Select the product you need help with

acl 并使用 MetaACL 元数据库 ACL 权限更改

文章编号: 326902 - 查看本文应用于的产品

查看机器翻译免责声明

点击这里查看逐句中英文对照机器翻译

重要本文包含有关编辑配置数据库的信息。编辑元数据库之前，请验证您有一个备份副本，如果出现问题，可以还原该副本。有关如何执行此操作，请参阅"配置备份/还原"在帮助主题中 Microsoft 管理控制台 (MMC)。

展开全部 | 关闭全部

本文介绍在访问控制列表 (acl) 中如何工作 Microsoft Internet 信息服务器 (IIS) 4.0 或 Microsoft Internet Information Services (IIS) 5.0 配置数据库。元数据库不只受操作系统特定的文件（Metabase.bin）上的 acl，但该文件还具有 ACL 保护的目录本身。

注意Metabase.bin 文件是一个完全符合 X.500 轻型目录访问协议 (LDAP) 目录，并由 Parent\Child 关系中的权限。因此，acl 是在目录上的递归地应用，直到到达根。

本文还介绍了 IIS 元数据库中的 acl 的角色如何为 IIS 4.0 和 IIS 5.0 编辑 acl，和 $ 默认 acl。

回到顶端 | 提供反馈

更多信息

访问控制列表

简介

在该的配置数据库 acl 限制对某些用户帐户，使其在 Metabase.bin 目录中的某些项的访问。两种类型的权限被授予与 acl 中：

ACCESS_ALLOWED_ACE
ACCESS_DENIED_ACE

Microsoft 建议您仅使用 ACCESS_ALLOWED_ACE，因为 Microsoft 不会广泛测试 ACCESS_DENIED_ACE。

因为 ACL 的所有信息都存储在配置数据库本身 MD_ADMIN_ACL 属性中，您可以查看该信息与查看 Adsutil 和 Mdutil 这样的工具的典型配置数据库。

可用权限

当您修改配置数据库 acl 时, 是可用的下列权限：

MD_ACR_UNSECURE_PROPS_READ：授予用户只读访问权限，任何不安全的属性。
MD_ACR_READ：赋予用户读取任何安全或不安全属性的权限。
MD_ACR_ENUM_KEYS：授予用户枚举的任何子节点的所有名称的权限。
MD_ACR_WRITE_DAC：授予用户编写或创建一个 AdminACL 属性在相应的节点的权限。
MD_ACR_WRITE：授予用户修改（包括添加或一组）的权限除外受限制的属性的属性。更多的信息请参阅部分中有关受限制的属性由平台。
MD_ACR_RESTRICTED_WRITE：授予用户修改当前设置为 仅管理员 的任何属性的权限。此权限提供对该注册表项的用户的完全控制。

编辑 acl

警告如果错误地为编辑元数据库，您会导致严重的问题，甚至可能需要重新安装使用元数据库的任何产品。Microsoft 不能保证可以解决问题，如果您错误地编辑元数据库产生。编辑元数据库需要您自担风险。

注意始终备份元数据库之前对其进行编辑。

若要编辑 acl，您可以使用名为 Metaacl.vbs 实用程序。有关详细的信息请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章：

267904

(http://support.microsoft.com/kb/267904/ )

Metaacl.exe 修改 IIS 管理对象的元数据库权限

本示例修改 w3svc 键以管理员的拒绝访问。

警告执行此操作在生产系统上可以是非常危险的并导致 IIS 失败工作正常。本示例仅步骤通过在编辑过程，用于演示目的。

将 Metaacl.vbs 文件复制到 %systemdrive%\Inetpub\Adminscripts 目录中。
单击开始、单击运行，键入 CMD，然后单击 $ 运行以打开命令提示符。
在提示符运行以下命令来更改 Adminscripts 目录：
c:\cd Inetpub\Adminscripts
若要修改位于 IIS 参数： / 本地主机/w3svc，运行以下命令：
c:\Inetpub\Adminscripts>cscript metaacl.vbs IIS://LOCALHOST/W3SVC mydomain\mydomainaccount RW
您收到以下响应：
对于 mydomain\mydomainaccount 添加 ACE。

您可以使用 Metaacl.vbs 添加任何用户的以下权限：

R 读取
W 写
S 受限写入
U 不安全的属性读取
E 枚举项
D 编写 DACL （权限）

由服务器平台的 acl

IIS 4.0

默认 acl 以下列表描述了 IIS 4.0 安装时被放入 Metabase.bin 目录的默认 acl：

LM -
   W3SVC
      BUILTIN\Administrators
        Access: RWSUED
      Everyone
        Access:     E
   MSFTPSVC
      BUILTIN\Administrators
        Access: RWSUED
      Everyone
        Access:     E
   SMTPSVC  
      BUILTIN\Administrators
        Access: RWSUED
      Everyone
        Access:     E
   NNTPSVC
      BUILTIN\Administrators
        Access: RWSUED
      Everyone
        Access:     E

受限制的 acl 以下列表描述了元数据库键属性标记为受限制在默认安装的 IIS 4.0：

MD_ADMIN_ACL
MD_APP_ISOLATED
MD_VR_PATH
MD_ACCESS_PERM
MD_ANONYMOUS_USER_NAME
MD_ANONYMOUS_PWD
MD_MAX_BANDWIDTH
MD_MAX_BANDWIDTH_BLOCKED
MD_ISM_ACCESS_CHECK
MD_FILTER_LOAD_ORDER
MD_FILTER_STATE
MD_FILTER_ENABLED
MD_FILTER_DESCRIPTION
MD_FILTER_FLAGS
MD_FILTER_IMAGE_PATH
MD_SECURE_BINDINGS
MD_SERVER_BINDINGS

IIS 5.0

默认 acl 以下列表描述将被放入 Metabase.bin 目录中，安装 IIS 5.0 时的默认 acl：

LM - 
   W3SVC
      BUILTIN\Administrators
        Access: RWSUED
      Everyone
        Access:     E 
      {IISMachineName}\VS Developers
        Access: RWSUE 
   MSFTPSVC
      BUILTIN\Administrators
        Access: RWSUED
      Everyone
        Access:     E
   SMTPSVC
      BUILTIN\Administrators
        Access: RWSUED
      Everyone
        Access:     E 
   NNTPSVC
      BUILTIN\Administrators
        Access: RWSUED
      Everyone
        Access:     E

受限制的 acl 以下列表描述了元数据库键属性标记为受限制在默认安装的 IIS 5.0：

MD_ADMIN_ACL
MD_APP_ISOLATED
MD_VR_PATH
MD_ACCESS_PERM
MD_ANONYMOUS_USER_NAME
MD_ANONYMOUS_PWD
MD_MAX_BANDWIDTH
MD_MAX_BANDWIDTH_BLOCKED
MD_ISM_ACCESS_CHECK
MD_FILTER_LOAD_ORDER
MD_FILTER_STATE
MD_FILTER_ENABLED
MD_FILTER_DESCRIPTION
MD_FILTER_FLAGS
MD_FILTER_IMAGE_PATH
MD_SECURE_BINDINGS
MD_SERVER_BINDINGS

IIS 6.0

Default ACLs The following list describes the default ACLs that are put in the Metabase.xml directory when IIS 6.0 is installed:

LM – 
     W3SVC 
        NT AUTHORITY\LOCAL SERVICE 
	  Access: R UE 
	NT AUTHORITY\NETWORK SERVICE 
	  Access: R UE 
	{computername}\IIS_WPG 
           Access: R UE 
        BUILTIN\Administrators 
           Access: RWSUED
        {computername}\ASPNET
           Access: R   E 
     W3SVC/Filters
        NT AUTHORITY\LOCAL SERVICE
           Access: RW UE
        NT AUTHORITY\NETWORK SERVIC
           Access: RW UE
        {computername}\IIS_WPG
           Access: RW UE
        BUILTIN\Administrators
           Access: RWSUED
     W3SVC/1/Filters
        NT AUTHORITY\LOCAL SERVICE
           Access: RW UE
        NT AUTHORITY\NETWORK SERVIC
           Access: RW UE
        {computername}\IIS_WPG
           Access: RW UE
        BUILTIN\Administrators
           Access: RWSUED
     W3SVC/AppPools
        NT AUTHORITY\LOCAL SERVICE
           Access:    U
        NT AUTHORITY\NETWORK SERVICE
           Access:    U
       {computername}\IIS_WPG
           Access:    U
        BUILTIN\Administrators
           Access: RWSUED
     W3SVC/INFO
        BUILTIN\Administrators
           Access: RWSUED
     MSFTPSVC 
        BUILTIN\Administrators 
           Access: RWSUED 
     SMTPSVC 
        BUILTIN\Administrators
           Access: RWSUED
        NT AUTHORITY\LOCAL SERVICE
           Access:    UE
        NT AUTHORITY\NETWORK SERVICE
           Access:    UE
     NNTPSVC
        BUILTIN\Administrators
           Access: RWSUED
        NT AUTHORITY\LOCAL SERVICE
           Access:    UE
        NT AUTHORITY\NETWORK SERVICE
           Access:    UE
     Logging
        BUILTIN\Administrators
           Access: RWSUED

Restricted ACLs The following list describes the metabase key properties that are marked as restricted on default installations of IIS 6.0:

MD_ADMIN_ACL
MD_VPROP_ADMIN_ACL_RAW_BINARY
MD_APPPOOL_ORPHAN_ACTION_EXE
MD_APPPOOL_ORPHAN_ACTION_PARAMS
MD_APPPOOL_AUTO_SHUTDOWN_EXE
MD_APPPOOL_AUTO_SHUTDOWN_PARAMS
MD_APPPOOL_IDENTITY_TYPE
MD_APP_APPPOOL_ID
MD_APP_ISOLATED
MD_VR_PATH
MD_ACCESS_PERM
MD_VR_USERNAME
MD_VR_PASSWORD
MD_ANONYMOUS_USER_NAME
MD_ANONYMOUS_PWD
MD_LOGSQL_USER_NAME
MD_LOGSQL_PASSWORD
MD_WAM_USER_NAME
MD_WAM_PWD
MD_AD_CONNECTIONS_USERNAME
MD_AD_CONNECTIONS_PASSWORD
MD_MAX_BANDWIDTH
MD_MAX_BANDWIDTH_BLOCKED
MD_ISM_ACCESS_CHECK
MD_FILTER_LOAD_ORDER
MD_FILTER_ENABLED
MD_FILTER_IMAGE_PATH
MD_SECURE_BINDINGS
MD_SERVER_BINDINGS
MD_ASP_ENABLECLIENTDEBUG
MD_ASP_ENABLESERVERDEBUG
MD_ASP_ENABLEPARENTPATHS
MD_ASP_ERRORSTONTLOG
MD_ASP_KEEPSESSIONIDSECURE
MD_ASP_LOGERRORREQUESTS
MD_ASP_DISKTEMPLATECACHEDIRECTORY
36948 RouteUserName
36949 RoutePassword
36958 SmtpDsPassword
41191 Pop3DsPassword
45461 FeedAccountName
45462 FeedPassword
49384 ImapDsPassword

回到顶端 | 提供反馈

参考

有关 acl 和 IIS 元数据库的详细信息请访问以下 Microsoft 网站：

AdminACL
http://www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/791d575e-5364-45a9-90ef-4dfd23f38d67.mspx

(http://www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/791d575e-5364-45a9-90ef-4dfd23f38d67.mspx)

IIS 元数据库简介
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/iis/43a51d34-7c81-413b-9727-ec9a19d0b428.mspx

(http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/iis/43a51d34-7c81-413b-9727-ec9a19d0b428.mspx)

IIS 管理对象概述
http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/iisbook/c01_iis_administration_objects.mspx

(http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/iisbook/c01_iis_administration_objects.mspx)

回到顶端 | 提供反馈

属性

文章编号: 326902 - 最后修改: 2007年12月3日 - 修订: 6.6

这篇文章中的信息适用于:

Microsoft Internet Information Services 6.0
Microsoft Internet Information Services 5.0
Microsoft Windows NT version 4.0 Option Pack

kbmt kbhowtomaster kbinfo KB326902 KbMtzh

机器翻译

注意：这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇，语法或文法的问题，就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量，但是我们不保证机器翻译的正确度，也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。

点击这里察看该文章的英文版： 326902

(http://support.microsoft.com/kb/326902/en-us/ )

Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性，不作任何声明。所有该等文件及有关图形均"依样"提供，而不带任何性质的保证。Microsoft和/或其各供应商特此声明，对所有与该等信息有关的保证和条件不负任何责任，该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下，在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中，Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

回到顶端 | 提供反馈