ACL,並使用 MetaACL Metabase ACL 的權限變更

文章翻譯 文章翻譯
文章編號: 326902 - 檢視此文章適用的產品。
重要 本文包含有關編輯中繼庫的資訊。編輯中繼庫之前請確認您有問題發生時,可以還原的備份複本。有關如何執行這項作業,請參閱 」 設定備份/還原 > 說明主題中 Microsoft 管理主控台 (MMC)]。
全部展開 | 全部摺疊

在此頁中

結論

本文將告訴您,如何存取控制清單 (ACL) 在 Microsoft 網際網路資訊伺服器 (IIS) 4.0 或 Microsoft 網際網路資訊服務 (IIS) 5.0 Metabase 中運作。Metabase 不只受作業系統特定檔案 (Metabase.bin) 上的 ACL,但檔案也有 ACL 保護本身的目錄中。

附註Metabase.bin 檔案完全相容的 X.500 輕量型目錄存取通訊協定 (LDAP) 目錄,而且由 Parent\Child 關係中的權限。因此,ACL 是目錄向上遞迴套用,直到到達根。

本文也將告訴您在 IIS] Metabase 中的 ACL 的角色如何編輯 ACL 及預設 ACL IIS 4.0 和 IIS 5.0。

其他相關資訊

存取控制清單

簡介

在 [Metabase ACL 限制 Metabase.bin 目錄中的某些索引鍵的特定使用者帳戶的存取。兩種類型的權限授與使用 ACL:
  • ACCESS_ALLOWED_ACE
  • ACCESS_DENIED_ACE
Microsoft 建議您只使用 ACCESS_ALLOWED_ACE,因為 Microsoft 不會廣泛地測試 ACCESS_DENIED_ACE

因為所有的 ACL 資訊儲存在 Metabase 本身 MD_ADMIN_ACL 屬性中,您可以與典型的 Metabase 檢視工具 (如 Adsutil 及 Mdutil 檢視資訊。

可用的權限

當您修改 Metabase ACL 時, 是可用的下列權限:
  • MD_ACR_UNSECURE_PROPS_READ: 給予使用者唯讀存取權給任何非安全性的屬性。
  • MD_ACR_READ: 可提供使用者讀取權限給任何安全或非安全性的屬性。
  • MD_ACR_ENUM_KEYS: 給予使用者權列舉所有名稱的任何子節點。
  • MD_ACR_WRITE_DAC: 給予使用者權限寫入或建立 AdminACL 屬性在對應的節點。
  • MD_ACR_WRITE: 給予使用者權限 (包括加入或一組) 修改屬性除外受限制的屬性。如需詳細資訊請參閱由平台的受限制的內容的相關一節。
  • MD_ACR_RESTRICTED_WRITE: 給予使用者權限修改目前設定為 [只有系統管理員 的任何屬性。此權限能提供完整的控制,該機碼給使用者。

編輯 ACL

警告 如果您不正確地編輯中繼庫可能會導致嚴重的問題,甚至必須重新安裝任何使用中繼庫的產品。Microsoft 無法保證可以獲得解決的問題,因此,如果您不正確地編輯中繼庫產生。編輯中繼庫,請自行負擔相關的風險。

附註 永遠中繼庫之前先備份您編輯它。

若要編輯 ACL,您可以使用名為 Metaacl.vbs 一個公用程式。 如需詳細資訊,請按一下下列的文件編號,檢視 「 Microsoft 知識庫 」 中的文件:
267904Metaacl.exe 修改 IIS 管理物件的中繼庫權限
本範例修改 w3svc 鍵為系統管理員拒絕存取。

警告生產系統上執行這項操作可以是非常危險,並導致 IIS 失敗如設計運作。本範例只會逐一編輯程序,供示範之用。
  1. 將 Metaacl.vbs 檔案複製到 %systemdrive%\Inetpub\Adminscripts 目錄。
  2. 按一下 [開始]、 按一下 [執行]、 輸入 CMD,然後按一下 [[執行] 以開啟命令提示字元]。
  3. 在提示執行下列命令,變更到 Adminscripts 目錄:
    c:\cd Inetpub\Adminscripts
    					
  4. 若要修改參數位於 IIS: / LOCALHOST/W3SVC,執行下列命令:
    c:\Inetpub\Adminscripts>cscript metaacl.vbs IIS://LOCALHOST/W3SVC mydomain\mydomainaccount RW
    
    					
    您會收到下列回應:
    加入 mydomain\mydomainaccount 的 ACE。
您可以新增下列權限的任何使用者使用 Metaacl.vbs:
  • R 讀取
  • W 寫入
  • S 限制寫入
  • U 不安全的內容讀取
  • E 列舉機碼
  • D 寫入 DACL (權限)

由伺服器平台的 ACL

IIS 4.0

  • 預設 ACL 下列清單說明 IIS 4.0 安裝時,會放置在 Metabase.bin 目錄中的預設 ACL:
    LM -
       W3SVC
          BUILTIN\Administrators
            Access: RWSUED
          Everyone
            Access:     E
       MSFTPSVC
          BUILTIN\Administrators
            Access: RWSUED
          Everyone
            Access:     E
       SMTPSVC  
          BUILTIN\Administrators
            Access: RWSUED
          Everyone
            Access:     E
       NNTPSVC
          BUILTIN\Administrators
            Access: RWSUED
          Everyone
            Access:     E
    					
  • 受限制的 ACL 下列清單說明 Metabase 機碼屬性標示為受限制的預設安裝的 IIS 4.0 上:
    MD_ADMIN_ACL
    MD_APP_ISOLATED
    MD_VR_PATH
    MD_ACCESS_PERM
    MD_ANONYMOUS_USER_NAME
    MD_ANONYMOUS_PWD
    MD_MAX_BANDWIDTH
    MD_MAX_BANDWIDTH_BLOCKED
    MD_ISM_ACCESS_CHECK
    MD_FILTER_LOAD_ORDER
    MD_FILTER_STATE
    MD_FILTER_ENABLED
    MD_FILTER_DESCRIPTION
    MD_FILTER_FLAGS
    MD_FILTER_IMAGE_PATH
    MD_SECURE_BINDINGS
    MD_SERVER_BINDINGS
    					

IIS 5.0

  • 預設 ACL 下列清單說明 IIS 5.0 安裝時,會放置在 Metabase.bin 目錄中的預設 ACL:
    LM - 
       W3SVC
          BUILTIN\Administrators
            Access: RWSUED
          Everyone
            Access:     E 
          {IISMachineName}\VS Developers
            Access: RWSUE 
       MSFTPSVC
          BUILTIN\Administrators
            Access: RWSUED
          Everyone
            Access:     E
       SMTPSVC
          BUILTIN\Administrators
            Access: RWSUED
          Everyone
            Access:     E 
       NNTPSVC
          BUILTIN\Administrators
            Access: RWSUED
          Everyone
            Access:     E 
    					
  • 受限制的 ACL 下列清單說明 Metabase 機碼屬性標示為受限制的預設安裝的 IIS 5.0 上:
    MD_ADMIN_ACL
    MD_APP_ISOLATED
    MD_VR_PATH
    MD_ACCESS_PERM
    MD_ANONYMOUS_USER_NAME
    MD_ANONYMOUS_PWD
    MD_MAX_BANDWIDTH
    MD_MAX_BANDWIDTH_BLOCKED
    MD_ISM_ACCESS_CHECK
    MD_FILTER_LOAD_ORDER
    MD_FILTER_STATE
    MD_FILTER_ENABLED
    MD_FILTER_DESCRIPTION
    MD_FILTER_FLAGS
    MD_FILTER_IMAGE_PATH
    MD_SECURE_BINDINGS
    MD_SERVER_BINDINGS
    					

IIS 6.0

  • Default ACLs The following list describes the default ACLs that are put in the Metabase.xml directory when IIS 6.0 is installed:
    LM – 
         W3SVC 
            NT AUTHORITY\LOCAL SERVICE 
    	  Access: R UE 
    	NT AUTHORITY\NETWORK SERVICE 
    	  Access: R UE 
    	{computername}\IIS_WPG 
               Access: R UE 
            BUILTIN\Administrators 
               Access: RWSUED
            {computername}\ASPNET
               Access: R   E 
         W3SVC/Filters
            NT AUTHORITY\LOCAL SERVICE
               Access: RW UE
            NT AUTHORITY\NETWORK SERVIC
               Access: RW UE
            {computername}\IIS_WPG
               Access: RW UE
            BUILTIN\Administrators
               Access: RWSUED
         W3SVC/1/Filters
            NT AUTHORITY\LOCAL SERVICE
               Access: RW UE
            NT AUTHORITY\NETWORK SERVIC
               Access: RW UE
            {computername}\IIS_WPG
               Access: RW UE
            BUILTIN\Administrators
               Access: RWSUED
         W3SVC/AppPools
            NT AUTHORITY\LOCAL SERVICE
               Access:    U
            NT AUTHORITY\NETWORK SERVICE
               Access:    U
           {computername}\IIS_WPG
               Access:    U
            BUILTIN\Administrators
               Access: RWSUED
         W3SVC/INFO
            BUILTIN\Administrators
               Access: RWSUED
         MSFTPSVC 
            BUILTIN\Administrators 
               Access: RWSUED 
         SMTPSVC 
            BUILTIN\Administrators
               Access: RWSUED
            NT AUTHORITY\LOCAL SERVICE
               Access:    UE
            NT AUTHORITY\NETWORK SERVICE
               Access:    UE
         NNTPSVC
            BUILTIN\Administrators
               Access: RWSUED
            NT AUTHORITY\LOCAL SERVICE
               Access:    UE
            NT AUTHORITY\NETWORK SERVICE
               Access:    UE
         Logging
            BUILTIN\Administrators
               Access: RWSUED 
    						
  • Restricted ACLs The following list describes the metabase key properties that are marked as restricted on default installations of IIS 6.0:
    MD_ADMIN_ACL
    MD_VPROP_ADMIN_ACL_RAW_BINARY
    MD_APPPOOL_ORPHAN_ACTION_EXE
    MD_APPPOOL_ORPHAN_ACTION_PARAMS
    MD_APPPOOL_AUTO_SHUTDOWN_EXE
    MD_APPPOOL_AUTO_SHUTDOWN_PARAMS
    MD_APPPOOL_IDENTITY_TYPE
    MD_APP_APPPOOL_ID
    MD_APP_ISOLATED
    MD_VR_PATH
    MD_ACCESS_PERM
    MD_VR_USERNAME
    MD_VR_PASSWORD
    MD_ANONYMOUS_USER_NAME
    MD_ANONYMOUS_PWD
    MD_LOGSQL_USER_NAME
    MD_LOGSQL_PASSWORD
    MD_WAM_USER_NAME
    MD_WAM_PWD
    MD_AD_CONNECTIONS_USERNAME
    MD_AD_CONNECTIONS_PASSWORD
    MD_MAX_BANDWIDTH
    MD_MAX_BANDWIDTH_BLOCKED
    MD_ISM_ACCESS_CHECK
    MD_FILTER_LOAD_ORDER
    MD_FILTER_ENABLED
    MD_FILTER_IMAGE_PATH
    MD_SECURE_BINDINGS
    MD_SERVER_BINDINGS
    MD_ASP_ENABLECLIENTDEBUG
    MD_ASP_ENABLESERVERDEBUG
    MD_ASP_ENABLEPARENTPATHS
    MD_ASP_ERRORSTONTLOG
    MD_ASP_KEEPSESSIONIDSECURE
    MD_ASP_LOGERRORREQUESTS
    MD_ASP_DISKTEMPLATECACHEDIRECTORY
    36948 RouteUserName
    36949 RoutePassword
    36958 SmtpDsPassword
    41191 Pop3DsPassword
    45461 FeedAccountName
    45462 FeedPassword
    49384 ImapDsPassword
    						

?考

如需有關 ACL 和 IIS Metabase 的詳細資訊,請造訪下列 Microsoft 網站:
AdminACL
http://www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/791d575e-5364-45a9-90ef-4dfd23f38d67.mspx

IIS Metabase 的簡介
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/iis/43a51d34-7c81-413b-9727-ec9a19d0b428.mspx

IIS 管理物件概觀
http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/iisbook/c01_iis_administration_objects.mspx

屬性

文章編號: 326902 - 上次校閱: 2007年12月3日 - 版次: 6.6
這篇文章中的資訊適用於:
  • Microsoft Internet Information Services 6.0
  • Microsoft Internet Information Services 5.0
  • Microsoft Windows NT version 4.0 Option Pack
關鍵字:?
kbmt kbhowtomaster kbinfo KB326902 KbMtzh
機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:326902
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com