Списки управления доступом и использованием MetaACL метабазы ACL для изменения разрешений

Переводы статьи Переводы статьи
Код статьи: 326902 - Vizualiza?i produsele pentru care se aplic? acest articol.
Важные Эта статья содержит сведения об изменении метабазы. Перед изменением метабазы убедитесь, что у резервной копии, можно восстановить в случае возникновения проблем. Сведения о том, как это сделать содержатся в разделе справки "Архивирование и восстановление конфигурации" консоли управления (MMC).
Развернуть все | Свернуть все

В этой статье

Аннотация

Статья описывает, как списки управления доступом (ACL) работают в Microsoft Internet Information Server (IIS) 4.0 или Интернета сведения О Microsoft Services (IIS) 5.0 метабазы. Метабазы не только защищен ACL для конкретного файла (мастером) операционной системы, но его также защиту ACL в сам каталог.

Примечание Файл мастером полностью соответствует каталогов X.500 Lightweight Directory Access Protocol (LDAP) и управляется разрешений в отношении Parent\Child. Таким образом списки ACL, рекурсивно Подготовка каталога, пока не будет достигнут корневой.

В этой статье также описывается роль ACL в метабазе IIS порядок изменения списков ACL и списки ACL по умолчанию для IIS 4.0 и IIS 5.0.

Дополнительная информация

Списки управления доступом

Введение

В метабазе ACL ограничения доступа определенных учетных записей пользователей для определенных разделов в каталоге мастером. С помощью списков управления доступом предоставляются два типа разрешений:
  • ACCESS_ALLOWED_ACE
  • ACCESS_DENIED_ACE
Корпорация Майкрософт рекомендует использовать только ACCESS_ALLOWED_ACE Поскольку корпорация Майкрософт не проверяет широко ACCESS_DENIED_ACE.

Поскольку вся информация ACL хранится в метабазе, сам в MD_ADMIN_ACL свойство, можно просмотреть данные с типичным метабазы, просмотр таких средств, как программ Adsutil и Mdutil.

Доступные права

При изменении метабазы ACL доступны следующие права:
  • MD_ACR_UNSECURE_PROPS_READ: Дает пользователю доступ только для чтения к любому свойству небезопасными.
  • MD_ACR_READ: Дает пользователю читать права на любое свойство защищенные или незащищенные.
  • MD_ACR_ENUM_KEYS: Дает пользователю право перечислить все имена дочерних узлов.
  • MD_ACR_WRITE_DAC: Дает пользователю право на запись или создать AdminACL свойство в соответствующий узел.
  • MD_ACR_WRITE: Дает пользователю право на изменение (в том числе добавить или set) свойства, за исключением запрещенные свойства. Для получения дополнительных сведений обратитесь к разделу запрещенные свойства платформой.
  • MD_ACR_RESTRICTED_WRITE: Дает пользователю право на изменение любого свойства, которое в настоящее время имеет значение Только администратор. Это разрешение дает полный доступ к этому разделу для пользователя.

Редактирование списков управления доступом

Предупреждение Некорректное изменение метабазы может привести к серьезным проблемам и потребовать переустановки программ, использующих метабазу. Корпорация Майкрософт не гарантирует проблемы, результатом неправильного изменения метабазы. Изменение метабазы на свой страх и риск.

Примечание Всегда создавайте резервную копию метабазы перед внесением изменений.

Для изменения списков ACL используется служебная программа, которая называется Metaacl.vbs.Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:
267904MetaAcl.exe изменения разрешений метабазы для объектов IIS Admin
В этом примере изменяется W3SVC ключ, чтобы запретить доступ для администраторов.

Предупреждение При этом в производственной системе могут быть очень опасными и службы IIS будут правильно работать, не. В этом примере только проходит через процесс редактирования для демонстрационных целей.
  1. Скопируйте файл Metaacl.vbs в каталог %systemdrive%\Inetpub\Adminscripts.
  2. Нажмите кнопку Начало, нажмите кнопку Запустить, тип CMD, а затем нажмите кнопку Запустить Чтобы открыть командную строку.
  3. В командной строке выполните следующую команду для перехода к каталогу Adminscripts:
    c:\cd Inetpub\Adminscripts
    					
  4. Чтобы изменить параметры, расположенную в IIS: / виртуальный, выполните следующую команду:
    c:\Inetpub\Adminscripts>cscript metaacl.vbs IIS://LOCALHOST/W3SVC mydomain\mydomainaccount RW
    
    					
    Появится следующий ответ:
    Элемент управления ДОСТУПОМ для добавления mydomain\mydomainaccount.
Можно использовать файл Metaacl.vbs следующие права доступа для всех пользователей:
  • R — Чтение
  • W - записи
  • S - ограниченных записи
  • U - небезопасное чтение свойства
  • E - перечисление ключей
  • D - записи DACL (разрешения)

Списки управления доступом, Серверная платформа

IIS 4.0

  • Списки ACL по умолчанию Ниже перечислены списки ACL по умолчанию, которые размещаются в каталоге мастером при установке IIS 4.0.
    LM -
       W3SVC
          BUILTIN\Administrators
            Access: RWSUED
          Everyone
            Access:     E
       MSFTPSVC
          BUILTIN\Administrators
            Access: RWSUED
          Everyone
            Access:     E
       SMTPSVC  
          BUILTIN\Administrators
            Access: RWSUED
          Everyone
            Access:     E
       NNTPSVC
          BUILTIN\Administrators
            Access: RWSUED
          Everyone
            Access:     E
    					
  • Ограниченные списки управления доступом В следующем списке описываются ключевые свойства метабазы, которые помечены как ограниченные установок по умолчанию IIS 4.0:
    MD_ADMIN_ACL
    MD_APP_ISOLATED
    MD_VR_PATH
    MD_ACCESS_PERM
    MD_ANONYMOUS_USER_NAME
    MD_ANONYMOUS_PWD
    MD_MAX_BANDWIDTH
    MD_MAX_BANDWIDTH_BLOCKED
    MD_ISM_ACCESS_CHECK
    MD_FILTER_LOAD_ORDER
    MD_FILTER_STATE
    MD_FILTER_ENABLED
    MD_FILTER_DESCRIPTION
    MD_FILTER_FLAGS
    MD_FILTER_IMAGE_PATH
    MD_SECURE_BINDINGS
    MD_SERVER_BINDINGS
    					

IIS ВЕРСИИ 5.0

  • Списки ACL по умолчанию Ниже перечислены списки ACL по умолчанию, которые размещаются в каталоге мастером при установке IIS 5.0.
    LM - 
       W3SVC
          BUILTIN\Administrators
            Access: RWSUED
          Everyone
            Access:     E 
          {IISMachineName}\VS Developers
            Access: RWSUE 
       MSFTPSVC
          BUILTIN\Administrators
            Access: RWSUED
          Everyone
            Access:     E
       SMTPSVC
          BUILTIN\Administrators
            Access: RWSUED
          Everyone
            Access:     E 
       NNTPSVC
          BUILTIN\Administrators
            Access: RWSUED
          Everyone
            Access:     E 
    					
  • Ограниченные списки управления доступом В следующем списке описываются ключевые свойства метабазы, которые помечены как ограниченные установок по умолчанию службы IIS 5.0:
    MD_ADMIN_ACL
    MD_APP_ISOLATED
    MD_VR_PATH
    MD_ACCESS_PERM
    MD_ANONYMOUS_USER_NAME
    MD_ANONYMOUS_PWD
    MD_MAX_BANDWIDTH
    MD_MAX_BANDWIDTH_BLOCKED
    MD_ISM_ACCESS_CHECK
    MD_FILTER_LOAD_ORDER
    MD_FILTER_STATE
    MD_FILTER_ENABLED
    MD_FILTER_DESCRIPTION
    MD_FILTER_FLAGS
    MD_FILTER_IMAGE_PATH
    MD_SECURE_BINDINGS
    MD_SERVER_BINDINGS
    					

IIS 6.0

  • Списки ACL по умолчанию Ниже перечислены списки ACL по умолчанию, которые размещаются в каталоге файла Metabase.xml при установке IIS 6.0.
    LM – 
         W3SVC 
            NT AUTHORITY\LOCAL SERVICE 
    	  Access: R UE 
    	NT AUTHORITY\NETWORK SERVICE 
    	  Access: R UE 
    	{computername}\IIS_WPG 
               Access: R UE 
            BUILTIN\Administrators 
               Access: RWSUED
            {computername}\ASPNET
               Access: R   E 
         W3SVC/Filters
            NT AUTHORITY\LOCAL SERVICE
               Access: RW UE
            NT AUTHORITY\NETWORK SERVIC
               Access: RW UE
            {computername}\IIS_WPG
               Access: RW UE
            BUILTIN\Administrators
               Access: RWSUED
         W3SVC/1/Filters
            NT AUTHORITY\LOCAL SERVICE
               Access: RW UE
            NT AUTHORITY\NETWORK SERVIC
               Access: RW UE
            {computername}\IIS_WPG
               Access: RW UE
            BUILTIN\Administrators
               Access: RWSUED
         W3SVC/AppPools
            NT AUTHORITY\LOCAL SERVICE
               Access:    U
            NT AUTHORITY\NETWORK SERVICE
               Access:    U
           {computername}\IIS_WPG
               Access:    U
            BUILTIN\Administrators
               Access: RWSUED
         W3SVC/INFO
            BUILTIN\Administrators
               Access: RWSUED
         MSFTPSVC 
            BUILTIN\Administrators 
               Access: RWSUED 
         SMTPSVC 
            BUILTIN\Administrators
               Access: RWSUED
            NT AUTHORITY\LOCAL SERVICE
               Access:    UE
            NT AUTHORITY\NETWORK SERVICE
               Access:    UE
         NNTPSVC
            BUILTIN\Administrators
               Access: RWSUED
            NT AUTHORITY\LOCAL SERVICE
               Access:    UE
            NT AUTHORITY\NETWORK SERVICE
               Access:    UE
         Logging
            BUILTIN\Administrators
               Access: RWSUED 
    						
  • Ограниченные списки управления доступом В следующем списке описываются ключевые свойства метабазы, которые помечены как ограниченный по умолчанию установки IIS 6.0:
    MD_ADMIN_ACL
    MD_VPROP_ADMIN_ACL_RAW_BINARY
    MD_APPPOOL_ORPHAN_ACTION_EXE
    MD_APPPOOL_ORPHAN_ACTION_PARAMS
    MD_APPPOOL_AUTO_SHUTDOWN_EXE
    MD_APPPOOL_AUTO_SHUTDOWN_PARAMS
    MD_APPPOOL_IDENTITY_TYPE
    MD_APP_APPPOOL_ID
    MD_APP_ISOLATED
    MD_VR_PATH
    MD_ACCESS_PERM
    MD_VR_USERNAME
    MD_VR_PASSWORD
    MD_ANONYMOUS_USER_NAME
    MD_ANONYMOUS_PWD
    MD_LOGSQL_USER_NAME
    MD_LOGSQL_PASSWORD
    MD_WAM_USER_NAME
    MD_WAM_PWD
    MD_AD_CONNECTIONS_USERNAME
    MD_AD_CONNECTIONS_PASSWORD
    MD_MAX_BANDWIDTH
    MD_MAX_BANDWIDTH_BLOCKED
    MD_ISM_ACCESS_CHECK
    MD_FILTER_LOAD_ORDER
    MD_FILTER_ENABLED
    MD_FILTER_IMAGE_PATH
    MD_SECURE_BINDINGS
    MD_SERVER_BINDINGS
    MD_ASP_ENABLECLIENTDEBUG
    MD_ASP_ENABLESERVERDEBUG
    MD_ASP_ENABLEPARENTPATHS
    MD_ASP_ERRORSTONTLOG
    MD_ASP_KEEPSESSIONIDSECURE
    MD_ASP_LOGERRORREQUESTS
    MD_ASP_DISKTEMPLATECACHEDIRECTORY
    36948 RouteUserName
    36949 RoutePassword
    36958 SmtpDsPassword
    41191 Pop3DsPassword
    45461 FeedAccountName
    45462 FeedPassword
    49384 ImapDsPassword
    						

Ссылки

Для получения дополнительных сведений о метабазы IIS и списков управления доступом посетите веб-узлы корпорации Майкрософт:
AdminACL
http://www.Microsoft.com/TechNet/prodtechnol/windowsserver2003/Library/IIS/791d575e-5364-45a9-90ef-4dfd23f38d67.mspx

Введение в метабазе IIS
http://www.Microsoft.com/TechNet/prodtechnol/windowsserver2003/Library/IIS/43a51d34-7c81-413b-9727-ec9a19d0b428.mspx

Обзор объектов IIS Admin
http://www.Microsoft.com/TechNet/prodtechnol/windows2000serv/reskit/iisbook/c01_iis_administration_objects.mspx

Свойства

Код статьи: 326902 - Последний отзыв: 8 июня 2011 г. - Revision: 3.0
Информация в данной статье относится к следующим продуктам.
  • Microsoft Internet Information Services 6.0
  • Microsoft Internet Information Services 5.0
Ключевые слова: 
kbhowtomaster kbinfo kbmt KB326902 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.
Эта статья на английском языке:326902

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com