Seznamy ACL a pomocí MetaACL metabáze ACL změny oprávnění

Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.

Projděte si také anglickou verzi článku:326902
Důležité Tento článek obsahuje informace o úpravě metabáze. Před úpravou metabázi ověřte, zda máte záložní kopii, která je možné obnovit v případě, že dojde k potížím. Informace o tomto postupu naleznete v tématu nápovědy "zálohování či obnovení konfigurace" v konzole MMC (konzola Microsoft Management Console).
Souhrn
Tento článek popisuje, jak seznamy řízení přístupu (ACL) pracovat v Internet Information Server (IIS) 4.0 nebo metabáze (IIS) 5.0. Metabáze není pouze chráněn ACL na určitý soubor (Metabase.bin) operačního systému, ale také má soubor ACL ochrany v adresáři sám.

Poznámka: Soubor Metabase.bin je plně kompatibilní s adresářů X.500 Lightweight Directory Access Protocol (LDAP) a řídí oprávnění ve vztahu Parent\Child. ACL proto jsou používána opakovaně až do adresáře, dokud není dosaženo kořenové.

Tento článek také popisuje roli ACL v metabázi IIS úpravy seznamů ACL a výchozí seznamy ACL pro službu IIS 4.0 a 5.0.
Další informace

Seznamy řízení přístupu

Úvod

V metabázi seznamy ACL omezit přístup z určitých uživatelských účtů k určitým klíčům v adresáři Metabase.bin. Dva typy oprávnění jsou udělena s ACL:
  • ACCESS_ALLOWED_ACE
  • ACCESS_DENIED_ACE
Společnost Microsoft doporučuje používat pouze ACCESS_ALLOWED_ACE protože Microsoft rozsáhlé testování ACCESS_DENIED_ACE.

Protože všechny informace o seznamu ACL je uložena v metabázi sám v MD_ADMIN_ACL Vlastnost, můžete zobrazit informace s typickou metabáze zobrazení nástrojů Adsutil a Mdutil.

K dispozici práva

Při úpravě metabáze ACL, jsou k dispozici následující práva:
  • MD_ACR_UNSECURE_PROPS_READ: Poskytuje uživateli přístup jen pro čtení k libovolné vlastnosti nezabezpečené.
  • MD_ACR_READ: Poskytuje uživateli čtení práva na jakoukoliv vlastnost, zabezpečené nebo nezabezpečené.
  • MD_ACR_ENUM_KEYS: Poskytuje uživateli právo provést výčet všech názvů všech podřízených uzlů.
  • MD_ACR_WRITE_DAC: Opravňuje uživatele k psaní nebo vytvoření AdminACL Vlastnost odpovídajícího uzlu.
  • MD_ACR_WRITE: Dává uživateli právo upravit (včetně přidání nebo sadu) vlastnosti kromě vlastností s omezeným přístupem. Další informace naleznete v části o omezené vlastnosti platformou.
  • KONSTANTA MD_ACR_RESTRICTED_WRITE: Dává uživateli právo upravit jakoukoliv vlastnost, která je aktuálně nastavena na Pouze správce. Toto oprávnění umožňuje uživateli klíč úplné řízení.

Úpravy seznamů řízení přístupu

Upozornění Pokud upravíte metabázi nesprávně, můžete způsobit vážné problémy, které mohou vyžadovat přeinstalaci každého produktu, jenž metabázi využívá. Společnost Microsoft nemůže zaručit, že potíže vzniklé v důsledku nesprávné úpravy metabáze budete moci vyřešit. Metabázi upravujete na vlastní nebezpečí.

Poznámka: Před úpravou metabázi vždy zálohujte.

Chcete-li upravit seznamy ACL, použijete nástroj s názvem Metaacl.vbs.Další informace získáte klepnutím na následující číslo článku databáze Microsoft Knowledge Base:
267904Úpravy metabáze oprávnění pro objekty IIS Admin Object Metaacl.exe
V tomto příkladu změní W3SVC klíč k odepření přístupu pro správce.

Upozornění Tím ve výrobním systému lze velmi nebezpečné a způsobit selhání funkce podporovány služby IIS. Tento příklad pouze prostřednictvím procesu úprav pro demonstrační účely kroky.
  1. Zkopírujte soubor Metaacl.vbs do adresáře %systemdrive%\Inetpub\Adminscripts.
  2. Klepněte na tlačítko Spustit, klepněte na tlačítko Spustit, typ CMDa klepněte na tlačítko Spustit Otevřete příkazový řádek.
  3. Do příkazového řádku spusťte následující příkaz, který do adresáře Adminscripts:
    c:\cd Inetpub\Adminscripts					
  4. Chcete upravit parametry umístěné na adrese IIS: / / LOCALHOST/W3SVC, spusťte následující příkaz:
    c:\Inetpub\Adminscripts>cscript metaacl.vbs IIS://LOCALHOST/W3SVC mydomain\mydomainaccount RW					
    Obdržíte následující odezvu:
    ACE pro mydomain\mydomainaccount, přidali.
Metaacl.vbs lze přidat následující práva pro všechny uživatele:
  • R - čtení
  • W - zápis
  • S - zápis omezeným přístupem
  • U - nezabezpečené číst vlastnosti
  • E - výčet klíčů
  • D - zápis DACL (oprávnění)

Seznamy ACL platformou server

SLUŽBA IIS 4.0

  • Výchozí seznamy řízení přístupuNásledující seznam popisuje výchozí seznamy ACL, které jsou umístěny v adresáři Metabase.bin při instalaci služby IIS 4.0:
    LM -   W3SVC      BUILTIN\Administrators        Access: RWSUED      Everyone        Access:     E   MSFTPSVC      BUILTIN\Administrators        Access: RWSUED      Everyone        Access:     E   SMTPSVC        BUILTIN\Administrators        Access: RWSUED      Everyone        Access:     E   NNTPSVC      BUILTIN\Administrators        Access: RWSUED      Everyone        Access:     E					
  • Seznamy ACL s omezeným přístupemNásledující seznam popisuje klíčové vlastnosti metabáze, které jsou označeny jako omezeno na výchozí instalace služby IIS 4.0:
    MD_ADMIN_ACLMD_APP_ISOLATEDMD_VR_PATHMD_ACCESS_PERMMD_ANONYMOUS_USER_NAMEMD_ANONYMOUS_PWDMD_MAX_BANDWIDTHMD_MAX_BANDWIDTH_BLOCKEDMD_ISM_ACCESS_CHECKMD_FILTER_LOAD_ORDERMD_FILTER_STATEMD_FILTER_ENABLEDMD_FILTER_DESCRIPTIONMD_FILTER_FLAGSMD_FILTER_IMAGE_PATHMD_SECURE_BINDINGSMD_SERVER_BINDINGS					

SLUŽBA IIS 5.0

  • Výchozí seznamy řízení přístupuNásledující seznam popisuje výchozí seznamy ACL, které jsou umístěny v adresáři Metabase.bin při instalaci služby IIS 5.0:
    LM -    W3SVC      BUILTIN\Administrators        Access: RWSUED      Everyone        Access:     E       {IISMachineName}\VS Developers        Access: RWSUE    MSFTPSVC      BUILTIN\Administrators        Access: RWSUED      Everyone        Access:     E   SMTPSVC      BUILTIN\Administrators        Access: RWSUED      Everyone        Access:     E    NNTPSVC      BUILTIN\Administrators        Access: RWSUED      Everyone        Access:     E 					
  • Seznamy ACL s omezeným přístupemNásledující seznam popisuje klíčové vlastnosti metabáze, které jsou označeny jako omezeno na výchozí instalace služby IIS 5.0:
    MD_ADMIN_ACLMD_APP_ISOLATEDMD_VR_PATHMD_ACCESS_PERMMD_ANONYMOUS_USER_NAMEMD_ANONYMOUS_PWDMD_MAX_BANDWIDTHMD_MAX_BANDWIDTH_BLOCKEDMD_ISM_ACCESS_CHECKMD_FILTER_LOAD_ORDERMD_FILTER_STATEMD_FILTER_ENABLEDMD_FILTER_DESCRIPTIONMD_FILTER_FLAGSMD_FILTER_IMAGE_PATHMD_SECURE_BINDINGSMD_SERVER_BINDINGS					

SLUŽBA IIS 6.0

  • Výchozí seznamy řízení přístupuNásledující seznam popisuje výchozí seznamy ACL, které jsou umístěny v adresáři Metabase.xml při instalaci služby IIS 6.0:
    LM –      W3SVC         NT AUTHORITY\LOCAL SERVICE 	  Access: R UE 	NT AUTHORITY\NETWORK SERVICE 	  Access: R UE 	{computername}\IIS_WPG            Access: R UE         BUILTIN\Administrators            Access: RWSUED        {computername}\ASPNET           Access: R   E      W3SVC/Filters        NT AUTHORITY\LOCAL SERVICE           Access: RW UE        NT AUTHORITY\NETWORK SERVIC           Access: RW UE        {computername}\IIS_WPG           Access: RW UE        BUILTIN\Administrators           Access: RWSUED     W3SVC/1/Filters        NT AUTHORITY\LOCAL SERVICE           Access: RW UE        NT AUTHORITY\NETWORK SERVIC           Access: RW UE        {computername}\IIS_WPG           Access: RW UE        BUILTIN\Administrators           Access: RWSUED     W3SVC/AppPools        NT AUTHORITY\LOCAL SERVICE           Access:    U        NT AUTHORITY\NETWORK SERVICE           Access:    U       {computername}\IIS_WPG           Access:    U        BUILTIN\Administrators           Access: RWSUED     W3SVC/INFO        BUILTIN\Administrators           Access: RWSUED     MSFTPSVC         BUILTIN\Administrators            Access: RWSUED      SMTPSVC         BUILTIN\Administrators           Access: RWSUED        NT AUTHORITY\LOCAL SERVICE           Access:    UE        NT AUTHORITY\NETWORK SERVICE           Access:    UE     NNTPSVC        BUILTIN\Administrators           Access: RWSUED        NT AUTHORITY\LOCAL SERVICE           Access:    UE        NT AUTHORITY\NETWORK SERVICE           Access:    UE     Logging        BUILTIN\Administrators           Access: RWSUED 						
  • Seznamy ACL s omezeným přístupemNásledující seznam popisuje klíčové vlastnosti metabáze, které jsou označeny jako omezeno na výchozí instalace služby IIS 6.0:
    MD_ADMIN_ACLMD_VPROP_ADMIN_ACL_RAW_BINARYMD_APPPOOL_ORPHAN_ACTION_EXEMD_APPPOOL_ORPHAN_ACTION_PARAMSMD_APPPOOL_AUTO_SHUTDOWN_EXEMD_APPPOOL_AUTO_SHUTDOWN_PARAMSMD_APPPOOL_IDENTITY_TYPEMD_APP_APPPOOL_IDMD_APP_ISOLATEDMD_VR_PATHMD_ACCESS_PERMMD_VR_USERNAMEMD_VR_PASSWORDMD_ANONYMOUS_USER_NAMEMD_ANONYMOUS_PWDMD_LOGSQL_USER_NAMEMD_LOGSQL_PASSWORDMD_WAM_USER_NAMEMD_WAM_PWDMD_AD_CONNECTIONS_USERNAMEMD_AD_CONNECTIONS_PASSWORDMD_MAX_BANDWIDTHMD_MAX_BANDWIDTH_BLOCKEDMD_ISM_ACCESS_CHECKMD_FILTER_LOAD_ORDERMD_FILTER_ENABLEDMD_FILTER_IMAGE_PATHMD_SECURE_BINDINGSMD_SERVER_BINDINGSMD_ASP_ENABLECLIENTDEBUGMD_ASP_ENABLESERVERDEBUGMD_ASP_ENABLEPARENTPATHSMD_ASP_ERRORSTONTLOGMD_ASP_KEEPSESSIONIDSECUREMD_ASP_LOGERRORREQUESTSMD_ASP_DISKTEMPLATECACHEDIRECTORY36948 RouteUserName36949 RoutePassword36958 SmtpDsPassword41191 Pop3DsPassword45461 FeedAccountName45462 FeedPassword49384 ImapDsPassword						

Upozornění: Tento článek je přeložený automaticky

Vlastnosti

ID článku: 326902 - Poslední kontrola: 05/19/2011 12:25:00 - Revize: 8.0

Microsoft Internet Information Services 6.0, Microsoft Internet Information Services 5.0

  • kbhowtomaster kbinfo kbmt KB326902 KbMtcs
Váš názor