ACLs e usando MetaACL para metabase ACL alterações de permissão

Traduções deste artigo Traduções deste artigo
ID do artigo: 326902 - Exibir os produtos aos quais esse artigo se aplica.
importante Este artigo contém informações sobre como editar a metabase. Antes de editar a metabase, verifique se você tem uma cópia de backup que você pode restaurar se ocorrer um problema. Para obter informações sobre como fazer isso, consulte o tópico da Ajuda "backup/restauração de configuração" no Microsoft Management Console (MMC).
Expandir tudo | Recolher tudo

Neste artigo

Sumário

Este artigo descreve como Access Control Lists (ACLs) funcionam no Microsoft Internet Information Server (IIS) 4.0 ou metabase dos serviços de informações da Internet (IIS) 5.0. A metabase não é apenas protegidos pelo sistema operacional ACLs no arquivo específico (metabase.bin), mas o arquivo também tem proteção ACL no diretório próprio.

Observação O arquivo metabase.bin é um diretório X.500 Protocol (LDAP) totalmente compatível e é regido por permissões em uma relação Parent\Child. Portanto, ACLs são aplicada recursivamente o diretório até que a raiz seja alcançada.

Este artigo também descreve a função de ACLs na metabase do IIS, como editar as ACLs e as ACLs padrão para o IIS 4.0 e IIS 5.0.

Mais Informações

Listas de controle de acesso

Introdução

Na metabase, ACLs limitar o acesso de determinadas contas de usuário a determinadas chaves no diretório metabase.bin. Dois tipos de permissões são concedidos com ACLs:
  • ACCESS_ALLOWED_ACE
  • ACCESS_DENIED_ACE
A Microsoft recomenda que você use somente ACCESS_ALLOWED_ACE porque a Microsoft não testa amplamente ACCESS_DENIED_ACE .

Como todas as informações de ACL são armazenadas na metabase na propriedade MD_ADMIN_ACL , você pode exibir as informações com típica metabase exibindo ferramentas como Adsutil e Mdutil.

Direitos disponíveis

Quando você modifica as ACLs da metabase, os seguintes direitos estão disponíveis:
  • MD_ACR_UNSECURE_PROPS_READ : fornece acesso somente leitura de um usuário a qualquer propriedade que não seja segura.
  • MD_ACR_READ : fornece um usuário direitos para qualquer propriedade segura ou não segura de leitura.
  • MD_ACR_ENUM_KEYS : fornece um usuário o direito de enumerar todos os nomes de todos os nós filho.
  • MD_ACR_WRITE_DAC : fornece um usuário o direito de gravar ou criar uma propriedade AdminACL no nó correspondente.
  • MD_ACR_WRITE : fornece um usuário o direito de modificar (incluindo adição ou conjunto) propriedades exceto propriedades restritas. Para obter mais informações, consulte a seção sobre propriedades restritas pela plataforma.
  • MD_ACR_RESTRICTED_WRITE : fornece um usuário o direito de modificar qualquer propriedade que está definida para somente administrador . Esta permissão dá controle total a essa chave para um usuário.

Edição ACLs

Aviso Se você editar a metabase incorretamente, você pode causar problemas sérios que talvez exijam a reinstalação de qualquer produto que usa a metabase. A Microsoft não garante que problemas resultantes se você editar incorretamente a metabase podem ser solucionados. Edite a metabase de sua responsabilidade.

Observação Sempre fazer backup da metabase antes de editá-lo.

Para editar as ACLs, use um utilitário chamado Metaacl.vbs. Para obter mais informações, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
267904Metaacl.exe modificando permissões de metabase para objetos de administração do IIS
Este exemplo modifica a chave w3svc para negar acesso para os administradores.

Aviso Isso em um sistema de produção pode ser extremamente perigoso e fazer com que IIS não funcionar conforme projetado. Este exemplo percorre somente o processo de edição para fins de demonstração.
  1. Copie o arquivo Metaacl.vbs para o diretório %systemdrive%\Inetpub\Adminscripts.
  2. Clique em Iniciar , clique em Executar , digite CMD e clique em Executar para abrir um prompt de comando.
  3. No prompt de, execute o seguinte comando para alterar para o diretório Adminscripts:
    c:\cd Inetpub\Adminscripts
    					
  4. Para modificar os parâmetros localizados em IIS: / / LOCALHOST/W3SVC, execute o seguinte comando:
    c:\Inetpub\Adminscripts>cscript metaacl.vbs IIS://LOCALHOST/W3SVC mydomain\mydomainaccount RW
    
    					
    você recebe a seguinte resposta:
    ACE para mydomain\mydomainaccount adicionado.
Você pode usar Metaacl.vbs para adicionar os seguintes direitos para qualquer usuário:
  • R ler
  • W gravação
  • Gravação restrita S
  • Leitura de propriedades não-segura U
  • E enumerar chaves
  • D gravação DACL (permissões)

ACLs pela plataforma de servidor

IIS 4.0

  • ACLs padrão a lista a seguir descreve as ACLs padrão que são colocadas no diretório metabase.bin quando o IIS 4.0 está instalado:
    LM -
       W3SVC
          BUILTIN\Administrators
            Access: RWSUED
          Everyone
            Access:     E
       MSFTPSVC
          BUILTIN\Administrators
            Access: RWSUED
          Everyone
            Access:     E
       SMTPSVC  
          BUILTIN\Administrators
            Access: RWSUED
          Everyone
            Access:     E
       NNTPSVC
          BUILTIN\Administrators
            Access: RWSUED
          Everyone
            Access:     E
    					
  • ACLs restritas a seguinte lista descreve as propriedades de chave da metabase que são marcadas como restrita em instalações padrão do IIS 4.0:
    MD_ADMIN_ACL
    MD_APP_ISOLATED
    MD_VR_PATH
    MD_ACCESS_PERM
    MD_ANONYMOUS_USER_NAME
    MD_ANONYMOUS_PWD
    MD_MAX_BANDWIDTH
    MD_MAX_BANDWIDTH_BLOCKED
    MD_ISM_ACCESS_CHECK
    MD_FILTER_LOAD_ORDER
    MD_FILTER_STATE
    MD_FILTER_ENABLED
    MD_FILTER_DESCRIPTION
    MD_FILTER_FLAGS
    MD_FILTER_IMAGE_PATH
    MD_SECURE_BINDINGS
    MD_SERVER_BINDINGS
    					

IIS 5.0

  • ACLs padrão a lista a seguir descreve as ACLs padrão que são colocadas no diretório metabase.bin quando o IIS 5.0 é instalado:
    LM - 
       W3SVC
          BUILTIN\Administrators
            Access: RWSUED
          Everyone
            Access:     E 
          {IISMachineName}\VS Developers
            Access: RWSUE 
       MSFTPSVC
          BUILTIN\Administrators
            Access: RWSUED
          Everyone
            Access:     E
       SMTPSVC
          BUILTIN\Administrators
            Access: RWSUED
          Everyone
            Access:     E 
       NNTPSVC
          BUILTIN\Administrators
            Access: RWSUED
          Everyone
            Access:     E 
    					
  • ACLs restritas a seguinte lista descreve as propriedades de chave da metabase que são marcadas como restrita em instalações padrão do IIS 5.0:
    MD_ADMIN_ACL
    MD_APP_ISOLATED
    MD_VR_PATH
    MD_ACCESS_PERM
    MD_ANONYMOUS_USER_NAME
    MD_ANONYMOUS_PWD
    MD_MAX_BANDWIDTH
    MD_MAX_BANDWIDTH_BLOCKED
    MD_ISM_ACCESS_CHECK
    MD_FILTER_LOAD_ORDER
    MD_FILTER_STATE
    MD_FILTER_ENABLED
    MD_FILTER_DESCRIPTION
    MD_FILTER_FLAGS
    MD_FILTER_IMAGE_PATH
    MD_SECURE_BINDINGS
    MD_SERVER_BINDINGS
    					

IIS 6.0

  • Default ACLs The following list describes the default ACLs that are put in the Metabase.xml directory when IIS 6.0 is installed:
    LM ? 
         W3SVC 
            NT AUTHORITY\LOCAL SERVICE 
    	  Access: R UE 
    	NT AUTHORITY\NETWORK SERVICE 
    	  Access: R UE 
    	{computername}\IIS_WPG 
               Access: R UE 
            BUILTIN\Administrators 
               Access: RWSUED
            {computername}\ASPNET
               Access: R   E 
         W3SVC/Filters
            NT AUTHORITY\LOCAL SERVICE
               Access: RW UE
            NT AUTHORITY\NETWORK SERVIC
               Access: RW UE
            {computername}\IIS_WPG
               Access: RW UE
            BUILTIN\Administrators
               Access: RWSUED
         W3SVC/1/Filters
            NT AUTHORITY\LOCAL SERVICE
               Access: RW UE
            NT AUTHORITY\NETWORK SERVIC
               Access: RW UE
            {computername}\IIS_WPG
               Access: RW UE
            BUILTIN\Administrators
               Access: RWSUED
         W3SVC/AppPools
            NT AUTHORITY\LOCAL SERVICE
               Access:    U
            NT AUTHORITY\NETWORK SERVICE
               Access:    U
           {computername}\IIS_WPG
               Access:    U
            BUILTIN\Administrators
               Access: RWSUED
         W3SVC/INFO
            BUILTIN\Administrators
               Access: RWSUED
         MSFTPSVC 
            BUILTIN\Administrators 
               Access: RWSUED 
         SMTPSVC 
            BUILTIN\Administrators
               Access: RWSUED
            NT AUTHORITY\LOCAL SERVICE
               Access:    UE
            NT AUTHORITY\NETWORK SERVICE
               Access:    UE
         NNTPSVC
            BUILTIN\Administrators
               Access: RWSUED
            NT AUTHORITY\LOCAL SERVICE
               Access:    UE
            NT AUTHORITY\NETWORK SERVICE
               Access:    UE
         Logging
            BUILTIN\Administrators
               Access: RWSUED 
    						
  • Restricted ACLs The following list describes the metabase key properties that are marked as restricted on default installations of IIS 6.0:
    MD_ADMIN_ACL
    MD_VPROP_ADMIN_ACL_RAW_BINARY
    MD_APPPOOL_ORPHAN_ACTION_EXE
    MD_APPPOOL_ORPHAN_ACTION_PARAMS
    MD_APPPOOL_AUTO_SHUTDOWN_EXE
    MD_APPPOOL_AUTO_SHUTDOWN_PARAMS
    MD_APPPOOL_IDENTITY_TYPE
    MD_APP_APPPOOL_ID
    MD_APP_ISOLATED
    MD_VR_PATH
    MD_ACCESS_PERM
    MD_VR_USERNAME
    MD_VR_PASSWORD
    MD_ANONYMOUS_USER_NAME
    MD_ANONYMOUS_PWD
    MD_LOGSQL_USER_NAME
    MD_LOGSQL_PASSWORD
    MD_WAM_USER_NAME
    MD_WAM_PWD
    MD_AD_CONNECTIONS_USERNAME
    MD_AD_CONNECTIONS_PASSWORD
    MD_MAX_BANDWIDTH
    MD_MAX_BANDWIDTH_BLOCKED
    MD_ISM_ACCESS_CHECK
    MD_FILTER_LOAD_ORDER
    MD_FILTER_ENABLED
    MD_FILTER_IMAGE_PATH
    MD_SECURE_BINDINGS
    MD_SERVER_BINDINGS
    MD_ASP_ENABLECLIENTDEBUG
    MD_ASP_ENABLESERVERDEBUG
    MD_ASP_ENABLEPARENTPATHS
    MD_ASP_ERRORSTONTLOG
    MD_ASP_KEEPSESSIONIDSECURE
    MD_ASP_LOGERRORREQUESTS
    MD_ASP_DISKTEMPLATECACHEDIRECTORY
    36948 RouteUserName
    36949 RoutePassword
    36958 SmtpDsPassword
    41191 Pop3DsPassword
    45461 FeedAccountName
    45462 FeedPassword
    49384 ImapDsPassword
    						

Referências

Para obter mais informações sobre ACLs e a metabase do IIS, visite os seguintes sites:
AdminACL
http://www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/791d575e-5364-45a9-90ef-4dfd23f38d67.mspx

Introdução à Metabase do IIS
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/iis/43a51d34-7c81-413b-9727-ec9a19d0b428.mspx

Visão geral de objetos de administração do IIS
http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/iisbook/c01_iis_administration_objects.mspx

Propriedades

ID do artigo: 326902 - Última revisão: segunda-feira, 3 de dezembro de 2007 - Revisão: 6.6
A informação contida neste artigo aplica-se a:
  • Microsoft Internet Information Services 6.0
  • Microsoft Internet Information Services 5.0
  • Microsoft Windows NT version 4.0 Option Pack
Palavras-chave: 
kbmt kbhowtomaster kbinfo KB326902 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 326902

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com