IIS 6.0 での既定のアクセス許可とユーザー権利

文書翻訳 文書翻訳
文書番号: 812614 - 対象製品
すべて展開する | すべて折りたたむ

目次

はじめに

この資料では、新しくインストールされたアプリケーション サーバーにインターネット インフォメーション サービス (IIS) 6.0 をインストールした場合の既定のアクセス許可とユーザー権利の割り当てについて説明します。

詳細

以下の表は、NTFS ファイル システムのアクセス許可、レジストリのアクセス許可、および Microsoft Windows ユーザー権利についてまとめたものです。この情報は、インストール済み Windows コンポーネントに Microsoft ASP.NET が含まれている場合に適用されます。この資料では、World Wide Web Publishing Service に焦点を絞り、FTP (File Transfer Protocol) サービス、SMTP (Simple Mail Transfer Protocol) サービス、Microsoft FrontPage Server Extensions (FPSE) などの他のコンポーネントについては考慮しません。

注: この資料では便宜上、IUSR_MachineName アカウントが、構成済みの匿名アカウントと互換性を持つとして使用されています。

NTFS アクセス許可

元に戻す全体を表示する
ディレクトリユーザー\グループアクセス許可
%windir%\help\iishelp\commonAdministratorsフル コントロール
%windir%\help\iishelp\commonSYSTEMフル コントロール
%windir%\help\iishelp\commonIIS_WPG読み取りと実行
%windir%\help\iishelp\commonUsers (注 1 参照)読み取りと実行
%windir%\IIS Temporary Compressed FilesAdministratorsフル コントロール
%windir%\IIS Temporary Compressed FilesSystemフル コントロール
%windir%\IIS Temporary Compressed FilesIIS_WPGフル コントロール
%windir%\IIS Temporary Compressed FilesCREATOR OWNERフル コントロール
%windir%\system32\inetsrvAdministratorsフル コントロール
%windir%\system32\inetsrvSystemフル コントロール
%windir%\system32\inetsrvユーザー読み取りと実行
%windir%\system32\inetsrv\*.vbsAdministratorsフル コントロール
%windir%\system32\inetsrv\ASP compiled templatesAdministratorsフル コントロール
%windir%\system32\inetsrv\ASP compiled templatesIIS_WPGフル コントロール
%windir%\system32\inetsrv\HistoryAdministratorsフル コントロール
%windir%\system32\inetsrv\HistorySystemフル コントロール
%windir%\system32\LogfilesAdministratorsフル コントロール
%windir%\system32\inetsrv\metabackAdministratorsフル コントロール
%windir%\system32\inetsrv\metabackSystemフル コントロール
Inetpub\AdminscriptsAdministratorsフル コントロール
Inetpub\wwwroot (またはコンテンツ ディレクトリ)Administratorsフル コントロール
Inetpub\wwwroot (またはコンテンツ ディレクトリ)Systemフル コントロール
Inetpub\wwwroot (またはコンテンツ ディレクトリ)IIS_WPG読み取りと実行
Inetpub\wwwroot (またはコンテンツ ディレクトリ)IUSR_MachineName読み取りと実行
Inetpub\wwwroot (またはコンテンツ ディレクトリ)ASPNET (注 2 参照)読み取りと実行
注 1: 基本認証または統合認証を使用する場合と、カスタム エラーが構成される場合には、このディレクトリに対するアクセス許可が必要です。たとえば、エラー 401.1 が発生した場合、ログオンしているユーザーには、4011.htm ファイルを読み取るためのアクセス許可がそのユーザーに付与されている場合に限り、詳細なカスタム エラーが正常に表示されます。

注 2: 既定では、ASP.NET は IIS 5.0 分離モードで ASP.NET プロセス ID として使用されます。ASP.NET が IIS 5.0 分離モードに切り替えられた場合、ASP.NET にはコンテンツ エリアへのアクセス権が必要です。ASP.NET プロセスの分離については、IIS ヘルプを参照してください。詳細については、次のマイクロソフト Web サイトを参照してください。

ASP.NET プロセスの分離
http://www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/e409289d-2786-4a34-bb7e-9c546602c2c8.mspx

レジストリのアクセス許可

元に戻す全体を表示する
場所ユーザー\グループアクセス許可
HKLM\System\CurrentControlSet\Services\ASPAdministratorsフル コントロール
HKLM\System\CurrentControlSet\Services\ASPSystemフル コントロール
HKLM\System\CurrentControlSet\Services\ASPIIS_WPG読み取り
HKLM\System\CurrentControlSet\Services\HTTPAdministratorsフル コントロール
HKLM\System\CurrentControlSet\Services\HTTPSystemフル コントロール
HKLM\System\CurrentControlSet\Services\HTTPIIS_WPG読み取り
HKLM\System\CurrentControlSet\Services\IISAdminAdministratorsフル コントロール
HKLM\System\CurrentControlSet\Services\IISAdminSystemフル コントロール
HKLM\System\CurrentControlSet\Services\IISAdminIIS_WPG読み取り
HKLM\System\CurrentControlSet\Services\w3svcAdministratorsフル コントロール
HKLM\System\CurrentControlSet\Services\w3svcSystemフル コントロール
HKLM\System\CurrentControlSet\Services\w3svcIIS_WPG読み取り

Windows ユーザー権利

元に戻す全体を表示する
ポリシーUsers
ネットワーク経由でコンピューターへアクセスAdministrators
ネットワーク経由でコンピューターへアクセスASPNET
ネットワーク経由でコンピューターへアクセスIUSR_MachineName
ネットワーク経由でコンピューターへアクセスIWAM_MachineName
ネットワーク経由でコンピューターへアクセスUsers
プロセスのメモリ クォータの増加Administrators
プロセスのメモリ クォータの増加IWAM_MachineName
プロセスのメモリ クォータの増加LOCAL SERVICE
プロセスのメモリ クォータの増加NETWORK SERVICE
走査チェックのバイパスIIS_WPG
ローカル ログオンを許可する (注 2 を参照)Administrators
ローカル ログオンを許可する (注 2 を参照)IUSR_MachineName
ローカルでログオンを拒否するASPNET
認証後にクライアントを偽装Administrators
認証後にクライアントを偽装ASPNET
認証後にクライアントを偽装IIS_WPG
認証後にクライアントを偽装SERVICE
バッチ ジョブとしてログオンASPNET
バッチ ジョブとしてログオンIIS_WPG
バッチ ジョブとしてログオンIUSR_MachineName
バッチ ジョブとしてログオンIWAM_MachineName
バッチ ジョブとしてログオンLOCAL SERVICE
サービスとしてログオンASPNET
サービスとしてログオンNETWORK SERVICE
プロセス レベル トークンの置き換えIWAM_MachineName
プロセス レベル トークンの置き換えLOCAL SERVICE
プロセス レベル トークンの置き換えNETWORK SERVICE
注 1: IIS 6.0 が搭載された Microsoft Windows Server 2003 の新規の既定のインストール環境では、Users グループと Everyone グループに "走査チェックのバイパス" アクセス許可があります。ワーカー プロセス ID はこれらのグループのいずれかからこのアクセス許可を継承します。両方のグループがこのアクセス許可から削除され、ワーカー プロセス ID が他の割り当てからアクセス許可を継承しない場合、ワーカー プロセスは起動しません。Users グループと Everyone グループを "走査チェックのバイパス" アクセス許可から削除する必要がある場合は、IIS_WPG グループを追加して IIS が予期したとおり機能できるようにします。

注 2: IIS 6.0 では、基本認証が認証オプションの 1 つとして構成された場合、基本認証に対する LogonMethod メタベース プロパティは NETWORK_CLEARTEXT です。NETWORK_CLEARTEXT ログオン タイプは、"ローカル ログオンを許可する" ユーザー権利を必要としません。これは、また、匿名認証にも適用されます。詳細については、IIS ヘルプのトピック「基本認証」の「既定のログオンの種類」、および次のマイクロソフト Web サイトを参照してください。

基本認証
http://www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/cf438d2c-f9c7-4351-bf56-d2ab950d7d6e.mspx

関連情報

IIS セキュリティの実装と管理方法の詳細については、次のマイクロソフト Web サイトを参照してください。

Windows Server 2003 セキュリティ ガイド
http://technet.microsoft.com/ja-jp/library/cc163140.aspx
TechNet
http://technet.microsoft.com/ja-jp/library/dd450371.aspx
Web アプリケーションのセキュリティ強化: 脅威とその対策 (英語情報)
http://msdn.microsoft.com/ja-jp/library/ms994921.aspx
注意 : これは、マイクロソフトのサポート組織内で直接作成された "緊急公開" の資料です。 この資料には、確認中の問題に関する現状ベースの情報が記載されています。 情報提供のスピードを優先するため、資料には誤植が含まれる可能性があり、予告なしに随時改定される場合があります。 その他の考慮事項については、使用条件を参照してください。

プロパティ

文書番号: 812614 - 最終更新日: 2014年1月27日 - リビジョン: 1.0
この資料は以下の製品について記述したものです。
  • Microsoft Internet Information Services 6.0
キーワード: 
kbhowto kbinfo KB812614
Microsoft Knowledge Base の免責: Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。

フィードバック

 

Kontaktieren Sie uns, um weitere Hilfe zu erhalten

Kontaktieren Sie uns, um weitere Hilfe zu erhalten
Wenden Sie sich an den Answer Desk, um professionelle Hilfe zu erhalten.