトリに移動します。 
    c:\cd Inetpub\Adminscripts
  4. 以下のコマンドを実行して IIS://LOCALHOST/W3SVC にあるパラメータを変更します。
    c:\Inetpub\Adminscripts>cscript metaacl.vbs IIS://LOCALHOST/W3SVC mydomain\mydomainaccount RW
    以下の応答があります。
    ACE for mydomain\mydomainaccount added.
Metaacl.vbs を使用して以下の権限をユーザーに追加できます。
  • R - 読み取り (Read)
  • W - 書き込み (Write)
  • S - 制限付き書き込み (Restricted Write)
  • U - セキュリティ保護されていないプロパティの読み取り (Unsecure Properties Read)
  • E - キーの列挙 (Enumerate Keys)
  • D - DACL (アクセス許可) の書き込み (Write DACL (permissions))

サーバー プラットフォーム別の ACL

IIS 4.0

  • デフォルトの ACL

    IIS 4.0 のインストール時に Metabase.bin ディレクトリに保存されるデフォルトの ACL を以下に示します。 
    LM -
   W3SVC
      BUILTIN\Administrators
        Access: RWSUED
      Everyone
        Access:     E
   MSFTPSVC
      BUILTIN\Administrators
        Access: RWSUED
      Everyone
        Access:     E
   SMTPSVC  
      BUILTIN\Administrators
        Access: RWSUED
      Everyone
        Access:     E
   NNTPSVC
      BUILTIN\Administrators
        Access: RWSUED
      Everyone
        Access:     E
  • 制限付き ACL

    IIS 4.0 のデフォルト インストールで制限付きとマークされるメタベース キー プロパティを以下に示します。 
    MD_ADMIN_ACL
MD_APP_ISOLATED
MD_VR_PATH
MD_ACCESS_PERM
MD_ANONYMOUS_USER_NAME
MD_ANONYMOUS_PWD
MD_MAX_BANDWIDTH
MD_MAX_BANDWIDTH_BLOCKED
MD_ISM_ACCESS_CHECK
MD_FILTER_LOAD_ORDER
MD_FILTER_STATE
MD_FILTER_ENABLED
MD_FILTER_DESCRIPTION
MD_FILTER_FLAGS
MD_FILTER_IMAGE_PATH
MD_SECURE_BINDINGS
MD_SERVER_BINDINGS

IIS 5.0

  • デフォルトの ACL

    IIS 5.0 のインストール時に Metabase.bin ディレクトリに保存されるデフォルトの ACL を以下に示します。 
    LM - 
   W3SVC
      BUILTIN\Administrators
        Access: RWSUED
      Everyone
        Access:     E 
      {IISMachineName}\VS Developers
        Access: RWSUE 
   MSFTPSVC
      BUILTIN\Administrators
        Access: RWSUED
      Everyone
        Access:     E
   SMTPSVC
      BUILTIN\Administrators
        Access: RWSUED
      Everyone
        Access:     E 
   NNTPSVC
      BUILTIN\Administrators
        Access: RWSUED
      Everyone
        Access:     E
  • 制限付き ACL

    IIS 5.0 のデフォルト インストールで制限付きとマークされるメタベース キー プロパティを以下に示します。 
    MD_ADMIN_ACL
MD_APP_ISOLATED
MD_VR_PATH
MD_ACCESS_PERM
MD_ANONYMOUS_USER_NAME
MD_ANONYMOUS_PWD
MD_MAX_BANDWIDTH
MD_MAX_BANDWIDTH_BLOCKED
MD_ISM_ACCESS_CHECK
MD_FILTER_LOAD_ORDER
MD_FILTER_STATE
MD_FILTER_ENABLED
MD_FILTER_DESCRIPTION
MD_FILTER_FLAGS
MD_FILTER_IMAGE_PATH
MD_SECURE_BINDINGS
MD_SERVER_BINDINGS

IIS 6.0

  • デフォルトの ACL

    IIS 6.0 のインストール時に Metabase.bin ディレクトリに保存されるデフォルトの ACL を以下に示します。 
    LM -
   W3SVC     
      NT AUTHORITY\LOCAL SERVICE
         Access: R  UE 
      NT AUTHORITY\NETWORK SERVICE
         Access: R  UE 
      {WebServerMachineName}\IIS_WPG
         Access: R  UE 
      BUILTIN\Administrators
         Access: RWSUED
   MSFTPSVC
      BUILTIN\Administrators
         Access: RWSUED 
   SMTPSVC

   NNTPSVC
  • 制限付き ACL

    IIS 6.0 のデフォルト インストールで制限付きとマークされるメタベース キー プロパティを以下に示します。 
    MD_ADMIN_ACL
MD_VPROP_ADMIN_ACL_RAW_BINARY
MD_APPPOOL_ORPHAN_ACTION_EXE
MD_APPPOOL_ORPHAN_ACTION_PARAMS
MD_APPPOOL_AUTO_SHUTDOWN_EXE
MD_APPPOOL_AUTO_SHUTDOWN_PARAMS
MD_APPPOOL_IDENTITY_TYPE
MD_APP_APPPOOL_ID
MD_APP_ISOLATED
MD_VR_PATH
MD_ACCESS_PERM
MD_VR_USERNAME
MD_VR_PASSWORD
MD_ANONYMOUS_USER_NAME
MD_ANONYMOUS_PWD
MD_LOGSQL_USER_NAME
MD_LOGSQL_PASSWORD
MD_WAM_USER_NAME
MD_WAM_PWD
MD_AD_CONNECTIONS_USERNAME
MD_AD_CONNECTIONS_PASSWORD
MD_MAX_BANDWIDTH
MD_MAX_BANDWIDTH_BLOCKED
MD_ISM_ACCESS_CHECK
MD_FILTER_LOAD_ORDER
MD_FILTER_ENABLED
MD_FILTER_IMAGE_PATH
MD_SECURE_BINDINGS
MD_SERVER_BINDINGS
MD_ASP_ENABLECLIENTDEBUG
MD_ASP_ENABLESERVERDEBUG
MD_ASP_ENABLEPARENTPATHS
MD_ASP_ERRORSTONTLOG
MD_ASP_KEEPSESSIONIDSECURE
MD_ASP_LOGERRORREQUESTS
MD_ASP_DISKTEMPLATECACHEDIRECTORY
36948 RouteUserName
36949 RoutePassword
36958 SmtpDsPassword
41191 Pop3DsPassword
45461 FeedAccountName
45462 FeedPassword
49384 ImapDsPassword
先頭へ戻る | フィードバック

関連情報

ACL と IIS メタベースの詳細については、次のマイクロソフト Web サイトを参照してください。
AdminACL
http://www.microsoft.com/windows2000/ja/server/iis/default.asp?url=/WINDOWS2000/ja/server/iis/htm/asp/apro76ek.htm
(http://www.microsoft.com/windows2000/ja/server/iis/default.asp?url=/WINDOWS2000/ja/server/iis/htm/asp/apro76ek.htm)


IIS メタベースの紹介
http://www.microsoft.com/windows2000/ja/server/iis/default.asp?url=/WINDOWS2000/ja/server/iis/htm/asp/aint1aud.htm
(http://www.microsoft.com/windows2000/ja/server/iis/default.asp?url=/WINDOWS2000/ja/server/iis/htm/asp/aint1aud.htm)


IIS Admin オブジェクトの概要
http://www.microsoft.com/windows2000/ja/server/iis/default.asp?url=/WINDOWS2000/ja/server/iis/htm/asp/aogu0t6f.htm
(http://www.microsoft.com/windows2000/ja/server/iis/default.asp?url=/WINDOWS2000/ja/server/iis/htm/asp/aogu0t6f.htm)
先頭へ戻る | フィードバック

プロパティ

文書番号: 326902 - 最終更新日: 2006年5月17日 - リビジョン: 6.0
この資料は以下の製品について記述したものです。
  • Microsoft Internet Information Services 6.0
  • Microsoft Internet Information Services 5.0
  • Microsoft Windows NT version 4.0 Option Pack
キーワード:?
kbhowtomaster kbinfo KB326902
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"
先頭へ戻る | フィードバック

フィードバック

 
先頭へ戻る先頭へ戻る