قوائم التحكم في الوصول واستخدام MetaACL لقاعدة التعريف ACL تغييرات الأذونات

هام: تتضمن هذه المقالة معلومات حول كيفية تحرير قاعدة التعريف. قبل تحرير قاعدة التعريف، تحقق من وجود نسخة احتياطية يمكنك استعادة حالة حدوث مشكلة. لمزيد من المعلومات حول كيفية القيام بذلك، راجع موضوع التعليمات "تكوين النسخ الاحتياطي/الاستعادة" في Microsoft Management Console (MMC).

ملخص

توضح هذه المقالة كيفية عمل "قوائم التحكم بالوصول" (ACLs) في Microsoft Internet Information Server (IIS) 4.0 أو Microsoft معلومات خدمات التعريف الإنترنت (IIS) 5.0. غير محمي قاعدة التعريف فقط بنظام التشغيل Acl على ملف معين (Metabase.bin)، لكن الملف أيضا حماية ACL في الدليل نفسه.


ملاحظة: الملف Metabase.bin دليل X.500 دليل بروتوكول وصول الخفيف (LDAP) متوافقة تماما وتخضع الأذونات في علاقة Parent\Child. لذلك، يتم ACLs المطبقة بشكل متكرر إعداد الدليل حتى يتم الوصول إلى الجذر.


توضح هذه المقالة أيضا دور Acl في قاعدة تعريف IIS، كيفية تحرير قوائم التحكم في الوصول، وقوائم Acl الافتراضي ل IIS 4.0 و IIS 5.0.

مزيد من المعلومات

قوائم التحكم بالوصول

مقدمة

في قاعدة التعريف، ACLs تقييد الوصول إلى بعض حسابات المستخدمين مفاتيح معينة في الدليل Metabase.bin. يتم منح نوعان من الأذونات باستخدام قوائم التحكم بالوصول:

  • ACCESS_ALLOWED_ACE
  • ACCESS_DENIED_ACE
توصي Microsoft باستخدام فقط ACCESS_ALLOWED_ACE لأن Microsoft لا اختبار مكثف ACCESS_DENIED_ACE.


لأنه يتم تخزين كافة معلومات ACL في قاعدة التعريف نفسه في الخاصية MD_ADMIN_ACL ، يمكنك عرض المعلومات بقاعدة التعريف النموذجي عرض أدوات مثل Adsutil و Mdutil.


الحقوق المتوفرة

عند تعديل قاعدة التعريف ACLs، الحقوق التالية متوفرة:

  • MD_ACR_UNSECURE_PROPS_READ: يوفر وصول القراءة فقط مستخدم إلى أي خاصية غير آمنة.
  • MD_ACR_READ: منح مستخدم قراءة حقوق الملكية أي آمنة أو غير آمنة.
  • MD_ACR_ENUM_KEYS: يمنح مستخدم الحق في تعداد كافة أسماء أي عقد تابعة.
  • MD_ACR_WRITE_DAC: يمنح مستخدم حق الكتابة أو قم بإنشاء خاصية AdminACL في عقده المقابلة.
  • MD_ACR_WRITE: يمنح مستخدم الحق في تعديل (بما في ذلك إضافة أو مجموعة) خصائص عدا خصائص مقيدة. لمزيد من المعلومات، راجع المقطع حول خصائص مقيدة بالنظام الأساسي.
  • MD_ACR_RESTRICTED_WRITE: يمنح مستخدم الحق في تعديل أي الخصائص التي تم تعيينها حاليا إلى مسؤول فقط. يعطي هذا الإذن السيطرة الكاملة لهذا المفتاح إلى مستخدم.

تحرير قوائم التحكم في الوصول

تحذير إذا قمت بتحرير قاعدة التعريف بطريقة غير صحيحة، يمكن أن يسبب حدوث مشكلات خطيرة يلزم معها إعادة تثبيت أي منتج يستخدم قاعدة التعريف. لا تضمن Microsoft أن تتمكن من حل المشكلات التي تنتج إذا قمت بتحرير قاعدة التعريف بطريقة غير صحيحة. تحرير قاعدة التعريف على مسؤوليتك الخاصة.

ملاحظة: دائماً احتياطي قاعدة التعريف قبل تحريره.


لتحرير قوائم Acl، يمكنك استخدام أداة مساعدة تسمى Metaacl.vbs.
لمزيد من المعلومات، انقر فوق رقم المقالة التالية لعرضها في "قاعدة معارف Microsoft":

تعديل أذونات قاعدة تعريف IIS Admin الكائنات Metaacl.exe 267904

هذا المثال يقوم بتعديل مفتاح w3svc لرفض الوصول للمسؤولين.

تحذير القيام بذلك في نظام إنتاج يمكن بالغة الخطورة ويؤدي إلى تفشل كما تصميم IIS. هذا المثال على بعد خطوات من خلال عملية التحرير لأغراض العرض التوضيحي.

  1. نسخ ملف Metaacl.vbs إلى الدليل %systemdrive%\Inetpub\Adminscripts.
  2. انقر فوق ابدأثم انقر فوق تشغيل، اكتب CMDوانقر فوق تشغيل لفتح موجه الأوامر.
  3. في موجه الأوامر، تشغيل الأمر التالي للتغيير إلى الدليل Adminscripts:
    c:\cd Inetpub\Adminscripts
  4. لتعديل المعلمات الموجودة في IIS://LOCALHOST/W3SVC، بتشغيل الأمر التالي:
    c:\Inetpub\Adminscripts>cscript metaacl.vbs IIS://LOCALHOST/W3SVC mydomain\mydomainaccount RW

    تتلقي الاستجابة التالية:

    ACE لإضافة mydomain\mydomainaccount.
يمكنك استخدام Metaacl.vbs لإضافة الحقوق التالية لأي مستخدم:

  • R-القراءة
  • W-الكتابة
  • S-تقييد الكتابة
  • U-إلغاء تأمين قراءة خصائص
  • هاء-تعداد المفاتيح
  • د-كتابة DACL (الأذونات)

قوائم التحكم بالوصول بالنظام الأساسي

IIS 4.0

  • تصف القائمة التالية الافتراضي قوائم التحكم بالوصول (acls) الافتراضية التي يتم وضع في الدليل Metabase.bin عندما يتم تثبيت IIS 4.0:
    LM -   W3SVC
    BUILTIN\Administrators
    Access: RWSUED
    Everyone
    Access: E
    MSFTPSVC
    BUILTIN\Administrators
    Access: RWSUED
    Everyone
    Access: E
    SMTPSVC
    BUILTIN\Administrators
    Access: RWSUED
    Everyone
    Access: E
    NNTPSVC
    BUILTIN\Administrators
    Access: RWSUED
    Everyone
    Access: E

  • ACLs مقيد تصف القائمة التالية خصائص مفتاح قاعدة التعريف التي تم وضع علامة مقيد على عمليات التثبيت الافتراضية ل IIS 4.0:

    MD_ADMIN_ACLMD_APP_ISOLATED
    MD_VR_PATH
    MD_ACCESS_PERM
    MD_ANONYMOUS_USER_NAME
    MD_ANONYMOUS_PWD
    MD_MAX_BANDWIDTH
    MD_MAX_BANDWIDTH_BLOCKED
    MD_ISM_ACCESS_CHECK
    MD_FILTER_LOAD_ORDER
    MD_FILTER_STATE
    MD_FILTER_ENABLED
    MD_FILTER_DESCRIPTION
    MD_FILTER_FLAGS
    MD_FILTER_IMAGE_PATH
    MD_SECURE_BINDINGS
    MD_SERVER_BINDINGS

IIS 5.0

  • تصف القائمة التالية الافتراضي قوائم التحكم بالوصول (acls) الافتراضية التي يتم وضع في الدليل Metabase.bin عندما يتم تثبيت IIS 5.0:

    LM -    W3SVC
    BUILTIN\Administrators
    Access: RWSUED
    Everyone
    Access: E
    {IISMachineName}\VS Developers
    Access: RWSUE
    MSFTPSVC
    BUILTIN\Administrators
    Access: RWSUED
    Everyone
    Access: E
    SMTPSVC
    BUILTIN\Administrators
    Access: RWSUED
    Everyone
    Access: E
    NNTPSVC
    BUILTIN\Administrators
    Access: RWSUED
    Everyone
    Access: E

  • ACLs مقيد تصف القائمة التالية خصائص مفتاح قاعدة التعريف التي تم وضع علامة مقيد على عمليات التثبيت الافتراضي ل IIS 5.0:

    MD_ADMIN_ACLMD_APP_ISOLATED
    MD_VR_PATH
    MD_ACCESS_PERM
    MD_ANONYMOUS_USER_NAME
    MD_ANONYMOUS_PWD
    MD_MAX_BANDWIDTH
    MD_MAX_BANDWIDTH_BLOCKED
    MD_ISM_ACCESS_CHECK
    MD_FILTER_LOAD_ORDER
    MD_FILTER_STATE
    MD_FILTER_ENABLED
    MD_FILTER_DESCRIPTION
    MD_FILTER_FLAGS
    MD_FILTER_IMAGE_PATH
    MD_SECURE_BINDINGS
    MD_SERVER_BINDINGS

IIS 6.0

  • تصف القائمة التالية (acls) الافتراضية التي يتم وضعه في دليل Metabase.xml عندما يتم تثبيت IIS 6.0 ACLs الافتراضي:
    LM –      W3SVC 
    NT AUTHORITY\LOCAL SERVICE
    Access: R UE
    NT AUTHORITY\NETWORK SERVICE
    Access: R UE
    {computername}\IIS_WPG
    Access: R UE
    BUILTIN\Administrators
    Access: RWSUED
    {computername}\ASPNET
    Access: R E
    W3SVC/Filters
    NT AUTHORITY\LOCAL SERVICE
    Access: RW UE
    NT AUTHORITY\NETWORK SERVIC
    Access: RW UE
    {computername}\IIS_WPG
    Access: RW UE
    BUILTIN\Administrators
    Access: RWSUED
    W3SVC/1/Filters
    NT AUTHORITY\LOCAL SERVICE
    Access: RW UE
    NT AUTHORITY\NETWORK SERVIC
    Access: RW UE
    {computername}\IIS_WPG
    Access: RW UE
    BUILTIN\Administrators
    Access: RWSUED
    W3SVC/AppPools
    NT AUTHORITY\LOCAL SERVICE
    Access: U
    NT AUTHORITY\NETWORK SERVICE
    Access: U
    {computername}\IIS_WPG
    Access: U
    BUILTIN\Administrators
    Access: RWSUED
    W3SVC/INFO
    BUILTIN\Administrators
    Access: RWSUED
    MSFTPSVC
    BUILTIN\Administrators
    Access: RWSUED
    SMTPSVC
    BUILTIN\Administrators
    Access: RWSUED
    NT AUTHORITY\LOCAL SERVICE
    Access: UE
    NT AUTHORITY\NETWORK SERVICE
    Access: UE
    NNTPSVC
    BUILTIN\Administrators
    Access: RWSUED
    NT AUTHORITY\LOCAL SERVICE
    Access: UE
    NT AUTHORITY\NETWORK SERVICE
    Access: UE
    Logging
    BUILTIN\Administrators
    Access: RWSUED

  • ACLs مقيد تصف القائمة التالية خصائص مفتاح قاعدة التعريف التي تم وضع علامة مقيد على عمليات التثبيت الافتراضي ل IIS 6.0:

    MD_ADMIN_ACLMD_VPROP_ADMIN_ACL_RAW_BINARY
    MD_APPPOOL_ORPHAN_ACTION_EXE
    MD_APPPOOL_ORPHAN_ACTION_PARAMS
    MD_APPPOOL_AUTO_SHUTDOWN_EXE
    MD_APPPOOL_AUTO_SHUTDOWN_PARAMS
    MD_APPPOOL_IDENTITY_TYPE
    MD_APP_APPPOOL_ID
    MD_APP_ISOLATED
    MD_VR_PATH
    MD_ACCESS_PERM
    MD_VR_USERNAME
    MD_VR_PASSWORD
    MD_ANONYMOUS_USER_NAME
    MD_ANONYMOUS_PWD
    MD_LOGSQL_USER_NAME
    MD_LOGSQL_PASSWORD
    MD_WAM_USER_NAME
    MD_WAM_PWD
    MD_AD_CONNECTIONS_USERNAME
    MD_AD_CONNECTIONS_PASSWORD
    MD_MAX_BANDWIDTH
    MD_MAX_BANDWIDTH_BLOCKED
    MD_ISM_ACCESS_CHECK
    MD_FILTER_LOAD_ORDER
    MD_FILTER_ENABLED
    MD_FILTER_IMAGE_PATH
    MD_SECURE_BINDINGS
    MD_SERVER_BINDINGS
    MD_ASP_ENABLECLIENTDEBUG
    MD_ASP_ENABLESERVERDEBUG
    MD_ASP_ENABLEPARENTPATHS
    MD_ASP_ERRORSTONTLOG
    MD_ASP_KEEPSESSIONIDSECURE
    MD_ASP_LOGERRORREQUESTS
    MD_ASP_DISKTEMPLATECACHEDIRECTORY
    36948 RouteUserName
    36949 RoutePassword
    36958 SmtpDsPassword
    41191 Pop3DsPassword
    45461 FeedAccountName
    45462 FeedPassword
    49384 ImapDsPassword

المراجع

لمزيد من المعلومات حول قوائم Acl وقاعدة تعريف IIS، قم بزيارة مواقع Microsoft التالية على الويب:

خصائص

رقم الموضوع: 326902 - آخر مراجعة: 15‏/01‏/2017 - المراجعة: 1

تعليقات