ACLs und MetaACL für Metabasis ACL Ändern von Berechtigungen

Wichtig Dieser Artikel enthält Informationen zum Bearbeiten der Registrierung. Bevor Sie die Metabasis bearbeiten, sicher, dass Sie eine Sicherungskopie, die Sie wiederherstellen können, falls ein Problem auftritt. Informationen hierzu finden im Hilfethema "Sicherungskopie erstellen/Konfiguration wiederherstellen" in der Microsoft Management Console (MMC).

Zusammenfassung

Dieser Artikel beschreibt die Funktionsweise von Zugriffssteuerungslisten (ACLs) in Microsoft Internet Information Server (IIS) 4.0 oder Microsoft-Internetinformationsdienste (IIS) 5.0-Metabasis. Die Metabasis ist nicht nur vom Betriebssystem ACLs für die Datei (Metabase.bin) geschützt, aber Datei verfügt auch ACL Schutz im Verzeichnis selbst.


Hinweis Die Datei MetaBase.bin ist konform 500 Lightweight Directory Access Protocol (LDAP)-Verzeichnis und Berechtigungen in einer Beziehung Parent\Child unterliegen. ACLs werden daher das Verzeichnis rekursiv angewendet Stamm erreicht ist.


Dieser Artikel beschreibt auch die Rolle von ACLs in der IIS-Metabasis ACLs und die Standard-ACLs für IIS 4.0 und IIS 5.0 bearbeiten.

Weitere Informationen

Zugriffssteuerungslisten

Einführung

In der Metabasis beschränken ACLs den Zugriff auf bestimmte Benutzerkonten bei bestimmten Tasten im Verzeichnis Metabase.bin. Zwei Arten von Berechtigungen werden mit Zugriffssteuerungslisten erteilt:

  • ACCESS_ALLOWED_ACE
  • ACCESS_DENIED_ACE
Microsoft empfiehlt, nur ACCESS_ALLOWED_ACE verwenden, da Microsoft ACCESS_DENIED_ACEnicht umfassend getestet.


Da alle ACL in der Metabasis in der MD_ADMIN_ACL -Eigenschaft gespeichert ist, können Sie die Informationen mit normalen Metabasis Anzeigetools Adsutil wie Mdutil anzeigen.


Verfügbare Rechte

Beim Ändern der Metabasis ACLs stehen die folgenden Rechte:

  • MD_ACR_UNSECURE_PROPS_READ: ein Benutzer Lesezugriff auf unsichere gibt.
  • MD_ACR_READ: Gibt ein Benutzer Lesezugriff auf sicher oder unsicher.
  • MD_ACR_ENUM_KEYS: gewährt einem Benutzer das Recht, alle Namen von untergeordneten Knoten aufgelistet.
  • MD_ACR_WRITE_DAC: berechtigt Benutzer schreiben oder AdminACL -Eigenschaft auf den entsprechenden Knoten erstellen.
  • MD_ACR_WRITE: gewährt einem Benutzer das Recht (einschließlich hinzufügen oder Set) Eigenschaften außer eingeschränkten Eigenschaften. Weitere Informationen finden Sie im Abschnitt zur eingeschränkten Eigenschaften-Plattform.
  • MD_ACR_RESTRICTED_WRITE: gewährt einem Benutzer das Recht, eine Eigenschaft zu ändern, die momentan nurAdministrator festgelegt. Diese Berechtigung erhält Vollzugriff auf diesen Schlüssel an einen Benutzer.

Bearbeiten von ACLs

Warnung Unkorrekte Bearbeitung der Metabasis können schwerwiegende Probleme verursacht werden, die Sie ein Produkt installieren, das die Metabasis verwendet möglicherweise. Microsoft kann nicht garantieren, dass Probleme infolge der falschen Bearbeitung der Metabasis behoben werden können. Das Bearbeiten der Metabasis erfolgt auf eigene Gefahr.

Hinweis Sichern Sie die Metabasis immer vor der Bearbeitung.


Bearbeiten Sie die ACLs verwenden Sie ein Dienstprogramm mit dem Namen Metaacl.vbs.
Klicken Sie für weitere Informationen auf die folgende Artikelnummer, um den Artikel in der Microsoft Knowledge Base anzuzeigen:

267904 Metaacl.exe für IIS Admin Objects ändern

Dieses Beispiel ändert den w3svc -Schlüssel, um Administratoren den Zugriff verweigern.

Warnung Auf einem Produktionssystem kann extrem gefährlich und dazu führen, dass IIS nicht wie vorgesehen funktionieren. In diesem Beispiel schrittweise nur zu Demonstrationszwecken.

  1. Kopieren Sie die Datei Metaacl.vbs im Verzeichnis %systemdrive%\Inetpub\Adminscripts.
  2. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie cmd einund klicken Sie dann auf Ausführen , um ein Eingabeaufforderungsfenster zu öffnen.
  3. Aufgefordert werden führen Sie den folgenden Befehl in das Adminscripts Verzeichnis:
    c:\cd Inetpub\Adminscripts
  4. Ändern Sie die Parameter am IIS://LOCALHOST/W3SVC führen Sie den folgenden Befehl ein:
    c:\Inetpub\Adminscripts>cscript metaacl.vbs IIS://LOCALHOST/W3SVC mydomain\mydomainaccount RW

    Sie erhalten folgende Antwort:

    ACE für Mydomain\mydomainaccount hinzugefügt.
Metaacl.vbs können Sie die folgenden Berechtigungen für alle Benutzer hinzuzufügen:

  • R - Read
  • W - write
  • S - eingeschränkter Schreibzugriff
  • U - unsichere Eigenschaften lesen
  • E - Schlüssel auflisten
  • D - DACL (Berechtigungen) schreiben

ACLs nach Server-Plattform

IIS 4.0

  • Standard-ACLs die folgende Liste beschreibt die Standard-ACLs im Verzeichnis Metabase.bin abgelegt werden, wenn IIS 4.0 installiert ist:
    LM -   W3SVC
    BUILTIN\Administrators
    Access: RWSUED
    Everyone
    Access: E
    MSFTPSVC
    BUILTIN\Administrators
    Access: RWSUED
    Everyone
    Access: E
    SMTPSVC
    BUILTIN\Administrators
    Access: RWSUED
    Everyone
    Access: E
    NNTPSVC
    BUILTIN\Administrators
    Access: RWSUED
    Everyone
    Access: E

  • Die folgende Liste die wichtigsten Metabasiseigenschaften, die beschreibt als eingeschränkte ACLs eingeschränkt auf Standardinstallationen von IIS 4.0:

    MD_ADMIN_ACLMD_APP_ISOLATED
    MD_VR_PATH
    MD_ACCESS_PERM
    MD_ANONYMOUS_USER_NAME
    MD_ANONYMOUS_PWD
    MD_MAX_BANDWIDTH
    MD_MAX_BANDWIDTH_BLOCKED
    MD_ISM_ACCESS_CHECK
    MD_FILTER_LOAD_ORDER
    MD_FILTER_STATE
    MD_FILTER_ENABLED
    MD_FILTER_DESCRIPTION
    MD_FILTER_FLAGS
    MD_FILTER_IMAGE_PATH
    MD_SECURE_BINDINGS
    MD_SERVER_BINDINGS

IIS 5.0

  • Standard-ACLs die folgende Liste beschreibt die Standard-ACLs im Verzeichnis Metabase.bin gespeichert werden, wenn IIS 5.0 installiert ist:

    LM -    W3SVC
    BUILTIN\Administrators
    Access: RWSUED
    Everyone
    Access: E
    {IISMachineName}\VS Developers
    Access: RWSUE
    MSFTPSVC
    BUILTIN\Administrators
    Access: RWSUED
    Everyone
    Access: E
    SMTPSVC
    BUILTIN\Administrators
    Access: RWSUED
    Everyone
    Access: E
    NNTPSVC
    BUILTIN\Administrators
    Access: RWSUED
    Everyone
    Access: E

  • Die folgende Liste die wichtigsten Metabasiseigenschaften, die beschreibt als eingeschränkte ACLs eingeschränkt auf Standardinstallationen von IIS 5.0:

    MD_ADMIN_ACLMD_APP_ISOLATED
    MD_VR_PATH
    MD_ACCESS_PERM
    MD_ANONYMOUS_USER_NAME
    MD_ANONYMOUS_PWD
    MD_MAX_BANDWIDTH
    MD_MAX_BANDWIDTH_BLOCKED
    MD_ISM_ACCESS_CHECK
    MD_FILTER_LOAD_ORDER
    MD_FILTER_STATE
    MD_FILTER_ENABLED
    MD_FILTER_DESCRIPTION
    MD_FILTER_FLAGS
    MD_FILTER_IMAGE_PATH
    MD_SECURE_BINDINGS
    MD_SERVER_BINDINGS

IIS 6.0

  • Standard-ACLs die folgende Liste beschreibt die Standard-ACLs im Verzeichnis Metabase.xml abgelegt werden, wenn IIS 6.0 installiert ist:
    LM –      W3SVC 
    NT AUTHORITY\LOCAL SERVICE
    Access: R UE
    NT AUTHORITY\NETWORK SERVICE
    Access: R UE
    {computername}\IIS_WPG
    Access: R UE
    BUILTIN\Administrators
    Access: RWSUED
    {computername}\ASPNET
    Access: R E
    W3SVC/Filters
    NT AUTHORITY\LOCAL SERVICE
    Access: RW UE
    NT AUTHORITY\NETWORK SERVIC
    Access: RW UE
    {computername}\IIS_WPG
    Access: RW UE
    BUILTIN\Administrators
    Access: RWSUED
    W3SVC/1/Filters
    NT AUTHORITY\LOCAL SERVICE
    Access: RW UE
    NT AUTHORITY\NETWORK SERVIC
    Access: RW UE
    {computername}\IIS_WPG
    Access: RW UE
    BUILTIN\Administrators
    Access: RWSUED
    W3SVC/AppPools
    NT AUTHORITY\LOCAL SERVICE
    Access: U
    NT AUTHORITY\NETWORK SERVICE
    Access: U
    {computername}\IIS_WPG
    Access: U
    BUILTIN\Administrators
    Access: RWSUED
    W3SVC/INFO
    BUILTIN\Administrators
    Access: RWSUED
    MSFTPSVC
    BUILTIN\Administrators
    Access: RWSUED
    SMTPSVC
    BUILTIN\Administrators
    Access: RWSUED
    NT AUTHORITY\LOCAL SERVICE
    Access: UE
    NT AUTHORITY\NETWORK SERVICE
    Access: UE
    NNTPSVC
    BUILTIN\Administrators
    Access: RWSUED
    NT AUTHORITY\LOCAL SERVICE
    Access: UE
    NT AUTHORITY\NETWORK SERVICE
    Access: UE
    Logging
    BUILTIN\Administrators
    Access: RWSUED

  • Die folgende Liste die wichtigsten Metabasiseigenschaften, die beschreibt als eingeschränkte ACLs eingeschränkt auf Standardinstallationen von IIS 6.0:

    MD_ADMIN_ACLMD_VPROP_ADMIN_ACL_RAW_BINARY
    MD_APPPOOL_ORPHAN_ACTION_EXE
    MD_APPPOOL_ORPHAN_ACTION_PARAMS
    MD_APPPOOL_AUTO_SHUTDOWN_EXE
    MD_APPPOOL_AUTO_SHUTDOWN_PARAMS
    MD_APPPOOL_IDENTITY_TYPE
    MD_APP_APPPOOL_ID
    MD_APP_ISOLATED
    MD_VR_PATH
    MD_ACCESS_PERM
    MD_VR_USERNAME
    MD_VR_PASSWORD
    MD_ANONYMOUS_USER_NAME
    MD_ANONYMOUS_PWD
    MD_LOGSQL_USER_NAME
    MD_LOGSQL_PASSWORD
    MD_WAM_USER_NAME
    MD_WAM_PWD
    MD_AD_CONNECTIONS_USERNAME
    MD_AD_CONNECTIONS_PASSWORD
    MD_MAX_BANDWIDTH
    MD_MAX_BANDWIDTH_BLOCKED
    MD_ISM_ACCESS_CHECK
    MD_FILTER_LOAD_ORDER
    MD_FILTER_ENABLED
    MD_FILTER_IMAGE_PATH
    MD_SECURE_BINDINGS
    MD_SERVER_BINDINGS
    MD_ASP_ENABLECLIENTDEBUG
    MD_ASP_ENABLESERVERDEBUG
    MD_ASP_ENABLEPARENTPATHS
    MD_ASP_ERRORSTONTLOG
    MD_ASP_KEEPSESSIONIDSECURE
    MD_ASP_LOGERRORREQUESTS
    MD_ASP_DISKTEMPLATECACHEDIRECTORY
    36948 RouteUserName
    36949 RoutePassword
    36958 SmtpDsPassword
    41191 Pop3DsPassword
    45461 FeedAccountName
    45462 FeedPassword
    49384 ImapDsPassword

Eigenschaften

Artikelnummer: 326902 – Letzte Überarbeitung: 16.01.2017 – Revision: 1

Feedback