ACL, Access Control List e utilizar MetaACL para metabase ACL, Access Control List as alterações à permissão

Traduções de Artigos Traduções de Artigos
Artigo: 326902 - Ver produtos para os quais este artigo se aplica.
importante Este artigo contém informações sobre como editar a metabase. Antes de editar a metabase, verifique se tem uma cópia de segurança que pode restaurar se ocorrer um problema. Para obter informações sobre como efectuar este procedimento, consulte o tópico de ajuda "configuração de cópia de segurança/restauro" na consola de gestão da Microsoft.
Expandir tudo | Reduzir tudo

Nesta página

Sumário

Este artigo descreve como listas de controlo de acesso (ACL, Access Control List) funcionam no Microsoft Internet Information Server (IIS) 4.0 ou o metabase Microsoft Internet Information Services (IIS) 5.0. A metabase não está protegido apenas pelo sistema operativo ACL no ficheiro específico (metabase.bin), mas o ficheiro também tem protecção ACL no próprio directório.

Nota O ficheiro metabase.bin é um directório X.500 LIGHTWEIGHT Directory Access Protocol () em conformidade total e é regulado pelas permissões numa relação Parent\Child. Deste modo, ACL, Access Control List está aplicada recursivamente até o directório até que a raiz é atingida.

Este artigo também descreve a função de ACL na metabase do IIS, como editar ACL e as ACL predefinidas para o IIS 4.0 e IIS 5.0.

Mais Informação

Listas de controlo de acesso

Introdução

Na metabase, ACL, Access Control List limita o acesso de determinadas contas de utilizador a certas chaves no directório metabase.bin. Dois tipos de permissões são concedidos com ACL, Access Control List:
  • ACCESS_ALLOWED_ACE
  • ACCESS_DENIED_ACE
A Microsoft recomenda que utilize apenas ACCESS_ALLOWED_ACE porque a Microsoft não testa exaustivamente ACCESS_DENIED_ACE .

Uma vez que todas as ACL, Access Control List informações são armazenadas na metabase próprio na propriedade MD_ADMIN_ACL , pode visualizar as informações com típica da metabase Ver ferramentas como Adsutil e Mdutil.

Direitos disponíveis

Quando modificar ACLs de metabase, estão disponíveis os seguintes direitos:
  • MD_ACR_UNSECURE_PROPS_READ : Implementos um acesso de utilizador só de leitura para quaisquer propriedades não seguras.
  • MD_ACR_READ : indica direitos para qualquer propriedade seguro ou não segura de leitura de um utilizador.
  • MD_ACR_ENUM_KEYS : Implementos um utilizador o direito de enumerar todos os nomes de quaisquer nós subordinados.
  • MD_ACR_WRITE_DAC : Implementos um utilizador o direito de gravar ou criar uma propriedade AdminACL no nó correspondente.
  • MD_ACR_WRITE : Implementos um utilizador o direito de modificar (incluindo adicionar ou conjunto) propriedades excepto propriedades restritas. Para mais informações, consulte a secção sobre propriedades restritas pela plataforma.
  • MD_ACR_RESTRICTED_WRITE : Implementos um utilizador o direito de modificar qualquer propriedade que está actualmente definida para apenas o administrador . Esta permissão concede controlo total a essa chave a um utilizador.

Editar ACL, Access Control List

aviso Se editar a metabase incorrectamente, poderá provocar problemas graves que poderão forçar a reinstalação qualquer produto que utiliza a metabase. Microsoft não garante que problemas resultantes da incorrecta editar a metabase podem ser resolvidos. Edite a metabase por sua conta e risco.

Nota Sempre uma cópia da metabase antes de o editar de segurança.

Para editar as ACL, utilize um utilitário denominado Metaacl.vbs. Para obter mais informações, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
267904Metaacl.exe modificar permissões da metabase para os objetos Admin do IIS
Este exemplo modifica a chave de w3svc para negar acesso para os administradores.

aviso Este procedimento num sistema de produção pode ser extremamente perigoso e fazer com que o IIS a funcionar como planeado. Neste exemplo apenas percorre o processo de edição para fins de demonstração.
  1. Copie o ficheiro Metaacl.vbs para o directório %systemdrive%\Inetpub\Adminscripts.
  2. Clique em Iniciar , clique em Executar , escreva CMD e, em seguida, clique em Executar para abrir uma linha de comandos.
  3. Na linha de comandos, execute o seguinte comando para mudar para o directório Adminscripts:
    c:\cd Inetpub\Adminscripts
    					
  4. Para modificar os parâmetros localizados no IIS: / / LOCALHOST/W3SVC, execute o seguinte comando:
    c:\Inetpub\Adminscripts>cscript metaacl.vbs IIS://LOCALHOST/W3SVC mydomain\mydomainaccount RW
    
    					
    receberá a seguinte resposta:
    ACE para mydomain\mydomainaccount adicionado.
Pode utilizar Metaacl.vbs para adicionar os seguintes direitos para qualquer utilizador:
  • R leitura
  • W escrita
  • Escrever S restrito
  • Ler propriedades U não seguro
  • E enumerar chaves
  • D escrever DACL (permissões)

ACL pela plataforma de servidor

IIS 4.0

  • As ACL predefinidas a lista seguinte descreve as ACL predefinidas que são colocadas no directório metabase.bin quando o IIS 4.0 está instalado:
    LM -
       W3SVC
          BUILTIN\Administrators
            Access: RWSUED
          Everyone
            Access:     E
       MSFTPSVC
          BUILTIN\Administrators
            Access: RWSUED
          Everyone
            Access:     E
       SMTPSVC  
          BUILTIN\Administrators
            Access: RWSUED
          Everyone
            Access:     E
       NNTPSVC
          BUILTIN\Administrators
            Access: RWSUED
          Everyone
            Access:     E
    					
  • ACL restritas a lista seguinte descreve as propriedades de chave da metabase são marcadas como restrito em instalações predefinido do IIS 4.0:
    MD_ADMIN_ACL
    MD_APP_ISOLATED
    MD_VR_PATH
    MD_ACCESS_PERM
    MD_ANONYMOUS_USER_NAME
    MD_ANONYMOUS_PWD
    MD_MAX_BANDWIDTH
    MD_MAX_BANDWIDTH_BLOCKED
    MD_ISM_ACCESS_CHECK
    MD_FILTER_LOAD_ORDER
    MD_FILTER_STATE
    MD_FILTER_ENABLED
    MD_FILTER_DESCRIPTION
    MD_FILTER_FLAGS
    MD_FILTER_IMAGE_PATH
    MD_SECURE_BINDINGS
    MD_SERVER_BINDINGS
    					

IIS 5.0

  • ACLs predefinidas a lista seguinte descreve as ACL predefinidas que são colocadas no directório metabase.bin quando o IIS 5.0 está instalado:
    LM - 
       W3SVC
          BUILTIN\Administrators
            Access: RWSUED
          Everyone
            Access:     E 
          {IISMachineName}\VS Developers
            Access: RWSUE 
       MSFTPSVC
          BUILTIN\Administrators
            Access: RWSUED
          Everyone
            Access:     E
       SMTPSVC
          BUILTIN\Administrators
            Access: RWSUED
          Everyone
            Access:     E 
       NNTPSVC
          BUILTIN\Administrators
            Access: RWSUED
          Everyone
            Access:     E 
    					
  • ACL restritas a lista seguinte descreve as propriedades de chave da metabase são marcadas como restrito em instalações do predefinido do IIS 5.0:
    MD_ADMIN_ACL
    MD_APP_ISOLATED
    MD_VR_PATH
    MD_ACCESS_PERM
    MD_ANONYMOUS_USER_NAME
    MD_ANONYMOUS_PWD
    MD_MAX_BANDWIDTH
    MD_MAX_BANDWIDTH_BLOCKED
    MD_ISM_ACCESS_CHECK
    MD_FILTER_LOAD_ORDER
    MD_FILTER_STATE
    MD_FILTER_ENABLED
    MD_FILTER_DESCRIPTION
    MD_FILTER_FLAGS
    MD_FILTER_IMAGE_PATH
    MD_SECURE_BINDINGS
    MD_SERVER_BINDINGS
    					

IIS 6.0

  • Default ACLs The following list describes the default ACLs that are put in the Metabase.xml directory when IIS 6.0 is installed:
    LM ? 
         W3SVC 
            NT AUTHORITY\LOCAL SERVICE 
    	  Access: R UE 
    	NT AUTHORITY\NETWORK SERVICE 
    	  Access: R UE 
    	{computername}\IIS_WPG 
               Access: R UE 
            BUILTIN\Administrators 
               Access: RWSUED
            {computername}\ASPNET
               Access: R   E 
         W3SVC/Filters
            NT AUTHORITY\LOCAL SERVICE
               Access: RW UE
            NT AUTHORITY\NETWORK SERVIC
               Access: RW UE
            {computername}\IIS_WPG
               Access: RW UE
            BUILTIN\Administrators
               Access: RWSUED
         W3SVC/1/Filters
            NT AUTHORITY\LOCAL SERVICE
               Access: RW UE
            NT AUTHORITY\NETWORK SERVIC
               Access: RW UE
            {computername}\IIS_WPG
               Access: RW UE
            BUILTIN\Administrators
               Access: RWSUED
         W3SVC/AppPools
            NT AUTHORITY\LOCAL SERVICE
               Access:    U
            NT AUTHORITY\NETWORK SERVICE
               Access:    U
           {computername}\IIS_WPG
               Access:    U
            BUILTIN\Administrators
               Access: RWSUED
         W3SVC/INFO
            BUILTIN\Administrators
               Access: RWSUED
         MSFTPSVC 
            BUILTIN\Administrators 
               Access: RWSUED 
         SMTPSVC 
            BUILTIN\Administrators
               Access: RWSUED
            NT AUTHORITY\LOCAL SERVICE
               Access:    UE
            NT AUTHORITY\NETWORK SERVICE
               Access:    UE
         NNTPSVC
            BUILTIN\Administrators
               Access: RWSUED
            NT AUTHORITY\LOCAL SERVICE
               Access:    UE
            NT AUTHORITY\NETWORK SERVICE
               Access:    UE
         Logging
            BUILTIN\Administrators
               Access: RWSUED 
    						
  • Restricted ACLs The following list describes the metabase key properties that are marked as restricted on default installations of IIS 6.0:
    MD_ADMIN_ACL
    MD_VPROP_ADMIN_ACL_RAW_BINARY
    MD_APPPOOL_ORPHAN_ACTION_EXE
    MD_APPPOOL_ORPHAN_ACTION_PARAMS
    MD_APPPOOL_AUTO_SHUTDOWN_EXE
    MD_APPPOOL_AUTO_SHUTDOWN_PARAMS
    MD_APPPOOL_IDENTITY_TYPE
    MD_APP_APPPOOL_ID
    MD_APP_ISOLATED
    MD_VR_PATH
    MD_ACCESS_PERM
    MD_VR_USERNAME
    MD_VR_PASSWORD
    MD_ANONYMOUS_USER_NAME
    MD_ANONYMOUS_PWD
    MD_LOGSQL_USER_NAME
    MD_LOGSQL_PASSWORD
    MD_WAM_USER_NAME
    MD_WAM_PWD
    MD_AD_CONNECTIONS_USERNAME
    MD_AD_CONNECTIONS_PASSWORD
    MD_MAX_BANDWIDTH
    MD_MAX_BANDWIDTH_BLOCKED
    MD_ISM_ACCESS_CHECK
    MD_FILTER_LOAD_ORDER
    MD_FILTER_ENABLED
    MD_FILTER_IMAGE_PATH
    MD_SECURE_BINDINGS
    MD_SERVER_BINDINGS
    MD_ASP_ENABLECLIENTDEBUG
    MD_ASP_ENABLESERVERDEBUG
    MD_ASP_ENABLEPARENTPATHS
    MD_ASP_ERRORSTONTLOG
    MD_ASP_KEEPSESSIONIDSECURE
    MD_ASP_LOGERRORREQUESTS
    MD_ASP_DISKTEMPLATECACHEDIRECTORY
    36948 RouteUserName
    36949 RoutePassword
    36958 SmtpDsPassword
    41191 Pop3DsPassword
    45461 FeedAccountName
    45462 FeedPassword
    49384 ImapDsPassword
    						

Referências

Para obter mais informações sobre ACL, Access Control List e a metabase do IIS, visite os seguintes Web sites da Microsoft:
AdminACL
http://www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/791d575e-5364-45a9-90ef-4dfd23f38d67.mspx

Introdução à Metabase do IIS
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/iis/43a51d34-7c81-413b-9727-ec9a19d0b428.mspx

Descrição geral de objectos de administração do IIS
http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/iisbook/c01_iis_administration_objects.mspx

Propriedades

Artigo: 326902 - Última revisão: 3 de dezembro de 2007 - Revisão: 6.6
A informação contida neste artigo aplica-se a:
  • Microsoft Internet Information Services 6.0
  • Serviços de informação Internet 5.0 da Microsoft
  • Microsoft Windows NT version 4.0 Option Pack
Palavras-chave: 
kbmt kbhowtomaster kbinfo KB326902 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 326902

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com