ACL, Access Control List e utilizar MetaACL para metabase ACL, Access Control List as alterações à permissão

Este artigo descreve como listas de controlo de acesso (ACL, Access Control List) funcionam no Microsoft Internet Information Server (IIS) 4.0 ou o metabase Microsoft Internet Information Services (IIS) 5.0. A metabase não está protegido apenas pelo sistema operativo ACL no ficheiro específico (metabase.bin), mas o ficheiro também tem protecção ACL no próprio directório.

Nota O ficheiro metabase.bin é um directório X.500 LIGHTWEIGHT Directory Access Protocol () em conformidade total e é regulado pelas permissões numa relação Parent\Child. Deste modo, ACL, Access Control List está aplicada recursivamente até o directório até que a raiz é atingida.

Este artigo também descreve a função de ACL na metabase do IIS, como editar ACL e as ACL predefinidas para o IIS 4.0 e IIS 5.0.

Listas de controlo de acesso

Introdução

Na metabase, ACL, Access Control List limita o acesso de determinadas contas de utilizador a certas chaves no directório metabase.bin. Dois tipos de permissões são concedidos com ACL, Access Control List:

• ACCESS_ALLOWED_ACE
• ACCESS_DENIED_ACE

A Microsoft recomenda que utilize apenas ACCESS_ALLOWED_ACE porque a Microsoft não testa exaustivamente ACCESS_DENIED_ACE .

Uma vez que todas as ACL, Access Control List informações são armazenadas na metabase próprio na propriedade MD_ADMIN_ACL , pode visualizar as informações com típica da metabase Ver ferramentas como Adsutil e Mdutil.

Direitos disponíveis

Quando modificar ACLs de metabase, estão disponíveis os seguintes direitos:

• MD_ACR_UNSECURE_PROPS_READ : Implementos um acesso de utilizador só de leitura para quaisquer propriedades não seguras.
• MD_ACR_READ : indica direitos para qualquer propriedade seguro ou não segura de leitura de um utilizador.
• MD_ACR_ENUM_KEYS : Implementos um utilizador o direito de enumerar todos os nomes de quaisquer nós subordinados.
• MD_ACR_WRITE_DAC : Implementos um utilizador o direito de gravar ou criar uma propriedade AdminACL no nó correspondente.
• MD_ACR_WRITE : Implementos um utilizador o direito de modificar (incluindo adicionar ou conjunto) propriedades excepto propriedades restritas. Para mais informações, consulte a secção sobre propriedades restritas pela plataforma.
• MD_ACR_RESTRICTED_WRITE : Implementos um utilizador o direito de modificar qualquer propriedade que está actualmente definida para apenas o administrador . Esta permissão concede controlo total a essa chave a um utilizador.

Editar ACL, Access Control List

aviso Se editar a metabase incorrectamente, poderá provocar problemas graves que poderão forçar a reinstalação qualquer produto que utiliza a metabase. Microsoft não garante que problemas resultantes da incorrecta editar a metabase podem ser resolvidos. Edite a metabase por sua conta e risco.

Nota Sempre uma cópia da metabase antes de o editar de segurança.

Para editar as ACL, utilize um utilitário denominado Metaacl.vbs. Para obter mais informações, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base: Este exemplo modifica a chave de w3svc para negar acesso para os administradores.

aviso Este procedimento num sistema de produção pode ser extremamente perigoso e fazer com que o IIS a funcionar como planeado. Neste exemplo apenas percorre o processo de edição para fins de demonstração.

1. Copie o ficheiro Metaacl.vbs para o directório %systemdrive%\Inetpub\Adminscripts.
2. Clique em Iniciar , clique em Executar , escreva CMD e, em seguida, clique em Executar para abrir uma linha de comandos.
3. Na linha de comandos, execute o seguinte comando para mudar para o directório Adminscripts:

   c:\cd Inetpub\Adminscripts
   					

4. Para modificar os parâmetros localizados no IIS: / / LOCALHOST/W3SVC, execute o seguinte comando:

   c:\Inetpub\Adminscripts>cscript metaacl.vbs IIS://LOCALHOST/W3SVC mydomain\mydomainaccount RW
   
   					

   receberá a seguinte resposta:
   ACE para mydomain\mydomainaccount adicionado.

Pode utilizar Metaacl.vbs para adicionar os seguintes direitos para qualquer utilizador:

• R leitura
• W escrita
• Escrever S restrito
• Ler propriedades U não seguro
• E enumerar chaves
• D escrever DACL (permissões)

ACL pela plataforma de servidor

IIS 4.0

• As ACL predefinidas a lista seguinte descreve as ACL predefinidas que são colocadas no directório metabase.bin quando o IIS 4.0 está instalado:

  LM -
     W3SVC
        BUILTIN\Administrators
          Access: RWSUED
        Everyone
          Access:     E
     MSFTPSVC
        BUILTIN\Administrators
          Access: RWSUED
        Everyone
          Access:     E
     SMTPSVC  
        BUILTIN\Administrators
          Access: RWSUED
        Everyone
          Access:     E
     NNTPSVC
        BUILTIN\Administrators
          Access: RWSUED
        Everyone
          Access:     E
  					

• ACL restritas a lista seguinte descreve as propriedades de chave da metabase são marcadas como restrito em instalações predefinido do IIS 4.0:

  MD_ADMIN_ACL
  MD_APP_ISOLATED
  MD_VR_PATH
  MD_ACCESS_PERM
  MD_ANONYMOUS_USER_NAME
  MD_ANONYMOUS_PWD
  MD_MAX_BANDWIDTH
  MD_MAX_BANDWIDTH_BLOCKED
  MD_ISM_ACCESS_CHECK
  MD_FILTER_LOAD_ORDER
  MD_FILTER_STATE
  MD_FILTER_ENABLED
  MD_FILTER_DESCRIPTION
  MD_FILTER_FLAGS
  MD_FILTER_IMAGE_PATH
  MD_SECURE_BINDINGS
  MD_SERVER_BINDINGS
  					

IIS 5.0

• ACLs predefinidas a lista seguinte descreve as ACL predefinidas que são colocadas no directório metabase.bin quando o IIS 5.0 está instalado:

  LM - 
     W3SVC
        BUILTIN\Administrators
          Access: RWSUED
        Everyone
          Access:     E 
        {IISMachineName}\VS Developers
          Access: RWSUE 
     MSFTPSVC
        BUILTIN\Administrators
          Access: RWSUED
        Everyone
          Access:     E
     SMTPSVC
        BUILTIN\Administrators
          Access: RWSUED
        Everyone
          Access:     E 
     NNTPSVC
        BUILTIN\Administrators
          Access: RWSUED
        Everyone
          Access:     E 
  					

• ACL restritas a lista seguinte descreve as propriedades de chave da metabase são marcadas como restrito em instalações do predefinido do IIS 5.0:

  MD_ADMIN_ACL
  MD_APP_ISOLATED
  MD_VR_PATH
  MD_ACCESS_PERM
  MD_ANONYMOUS_USER_NAME
  MD_ANONYMOUS_PWD
  MD_MAX_BANDWIDTH
  MD_MAX_BANDWIDTH_BLOCKED
  MD_ISM_ACCESS_CHECK
  MD_FILTER_LOAD_ORDER
  MD_FILTER_STATE
  MD_FILTER_ENABLED
  MD_FILTER_DESCRIPTION
  MD_FILTER_FLAGS
  MD_FILTER_IMAGE_PATH
  MD_SECURE_BINDINGS
  MD_SERVER_BINDINGS
  					

IIS 6.0

• Default ACLs The following list describes the default ACLs that are put in the Metabase.xml directory when IIS 6.0 is installed:

  LM ? 
       W3SVC 
          NT AUTHORITY\LOCAL SERVICE 
  	  Access: R UE 
  	NT AUTHORITY\NETWORK SERVICE 
  	  Access: R UE 
  	{computername}\IIS_WPG 
             Access: R UE 
          BUILTIN\Administrators 
             Access: RWSUED
          {computername}\ASPNET
             Access: R   E 
       W3SVC/Filters
          NT AUTHORITY\LOCAL SERVICE
             Access: RW UE
          NT AUTHORITY\NETWORK SERVIC
             Access: RW UE
          {computername}\IIS_WPG
             Access: RW UE
          BUILTIN\Administrators
             Access: RWSUED
       W3SVC/1/Filters
          NT AUTHORITY\LOCAL SERVICE
             Access: RW UE
          NT AUTHORITY\NETWORK SERVIC
             Access: RW UE
          {computername}\IIS_WPG
             Access: RW UE
          BUILTIN\Administrators
             Access: RWSUED
       W3SVC/AppPools
          NT AUTHORITY\LOCAL SERVICE
             Access:    U
          NT AUTHORITY\NETWORK SERVICE
             Access:    U
         {computername}\IIS_WPG
             Access:    U
          BUILTIN\Administrators
             Access: RWSUED
       W3SVC/INFO
          BUILTIN\Administrators
             Access: RWSUED
       MSFTPSVC 
          BUILTIN\Administrators 
             Access: RWSUED 
       SMTPSVC 
          BUILTIN\Administrators
             Access: RWSUED
          NT AUTHORITY\LOCAL SERVICE
             Access:    UE
          NT AUTHORITY\NETWORK SERVICE
             Access:    UE
       NNTPSVC
          BUILTIN\Administrators
             Access: RWSUED
          NT AUTHORITY\LOCAL SERVICE
             Access:    UE
          NT AUTHORITY\NETWORK SERVICE
             Access:    UE
       Logging
          BUILTIN\Administrators
             Access: RWSUED 
  						

• Restricted ACLs The following list describes the metabase key properties that are marked as restricted on default installations of IIS 6.0:

  MD_ADMIN_ACL
  MD_VPROP_ADMIN_ACL_RAW_BINARY
  MD_APPPOOL_ORPHAN_ACTION_EXE
  MD_APPPOOL_ORPHAN_ACTION_PARAMS
  MD_APPPOOL_AUTO_SHUTDOWN_EXE
  MD_APPPOOL_AUTO_SHUTDOWN_PARAMS
  MD_APPPOOL_IDENTITY_TYPE
  MD_APP_APPPOOL_ID
  MD_APP_ISOLATED
  MD_VR_PATH
  MD_ACCESS_PERM
  MD_VR_USERNAME
  MD_VR_PASSWORD
  MD_ANONYMOUS_USER_NAME
  MD_ANONYMOUS_PWD
  MD_LOGSQL_USER_NAME
  MD_LOGSQL_PASSWORD
  MD_WAM_USER_NAME
  MD_WAM_PWD
  MD_AD_CONNECTIONS_USERNAME
  MD_AD_CONNECTIONS_PASSWORD
  MD_MAX_BANDWIDTH
  MD_MAX_BANDWIDTH_BLOCKED
  MD_ISM_ACCESS_CHECK
  MD_FILTER_LOAD_ORDER
  MD_FILTER_ENABLED
  MD_FILTER_IMAGE_PATH
  MD_SECURE_BINDINGS
  MD_SERVER_BINDINGS
  MD_ASP_ENABLECLIENTDEBUG
  MD_ASP_ENABLESERVERDEBUG
  MD_ASP_ENABLEPARENTPATHS
  MD_ASP_ERRORSTONTLOG
  MD_ASP_KEEPSESSIONIDSECURE
  MD_ASP_LOGERRORREQUESTS
  MD_ASP_DISKTEMPLATECACHEDIRECTORY
  36948 RouteUserName
  36949 RoutePassword
  36958 SmtpDsPassword
  41191 Pop3DsPassword
  45461 FeedAccountName
  45462 FeedPassword
  49384 ImapDsPassword
  						

Para obter mais informações sobre ACL, Access Control List e a metabase do IIS, visite os seguintes Web sites da Microsoft: