acl 并使用 MetaACL 元数据库 ACL 权限更改

文章翻译 文章翻译
文章编号: 326902 - 查看本文应用于的产品
重要 本文包含有关编辑配置数据库的信息。编辑元数据库之前,请验证您有一个备份副本,如果出现问题,可以还原该副本。有关如何执行此操作,请参阅"配置备份/还原"在帮助主题中 Microsoft 管理控制台 (MMC)。
展开全部 | 关闭全部

本文内容

概要

本文介绍在访问控制列表 (acl) 中如何工作 Microsoft Internet 信息服务器 (IIS) 4.0 或 Microsoft Internet Information Services (IIS) 5.0 配置数据库。元数据库不只受操作系统特定的文件 (Metabase.bin) 上的 acl,但该文件还具有 ACL 保护的目录本身。

注意Metabase.bin 文件是一个完全符合 X.500 轻型目录访问协议 (LDAP) 目录,并由 Parent\Child 关系中的权限。因此,acl 是在目录上的递归地应用,直到到达根。

本文还介绍了 IIS 元数据库中的 acl 的角色如何为 IIS 4.0 和 IIS 5.0 编辑 acl,和 $ 默认 acl。

更多信息

访问控制列表

简介

在该的配置数据库 acl 限制对某些用户帐户,使其在 Metabase.bin 目录中的某些项的访问。两种类型的权限被授予与 acl 中:
  • ACCESS_ALLOWED_ACE
  • ACCESS_DENIED_ACE
Microsoft 建议您仅使用 ACCESS_ALLOWED_ACE,因为 Microsoft 不会广泛测试 ACCESS_DENIED_ACE

因为 ACL 的所有信息都存储在配置数据库本身 MD_ADMIN_ACL 属性中,您可以查看该信息与查看 Adsutil 和 Mdutil 这样的工具的典型配置数据库。

可用权限

当您修改配置数据库 acl 时, 是可用的下列权限:
  • MD_ACR_UNSECURE_PROPS_READ: 授予用户只读访问权限,任何不安全的属性。
  • MD_ACR_READ: 赋予用户读取任何安全或不安全属性的权限。
  • MD_ACR_ENUM_KEYS: 授予用户枚举的任何子节点的所有名称的权限。
  • MD_ACR_WRITE_DAC: 授予用户编写或创建一个 AdminACL 属性在相应的节点的权限。
  • MD_ACR_WRITE: 授予用户修改 (包括添加或一组) 的权限除外受限制的属性的属性。更多的信息请参阅部分中有关受限制的属性由平台。
  • MD_ACR_RESTRICTED_WRITE: 授予用户修改当前设置为 仅管理员 的任何属性的权限。此权限提供对该注册表项的用户的完全控制。

编辑 acl

警告 如果错误地为编辑元数据库,您会导致严重的问题,甚至可能需要重新安装使用元数据库的任何产品。Microsoft 不能保证可以解决问题,如果您错误地编辑元数据库产生。编辑元数据库需要您自担风险。

注意 始终备份元数据库之前对其进行编辑。

若要编辑 acl,您可以使用名为 Metaacl.vbs 实用程序。 有关详细的信息请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
267904Metaacl.exe 修改 IIS 管理对象的元数据库权限
本示例修改 w3svc 键以管理员的拒绝访问。

警告执行此操作在生产系统上可以是非常危险的并导致 IIS 失败工作正常。本示例仅步骤通过在编辑过程,用于演示目的。
  1. 将 Metaacl.vbs 文件复制到 %systemdrive%\Inetpub\Adminscripts 目录中。
  2. 单击 开始、 单击 运行,键入 CMD,然后单击 $ 运行 以打开命令提示符。
  3. 在提示符运行以下命令来更改 Adminscripts 目录:
    c:\cd Inetpub\Adminscripts
    					
  4. 若要修改位于 IIS 参数: / 本地主机/w3svc,运行以下命令:
    c:\Inetpub\Adminscripts>cscript metaacl.vbs IIS://LOCALHOST/W3SVC mydomain\mydomainaccount RW
    
    					
    您收到以下响应:
    对于 mydomain\mydomainaccount 添加 ACE。
您可以使用 Metaacl.vbs 添加任何用户的以下权限:
  • R 读取
  • W 写
  • S 受限写入
  • U 不安全的属性读取
  • E 枚举项
  • D 编写 DACL (权限)

由服务器平台的 acl

IIS 4.0

  • 默认 acl 以下列表描述了 IIS 4.0 安装时被放入 Metabase.bin 目录的默认 acl:
    LM -
       W3SVC
          BUILTIN\Administrators
            Access: RWSUED
          Everyone
            Access:     E
       MSFTPSVC
          BUILTIN\Administrators
            Access: RWSUED
          Everyone
            Access:     E
       SMTPSVC  
          BUILTIN\Administrators
            Access: RWSUED
          Everyone
            Access:     E
       NNTPSVC
          BUILTIN\Administrators
            Access: RWSUED
          Everyone
            Access:     E
    					
  • 受限制的 acl 以下列表描述了元数据库键属性标记为受限制在默认安装的 IIS 4.0:
    MD_ADMIN_ACL
    MD_APP_ISOLATED
    MD_VR_PATH
    MD_ACCESS_PERM
    MD_ANONYMOUS_USER_NAME
    MD_ANONYMOUS_PWD
    MD_MAX_BANDWIDTH
    MD_MAX_BANDWIDTH_BLOCKED
    MD_ISM_ACCESS_CHECK
    MD_FILTER_LOAD_ORDER
    MD_FILTER_STATE
    MD_FILTER_ENABLED
    MD_FILTER_DESCRIPTION
    MD_FILTER_FLAGS
    MD_FILTER_IMAGE_PATH
    MD_SECURE_BINDINGS
    MD_SERVER_BINDINGS
    					

IIS 5.0

  • 默认 acl 以下列表描述将被放入 Metabase.bin 目录中,安装 IIS 5.0 时的默认 acl:
    LM - 
       W3SVC
          BUILTIN\Administrators
            Access: RWSUED
          Everyone
            Access:     E 
          {IISMachineName}\VS Developers
            Access: RWSUE 
       MSFTPSVC
          BUILTIN\Administrators
            Access: RWSUED
          Everyone
            Access:     E
       SMTPSVC
          BUILTIN\Administrators
            Access: RWSUED
          Everyone
            Access:     E 
       NNTPSVC
          BUILTIN\Administrators
            Access: RWSUED
          Everyone
            Access:     E 
    					
  • 受限制的 acl 以下列表描述了元数据库键属性标记为受限制在默认安装的 IIS 5.0:
    MD_ADMIN_ACL
    MD_APP_ISOLATED
    MD_VR_PATH
    MD_ACCESS_PERM
    MD_ANONYMOUS_USER_NAME
    MD_ANONYMOUS_PWD
    MD_MAX_BANDWIDTH
    MD_MAX_BANDWIDTH_BLOCKED
    MD_ISM_ACCESS_CHECK
    MD_FILTER_LOAD_ORDER
    MD_FILTER_STATE
    MD_FILTER_ENABLED
    MD_FILTER_DESCRIPTION
    MD_FILTER_FLAGS
    MD_FILTER_IMAGE_PATH
    MD_SECURE_BINDINGS
    MD_SERVER_BINDINGS
    					

IIS 6.0

  • Default ACLs The following list describes the default ACLs that are put in the Metabase.xml directory when IIS 6.0 is installed:
    LM – 
         W3SVC 
            NT AUTHORITY\LOCAL SERVICE 
    	  Access: R UE 
    	NT AUTHORITY\NETWORK SERVICE 
    	  Access: R UE 
    	{computername}\IIS_WPG 
               Access: R UE 
            BUILTIN\Administrators 
               Access: RWSUED
            {computername}\ASPNET
               Access: R   E 
         W3SVC/Filters
            NT AUTHORITY\LOCAL SERVICE
               Access: RW UE
            NT AUTHORITY\NETWORK SERVIC
               Access: RW UE
            {computername}\IIS_WPG
               Access: RW UE
            BUILTIN\Administrators
               Access: RWSUED
         W3SVC/1/Filters
            NT AUTHORITY\LOCAL SERVICE
               Access: RW UE
            NT AUTHORITY\NETWORK SERVIC
               Access: RW UE
            {computername}\IIS_WPG
               Access: RW UE
            BUILTIN\Administrators
               Access: RWSUED
         W3SVC/AppPools
            NT AUTHORITY\LOCAL SERVICE
               Access:    U
            NT AUTHORITY\NETWORK SERVICE
               Access:    U
           {computername}\IIS_WPG
               Access:    U
            BUILTIN\Administrators
               Access: RWSUED
         W3SVC/INFO
            BUILTIN\Administrators
               Access: RWSUED
         MSFTPSVC 
            BUILTIN\Administrators 
               Access: RWSUED 
         SMTPSVC 
            BUILTIN\Administrators
               Access: RWSUED
            NT AUTHORITY\LOCAL SERVICE
               Access:    UE
            NT AUTHORITY\NETWORK SERVICE
               Access:    UE
         NNTPSVC
            BUILTIN\Administrators
               Access: RWSUED
            NT AUTHORITY\LOCAL SERVICE
               Access:    UE
            NT AUTHORITY\NETWORK SERVICE
               Access:    UE
         Logging
            BUILTIN\Administrators
               Access: RWSUED 
    						
  • Restricted ACLs The following list describes the metabase key properties that are marked as restricted on default installations of IIS 6.0:
    MD_ADMIN_ACL
    MD_VPROP_ADMIN_ACL_RAW_BINARY
    MD_APPPOOL_ORPHAN_ACTION_EXE
    MD_APPPOOL_ORPHAN_ACTION_PARAMS
    MD_APPPOOL_AUTO_SHUTDOWN_EXE
    MD_APPPOOL_AUTO_SHUTDOWN_PARAMS
    MD_APPPOOL_IDENTITY_TYPE
    MD_APP_APPPOOL_ID
    MD_APP_ISOLATED
    MD_VR_PATH
    MD_ACCESS_PERM
    MD_VR_USERNAME
    MD_VR_PASSWORD
    MD_ANONYMOUS_USER_NAME
    MD_ANONYMOUS_PWD
    MD_LOGSQL_USER_NAME
    MD_LOGSQL_PASSWORD
    MD_WAM_USER_NAME
    MD_WAM_PWD
    MD_AD_CONNECTIONS_USERNAME
    MD_AD_CONNECTIONS_PASSWORD
    MD_MAX_BANDWIDTH
    MD_MAX_BANDWIDTH_BLOCKED
    MD_ISM_ACCESS_CHECK
    MD_FILTER_LOAD_ORDER
    MD_FILTER_ENABLED
    MD_FILTER_IMAGE_PATH
    MD_SECURE_BINDINGS
    MD_SERVER_BINDINGS
    MD_ASP_ENABLECLIENTDEBUG
    MD_ASP_ENABLESERVERDEBUG
    MD_ASP_ENABLEPARENTPATHS
    MD_ASP_ERRORSTONTLOG
    MD_ASP_KEEPSESSIONIDSECURE
    MD_ASP_LOGERRORREQUESTS
    MD_ASP_DISKTEMPLATECACHEDIRECTORY
    36948 RouteUserName
    36949 RoutePassword
    36958 SmtpDsPassword
    41191 Pop3DsPassword
    45461 FeedAccountName
    45462 FeedPassword
    49384 ImapDsPassword
    						

参考

有关 acl 和 IIS 元数据库的详细信息请访问以下 Microsoft 网站:
AdminACL
http://www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/791d575e-5364-45a9-90ef-4dfd23f38d67.mspx

IIS 元数据库简介
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/iis/43a51d34-7c81-413b-9727-ec9a19d0b428.mspx

IIS 管理对象概述
http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/iisbook/c01_iis_administration_objects.mspx

属性

文章编号: 326902 - 最后修改: 2007年12月3日 - 修订: 6.6
这篇文章中的信息适用于:
  • Microsoft Internet Information Services 6.0
  • Microsoft Internet Information Services 5.0
  • Microsoft Windows NT version 4.0 Option Pack
关键字:?
kbmt kbhowtomaster kbinfo KB326902 KbMtzh
机器翻译
注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。
点击这里察看该文章的英文版: 326902
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com