ACL、および MetaACL を使用したメタベースの ACL アクセス許可の変更

文書翻訳 文書翻訳
文書番号: 326902 - 対象製品
重要 : この資料には、メタベースの編集に関する情報が含まれています。メタベースを編集する前に、問題が発生した場合に備えて、復元用のバックアップ コピーを取っておいてください。バックアップ コピーの方法の詳細については、Microsoft 管理コンソール (MMC) のヘルプ トピック「メタベースのバックアップと復元の方法」を参照してください。
すべて展開する | すべて折りたたむ

目次

概要

この資料では、Microsoft Internet Information Server (IIS) 4.0 または Microsoft インターネット インフォメーション サービス (IIS) 5.0 のメタベースにおけるアクセス制御リスト (ACL) の役割について説明します。メタベースは、ファイル自体 (Metabase.bin) に対するオペレーティング システムの ACL によって保護されているほか、ディレクトリ自体も ACL で保護されています。

: Metabase.bin ファイルは、仕様に完全に準拠した X.500 LDAP (Lightweight Directory Access Protocol) ディレクトリであり、親子関係のアクセス許可によって制御されます。したがって、ACL はルートまでの親ディレクトリに再帰的に適用されます。

この資料では、IIS メタベースにおける ACL の役割、ACL の編集方法、および IIS 4.0 と IIS 5.0 のデフォルトの ACL についても説明します。

詳細

アクセス制御リスト

はじめに

メタベースでは、ACL によって、特定のユーザー アカウントからアクセス可能な Metabase.bin ディレクトリ内のキーが制限されます。ACL では以下の 2 種類のアクセス許可が付与されます。
  • ACCESS_ALLOWED_ACE
  • ACCESS_DENIED_ACE
ACCESS_DENIED_ACE のテストは十分に行われていないため、ACCESS_ALLOWED_ACE のみを使用することをお勧めします。

ACL の情報はすべて、メタベース自体の MD_ADMIN_ACL プロパティに格納されているため、Adsutil や Mdutil などの一般的なメタベース表示ツールを使用して確認できます。

使用可能な権限

メタベース ACL を変更する場合、以下の権限を使用できます。
  • MD_ACR_UNSECURE_PROPS_READ : セキュリティ保護されていないプロパティに対する読み取り専用のアクセスをユーザーに許可します。
  • MD_ACR_READ : セキュリティ保護されているプロパティおよびセキュリティ保護されていないプロパティに対する読み取りの権限をユーザーに付与します。
  • MD_ACR_ENUM_KEYS : すべての子ノードの名前を列挙する権限をユーザーに付与します。
  • MD_ACR_WRITE_DAC : 対応するノードで AdminACL プロパティの書き込みまたは作成を行う権限をユーザーに付与します。
  • MD_ACR_WRITE : 制限付きプロパティ以外のプロパティの変更 (追加および設定も含みます) を行う権限をユーザーに付与します。詳細については、プラットフォーム別の制限付きプロパティの項を参照してください。
  • MD_ACR_RESTRICTED_WRITE : 現在 "管理者のみ" に設定されているプロパティの変更を行う権限をユーザーに付与します。これにより、そのキーに対するフルコントロールのアクセス許可がユーザーに付与されます。

ACL の編集

警告 : メタベースを誤って編集すると、深刻な問題が発生することがあります。最悪の場合、メタベースを使用するすべての製品の再インストールが必要になることがあります。マイクロソフトは、メタベースの誤った編集により発生した問題に関しては、一切責任を負わないものとします。メタベースの編集は、自己の責任において行ってください。

: メタベースを編集する前に、メタベースのバックアップを必ず作成してください。

ACL を編集するには、Metaacl.vbs というユーティリティを使用します。 関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
267904 [IIS] SAMPLE: IIS Admin オブジェクト用のメタベース アクセス許可を変更するサンプル Metaacl.exe
この例では、管理者のアクセスを拒否するように w3svc キーを変更します。

警告 : 実際に運用中のシステムでこの操作を行うことは非常に危険であり、これによって IIS が正常に動作しなくなる場合があります。この例は、説明のために、編集の手順を示したものです。
  1. Metaacl.vbs ファイルを %systemdrive%\Inetpub\Adminscripts ディレクトリにコピーします。
  2. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。CMD と入力し、[OK] をクリックして、コマンド プロンプトを開きます。
  3. プロンプトで以下のコマンドを実行して Adminscripts ディレクトリに移動します。
    c:\cd Inetpub\Adminscripts
    					
  4. 以下のコマンドを実行して IIS://LOCALHOST/W3SVC にあるパラメータを変更します。
    c:\Inetpub\Adminscripts>cscript metaacl.vbs IIS://LOCALHOST/W3SVC mydomain\mydomainaccount RW
    					
    以下の応答があります。
    ACE for mydomain\mydomainaccount added.
Metaacl.vbs を使用して以下の権限をユーザーに追加できます。
  • R - 読み取り (Read)
  • W - 書き込み (Write)
  • S - 制限付き書き込み (Restricted Write)
  • U - セキュリティ保護されていないプロパティの読み取り (Unsecure Properties Read)
  • E - キーの列挙 (Enumerate Keys)
  • D - DACL (アクセス許可) の書き込み (Write DACL (permissions))

サーバー プラットフォーム別の ACL

IIS 4.0

  • デフォルトの ACL

    IIS 4.0 のインストール時に Metabase.bin ディレクトリに保存されるデフォルトの ACL を以下に示します。
    LM -
       W3SVC
          BUILTIN\Administrators
            Access: RWSUED
          Everyone
            Access:     E
       MSFTPSVC
          BUILTIN\Administrators
            Access: RWSUED
          Everyone
            Access:     E
       SMTPSVC  
          BUILTIN\Administrators
            Access: RWSUED
          Everyone
            Access:     E
       NNTPSVC
          BUILTIN\Administrators
            Access: RWSUED
          Everyone
            Access:     E
    					
  • 制限付き ACL

    IIS 4.0 のデフォルト インストールで制限付きとマークされるメタベース キー プロパティを以下に示します。
    MD_ADMIN_ACL
    MD_APP_ISOLATED
    MD_VR_PATH
    MD_ACCESS_PERM
    MD_ANONYMOUS_USER_NAME
    MD_ANONYMOUS_PWD
    MD_MAX_BANDWIDTH
    MD_MAX_BANDWIDTH_BLOCKED
    MD_ISM_ACCESS_CHECK
    MD_FILTER_LOAD_ORDER
    MD_FILTER_STATE
    MD_FILTER_ENABLED
    MD_FILTER_DESCRIPTION
    MD_FILTER_FLAGS
    MD_FILTER_IMAGE_PATH
    MD_SECURE_BINDINGS
    MD_SERVER_BINDINGS
    					

IIS 5.0

  • デフォルトの ACL

    IIS 5.0 のインストール時に Metabase.bin ディレクトリに保存されるデフォルトの ACL を以下に示します。
    LM - 
       W3SVC
          BUILTIN\Administrators
            Access: RWSUED
          Everyone
            Access:     E 
          {IISMachineName}\VS Developers
            Access: RWSUE 
       MSFTPSVC
          BUILTIN\Administrators
            Access: RWSUED
          Everyone
            Access:     E
       SMTPSVC
          BUILTIN\Administrators
            Access: RWSUED
          Everyone
            Access:     E 
       NNTPSVC
          BUILTIN\Administrators
            Access: RWSUED
          Everyone
            Access:     E 
    					
  • 制限付き ACL

    IIS 5.0 のデフォルト インストールで制限付きとマークされるメタベース キー プロパティを以下に示します。
    MD_ADMIN_ACL
    MD_APP_ISOLATED
    MD_VR_PATH
    MD_ACCESS_PERM
    MD_ANONYMOUS_USER_NAME
    MD_ANONYMOUS_PWD
    MD_MAX_BANDWIDTH
    MD_MAX_BANDWIDTH_BLOCKED
    MD_ISM_ACCESS_CHECK
    MD_FILTER_LOAD_ORDER
    MD_FILTER_STATE
    MD_FILTER_ENABLED
    MD_FILTER_DESCRIPTION
    MD_FILTER_FLAGS
    MD_FILTER_IMAGE_PATH
    MD_SECURE_BINDINGS
    MD_SERVER_BINDINGS
    					

IIS 6.0

  • デフォルトの ACL

    IIS 6.0 のインストール時に Metabase.bin ディレクトリに保存されるデフォルトの ACL を以下に示します。
    LM -
       W3SVC     
          NT AUTHORITY\LOCAL SERVICE
             Access: R  UE 
          NT AUTHORITY\NETWORK SERVICE
             Access: R  UE 
          {WebServerMachineName}\IIS_WPG
             Access: R  UE 
          BUILTIN\Administrators
             Access: RWSUED
       MSFTPSVC
          BUILTIN\Administrators
             Access: RWSUED 
       SMTPSVC
    
       NNTPSVC
    						
  • 制限付き ACL

    IIS 6.0 のデフォルト インストールで制限付きとマークされるメタベース キー プロパティを以下に示します。
    MD_ADMIN_ACL
    MD_VPROP_ADMIN_ACL_RAW_BINARY
    MD_APPPOOL_ORPHAN_ACTION_EXE
    MD_APPPOOL_ORPHAN_ACTION_PARAMS
    MD_APPPOOL_AUTO_SHUTDOWN_EXE
    MD_APPPOOL_AUTO_SHUTDOWN_PARAMS
    MD_APPPOOL_IDENTITY_TYPE
    MD_APP_APPPOOL_ID
    MD_APP_ISOLATED
    MD_VR_PATH
    MD_ACCESS_PERM
    MD_VR_USERNAME
    MD_VR_PASSWORD
    MD_ANONYMOUS_USER_NAME
    MD_ANONYMOUS_PWD
    MD_LOGSQL_USER_NAME
    MD_LOGSQL_PASSWORD
    MD_WAM_USER_NAME
    MD_WAM_PWD
    MD_AD_CONNECTIONS_USERNAME
    MD_AD_CONNECTIONS_PASSWORD
    MD_MAX_BANDWIDTH
    MD_MAX_BANDWIDTH_BLOCKED
    MD_ISM_ACCESS_CHECK
    MD_FILTER_LOAD_ORDER
    MD_FILTER_ENABLED
    MD_FILTER_IMAGE_PATH
    MD_SECURE_BINDINGS
    MD_SERVER_BINDINGS
    MD_ASP_ENABLECLIENTDEBUG
    MD_ASP_ENABLESERVERDEBUG
    MD_ASP_ENABLEPARENTPATHS
    MD_ASP_ERRORSTONTLOG
    MD_ASP_KEEPSESSIONIDSECURE
    MD_ASP_LOGERRORREQUESTS
    MD_ASP_DISKTEMPLATECACHEDIRECTORY
    36948 RouteUserName
    36949 RoutePassword
    36958 SmtpDsPassword
    41191 Pop3DsPassword
    45461 FeedAccountName
    45462 FeedPassword
    49384 ImapDsPassword
    						

関連情報

ACL と IIS メタベースの詳細については、次のマイクロソフト Web サイトを参照してください。
AdminACL
http://www.microsoft.com/windows2000/ja/server/iis/default.asp?url=/WINDOWS2000/ja/server/iis/htm/asp/apro76ek.htm

IIS メタベースの紹介
http://www.microsoft.com/windows2000/ja/server/iis/default.asp?url=/WINDOWS2000/ja/server/iis/htm/asp/aint1aud.htm

IIS Admin オブジェクトの概要
http://www.microsoft.com/windows2000/ja/server/iis/default.asp?url=/WINDOWS2000/ja/server/iis/htm/asp/aogu0t6f.htm

プロパティ

文書番号: 326902 - 最終更新日: 2006年5月17日 - リビジョン: 6.0
この資料は以下の製品について記述したものです。
  • Microsoft Internet Information Services 6.0
  • Microsoft Internet Information Services 5.0
  • Microsoft Windows NT version 4.0 Option Pack
キーワード:?
kbhowtomaster kbinfo KB326902
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com