ACL 및 메타베이스 ACL 권한 변경에 MetaACL 사용

기술 자료 번역 기술 자료 번역
기술 자료: 326902 - 이 문서가 적용되는 제품 보기.
중요?이 문서에서는 메타베이스 편집 방법을 설명합니다. 메타베이스를 편집하기 전에 문제가 발생하는 경우 복원할 수 있는 백업 복사본이 있는지 확인하십시오. 이를 수행하는 방법에 대한 자세한 내용은 Microsoft Management Console(MMC)의 "구성 백업/복원" 도움말 항목을 참조하십시오.
모두 확대 | 모두 축소

이 페이지에서

요약

이 문서에서는 ACL(액세스 제어 목록)이 Microsoft Internet Information Server(IIS) 4.0 또는 Microsoft 인터넷 정보 서비스(IIS) 5.0 메타베이스에서 어떻게 작동하는지에 대해 설명합니다. 메타베이스는 특정 파일(Metabase.bin)에 대한 운영 체제 ACL로 보호됩니다. 또한 이 파일은 디렉터리 자체에도 ACL 보호 기능을 갖고 있습니다.

참고 Metabase.bin 파일은 X.500 LDAP(Lightweight Directory Access Protocol) 디렉터리 규격을 완전히 준수하며 상위\하위 관계의 권한으로 제어됩니다. 따라서 ACL은 루트에 도달할 때까지 상위 디렉터리에 반복적으로 적용됩니다.

이 문서에서는 IIS 메타베이스에서 ACL의 역할, ACL을 편집하는 방법, IIS 4.0 및 IIS 5.0의 기본 ACL에 대해서도 설명합니다.

추가 정보

액제스 제어 목록

소개

메타베이스에서 ACL은 Metabase.bin 디렉터리의 특정 키에 대한 특정 사용자 계정의 액세스를 제한합니다. 다음 두 가지 사용 권한이 ACL을 사용하여 부여됩니다.
  • ACCESS_ALLOWED_ACE
  • ACCESS_DENIED_ACE
Microsoft에서 ACCESS_DENIED_ACE를 충분히 테스트하지 않았으므로 ACCESS_ALLOWED_ACE만 사용하는 것이 좋습니다.

모든 ACL 정보가 메타베이스 자체에서 MD_ADMIN_ACL 속성에 저장되기 때문에 Adsutil 및 Mdutil과 같은 일반적인 메타베이스 보기 도구를 사용하여 정보를 볼 수 있습니다.

사용 가능한 권한

메타베이스 ACL을 수정할 때 다음과 같은 권한을 사용할 수 있습니다.
  • MD_ACR_UNSECURE_PROPS_READ: 보안되지 않은 속성에 대한 읽기 전용 권한을 사용자에게 부여합니다.
  • MD_ACR_READ: 보안된 속성이나 보안되지 않은 속성에 대한 읽기 권한을 사용자에게 부여합니다.
  • MD_ACR_ENUM_KEYS: 자식 노드의 모든 이름을 열거할 권한을 사용자에게 부여합니다.
  • MD_ACR_WRITE_DAC: 해당 노드에서 AdminACL 속성을 쓰거나 만들 권한을 사용자에게 부여합니다.
  • MD_ACR_WRITE: 제한된 속성을 제외하고 속성을 수정(추가 또는 설정 포함)할 권한을 사용자에게 부여합니다. 자세한 내용은 플랫폼별 제한된 속성에 대한 절을 참조하십시오.
  • MD_ACR_RESTRICTED_WRITE: 현재 Administrator only로 설정된 속성을 수정할 권한을 사용자에게 부여합니다. 이 권한은 사용자에게 해당 키에 대한 모든 권한을 부여합니다.

ACL 편집

경고?메타베이스를 잘못 편집하면 메타베이스를 사용하는 모든 제품을 다시 설치해야 하는 심각한 문제가 발생할 수도 있습니다. Microsoft는 메타베이스를 잘못 편집함으로써 발생하는 문제에 대해 해결을 보증하지 않습니다. 메타베이스의 편집에 따른 모든 책임은 사용자에게 있습니다.

참고?편집하기 전에 항상 메타베이스를 백업하십시오.

ACL을 편집하려면 Metaacl.vbs라는 유틸리티를 사용해야 합니다. 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
267904 IIS 관리 개체의 메타베이스 권한을 수정하는 Metaacl.exe
이 예제에서는 관리자의 액세스를 거부하도록 w3svc 키를 수정합니다.

경고 프로덕션 시스템에서 이렇게 하면 매우 위험할 수 있으며 IIS가 설계대로 작동하지 못할 수 있습니다. 이 예제에서는 설명 목적으로 편집 작업의 단계를 보여 줍니다.
  1. Metaacl.vbs 파일을 %systemdrive%\Inetpub\Adminscripts 디렉터리에 복사합니다.
  2. 시작, 실행을 차례로 누르고 CMD를 입력한 다음 실행을 눌러 명령 프롬프트를 엽니다.
  3. 프롬프트에서 다음 명령을 실행하여 Adminscripts 디렉터리로 변경합니다.
    c:\cd Inetpub\Adminscripts
    					
  4. IIS://LOCALHOST/W3SVC에 있는 매개 변수를 수정하려면 다음 명령을 실행합니다.
    c:\Inetpub\Adminscripts>cscript metaacl.vbs IIS://LOCALHOST/W3SVC mydomain\mydomainaccount RW
    
    					
    다음과 같은 응답이 수신됩니다.
    ACE for mydomain\mydomainaccount added.
Metaacl.vbs를 사용하여 사용자에 대한 다음 권한을 추가할 수 있습니다.
  • R - 읽기
  • W - 쓰기
  • S - 제한된 쓰기
  • U - 보안되지 않은 속성 읽기
  • E - 키 열거
  • D - DACL 쓰기(사용 권한)

서버 플랫폼별 ACL

IIS 4.0

  • 기본 ACL

    IIS 4.0이 설치될 때 Metabase.bin 디렉터리에 삽입되는 기본 ACL 목록은 다음과 같습니다.
    LM -
       W3SVC
          BUILTIN\Administrators
            Access: RWSUED
          Everyone
            Access:     E
       MSFTPSVC
          BUILTIN\Administrators
            Access: RWSUED
          Everyone
            Access:     E
       SMTPSVC  
          BUILTIN\Administrators
            Access: RWSUED
          Everyone
            Access:     E
       NNTPSVC
          BUILTIN\Administrators
            Access: RWSUED
          Everyone
            Access:     E
    					
  • 제한된 ACL

    IIS 4.0의 기본 설치에서 제한된 것으로 표시된 메타베이스 키 속성의 목록은 다음과 같습니다.
    MD_ADMIN_ACL
    MD_APP_ISOLATED
    MD_VR_PATH
    MD_ACCESS_PERM
    MD_ANONYMOUS_USER_NAME
    MD_ANONYMOUS_PWD
    MD_MAX_BANDWIDTH
    MD_MAX_BANDWIDTH_BLOCKED
    MD_ISM_ACCESS_CHECK
    MD_FILTER_LOAD_ORDER
    MD_FILTER_STATE
    MD_FILTER_ENABLED
    MD_FILTER_DESCRIPTION
    MD_FILTER_FLAGS
    MD_FILTER_IMAGE_PATH
    MD_SECURE_BINDINGS
    MD_SERVER_BINDINGS
    					

IIS 5.0

  • 기본 ACL

    IIS 5.0이 설치될 때 Metabase.bin 디렉터리에 삽입되는 기본 ACL 목록은 다음과 같습니다.
    LM - 
       W3SVC
          BUILTIN\Administrators
            Access: RWSUED
          Everyone
            Access:     E
          {IISMachineName}\VS Developers
            Access: RWSUE 
       MSFTPSVC
          BUILTIN\Administrators
            Access: RWSUED
          Everyone
            Access:     E
       SMTPSVC
          BUILTIN\Administrators
            Access: RWSUED
          Everyone
            Access:     E 
       NNTPSVC
          BUILTIN\Administrators
            Access: RWSUED
          Everyone
            Access:     E 
    					
  • 제한된 ACL

    IIS 5.0의 기본 설치에서 제한된 것으로 표시된 메타베이스 키 속성의 목록은 다음과 같습니다.
    MD_ADMIN_ACL
    MD_APP_ISOLATED
    MD_VR_PATH
    MD_ACCESS_PERM
    MD_ANONYMOUS_USER_NAME
    MD_ANONYMOUS_PWD
    MD_MAX_BANDWIDTH
    MD_MAX_BANDWIDTH_BLOCKED
    MD_ISM_ACCESS_CHECK
    MD_FILTER_LOAD_ORDER
    MD_FILTER_STATE
    MD_FILTER_ENABLED
    MD_FILTER_DESCRIPTION
    MD_FILTER_FLAGS
    MD_FILTER_IMAGE_PATH
    MD_SECURE_BINDINGS
    MD_SERVER_BINDINGS
    					

IIS 6.0

  • 기본 ACL

    IIS 6.0이 설치될 때 Metabase.xml 디렉터리에 삽입되는 기본 ACL 목록은 다음과 같습니다.
    <?xm-insertion_mark_start author="jay" time="20060718T183106-0700"?>LM &#8211; 
         W3SVC 
            NT AUTHORITY\LOCAL SERVICE 
    	  Access: R UE 
    	NT AUTHORITY\NETWORK SERVICE 
    	  Access: R UE 
    	{computername}\IIS_WPG 
               Access: R UE 
            BUILTIN\Administrators 
               Access: RWSUED
            {computername}\ASPNET
               Access: R   E 
         W3SVC/Filters
            NT AUTHORITY\LOCAL SERVICE
               Access: RW UE
            NT AUTHORITY\NETWORK SERVIC
               Access: RW UE
            {computername}\IIS_WPG
               Access: RW UE
            BUILTIN\Administrators
               Access: RWSUED
         W3SVC/1/Filters
            NT AUTHORITY\LOCAL SERVICE
               Access: RW UE
            NT AUTHORITY\NETWORK SERVIC
               Access: RW UE
            {computername}\IIS_WPG
               Access: RW UE
            BUILTIN\Administrators
               Access: RWSUED
         W3SVC/AppPools
            NT AUTHORITY\LOCAL SERVICE
               Access:    U
            NT AUTHORITY\NETWORK SERVICE
               Access:    U
           {computername}\IIS_WPG
               Access:    U
            BUILTIN\Administrators
               Access: RWSUED
         W3SVC/INFO
            BUILTIN\Administrators
               Access: RWSUED
         MSFTPSVC 
            BUILTIN\Administrators 
               Access: RWSUED 
         SMTPSVC 
            BUILTIN\Administrators
               Access: RWSUED
            NT AUTHORITY\LOCAL SERVICE
               Access:    UE
            NT AUTHORITY\NETWORK SERVICE
               Access:    UE
         NNTPSVC
            BUILTIN\Administrators
               Access: RWSUED
            NT AUTHORITY\LOCAL SERVICE
               Access:    UE
            NT AUTHORITY\NETWORK SERVICE
               Access:    UE
         Logging
            BUILTIN\Administrators
               Access: RWSUED 
    <?xm-insertion_mark_end?>
    <?xm-deletion_mark author="jay" time="20060718T183058-0700" data="LM -
       W3SVC     
          NT AUTHORITY\LOCAL SERVICE
             Access: R  UE 
          NT AUTHORITY\NETWORK SERVICE
             Access: R  UE 
          {WebServerMachineName}\IIS_WPG
             Access: R  UE 
          BUILTIN\Administrators
             Access: RWSUED
       MSFTPSVC
          BUILTIN\Administrators
             Access: RWSUED 
       SMTPSVC
    
       NNTPSVC"?>
    						
  • 제한된 ACL

    IIS 6.0의 기본 설치에서 제한된 것으로 표시된 메타베이스 키 속성의 목록은 다음과 같습니다.
    MD_ADMIN_ACL
    MD_VPROP_ADMIN_ACL_RAW_BINARY
    MD_APPPOOL_ORPHAN_ACTION_EXE
    MD_APPPOOL_ORPHAN_ACTION_PARAMS
    MD_APPPOOL_AUTO_SHUTDOWN_EXE
    MD_APPPOOL_AUTO_SHUTDOWN_PARAMS
    MD_APPPOOL_IDENTITY_TYPE
    MD_APP_APPPOOL_ID
    MD_APP_ISOLATED
    MD_VR_PATH
    MD_ACCESS_PERM
    MD_VR_USERNAME
    MD_VR_PASSWORD
    MD_ANONYMOUS_USER_NAME
    MD_ANONYMOUS_PWD
    MD_LOGSQL_USER_NAME
    MD_LOGSQL_PASSWORD
    MD_WAM_USER_NAME
    MD_WAM_PWD
    MD_AD_CONNECTIONS_USERNAME
    MD_AD_CONNECTIONS_PASSWORD
    MD_MAX_BANDWIDTH
    MD_MAX_BANDWIDTH_BLOCKED
    MD_ISM_ACCESS_CHECK
    MD_FILTER_LOAD_ORDER
    MD_FILTER_ENABLED
    MD_FILTER_IMAGE_PATH
    MD_SECURE_BINDINGS
    MD_SERVER_BINDINGS
    MD_ASP_ENABLECLIENTDEBUG
    MD_ASP_ENABLESERVERDEBUG
    MD_ASP_ENABLEPARENTPATHS
    MD_ASP_ERRORSTONTLOG
    MD_ASP_KEEPSESSIONIDSECURE
    MD_ASP_LOGERRORREQUESTS
    MD_ASP_DISKTEMPLATECACHEDIRECTORY
    36948 RouteUserName
    36949 RoutePassword
    36958 SmtpDsPassword
    41191 Pop3DsPassword
    45461 FeedAccountName
    45462 FeedPassword
    49384 ImapDsPassword
    						

참조

ACL과 IIS 메타베이스에 대한 자세한 내용은 다음 Microsoft 웹 사이트를 참조하십시오.
AdminACL
http://www.microsoft.com/windows2000/en/server/iis/default.asp?url=/windows2000/en/server/iis/htm/asp/apro76ek.htm(영문)

IIS 메타베이스 소개(Introduction to the IIS Metabase)
http://www.microsoft.com/windows2000/en/server/iis/default.asp?url=/windows2000/en/server/iis/htm/asp/aint1aud.htm(영문)

IIS 관리 개체 개요(IIS Admin Objects Overview)
http://www.microsoft.com/windows2000/en/server/iis/default.asp?url=/windows2000/en/server/iis/htm/asp/aogu0t6f.htm(영문)




Microsoft 제품 관련 기술 전문가들과 온라인으로 정보를 교환하시려면 Microsoft 뉴스 그룹에 참여하시기 바랍니다.

속성

기술 자료: 326902 - 마지막 검토: 2006년 11월 6일 월요일 - 수정: 6.1
본 문서의 정보는 다음의 제품에 적용됩니다.
  • Microsoft Internet Information Services 6.0
  • Microsoft Internet Information Services 5.0
  • Microsoft Windows NT version 4.0 Option Pack
키워드:?
kbhowtomaster kbinfo KB326902

피드백 보내기

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com