ACL y el uso de MetaACL para la metabase ACL cambios de permiso

Importante: Este artículo contiene información acerca de cómo modificar la metabase. Antes de modificar la metabase, compruebe que dispone de una copia de seguridad que pueda restaurar si surge algún problema. Para obtener información acerca de cómo hacerlo, consulte el tema "copia de seguridad o restaurar la configuración" de Microsoft Management Console (MMC).

Resumen

En este artículo se describe el funcionamiento de listas de Control de acceso (ACL) en los servicios de Microsoft Internet Information Server (IIS) 4.0 o la metabase de Microsoft Internet Information Services (IIS) 5.0. La metabase no está protegida sólo por el sistema operativo las ACL del archivo en concreto (Metabase.bin), pero el archivo también tiene protección de ACL en el propio directorio.


Nota: El archivo Metabase.bin es un directorio de protocolo ligero de acceso a directorios (LDAP) de X.500 totalmente compatible y está regido por permisos en una relación de Parent\Child. Por lo tanto, las ACL son aplicará recursivamente el directorio hasta que se alcanza la raíz.


Este artículo también describe el papel de la ACL de la metabase IIS, cómo modificar las ACL y las ACL predeterminadas de IIS 4.0 e IIS 5.0.

Más información

Listas de Control de acceso

Introducción

En la metabase, ACL limitan el acceso de ciertas cuentas de usuario a determinadas claves en el directorio de Metabase.bin. Dos tipos de permisos se conceden con ACL:

  • ACCESS_ALLOWED_ACE
  • ACCESS_DENIED_ACE
Microsoft recomienda que sólo utilice ACCESS_ALLOWED_ACE porque Microsoft no ha probado exhaustivamente ACCESS_DENIED_ACE.


Dado que toda la información de ACL se almacena en la metabase en la propiedad MD_ADMIN_ACL , puede ver la información con la metabase típica Visualización de herramientas como Adsutil y Mdutil.


Derechos disponibles

Cuando modifica las ACL de la metabase, están disponibles los siguientes derechos:

  • MD_ACR_UNSECURE_PROPS_READ: proporciona acceso de sólo lectura de un usuario a cualquier propiedad no segura.
  • MD_ACR_READ: ofrece un usuario lea los derechos sobre la propiedad segura o no.
  • MD_ACR_ENUM_KEYS: da a un usuario el derecho a enumerar todos los nombres de todos los nodos secundarios.
  • MD_ACR_WRITE_DAC: concede a un usuario el derecho a escribir o crear una propiedad AdminACL en el nodo correspondiente.
  • MD_ACR_WRITE: da a un usuario el derecho a modificar (incluido agregar o conjunto) propiedades excepto propiedades restringidas. Para obtener más información, consulte la sección acerca de las propiedades restringidas por plataforma.
  • MD_ACR_RESTRICTED_WRITE: ofrece un usuario el derecho de modificar cualquier propiedad que actualmente está establecida en sólo administrador. Este permiso otorga control total a la clave a un usuario.

Edición de las ACL

Advertencia: Si modifica la metabase incorrectamente, puede provocar problemas graves que quizás requieran volver a instalar todos los productos que utilizan la metabase. Microsoft no puede garantizar que puedan resolverse los problemas resultantes si modifica la metabase incorrectamente. Editar la metabase bajo su propia responsabilidad.

Nota: Siempre hacer copia de seguridad de la metabase antes de modificarla.


Para modificar las ACL, utilice una utilidad que se denomina Metaacl.vbs.
Para obtener más información, haga clic en el siguiente número de artículo para verlo en Microsoft Knowledge Base:

267904 Metaacl.exe modifica los permisos de la metabase para los objetos de administración de IIS

En este ejemplo se modifica la clave w3svc para denegar el acceso para los administradores.

Advertencia: Hacerlo en un sistema de producción puede ser extremadamente peligroso y hacer que IIS no funcione como se espera. Este ejemplo sólo recorre el proceso de edición con fines demostrativos.

  1. Copie el archivo Metaacl.vbs al directorio %systemdrive%\Inetpub\Adminscripts.
  2. Haga clic en Inicio, haga clic en Ejecutar, escriba CMDy, a continuación, haga clic en Ejecutar para abrir un símbolo del sistema.
  3. En el símbolo del sistema, ejecute el siguiente comando para cambiar al directorio Adminscripts:
    c:\cd Inetpub\Adminscripts
  4. Para modificar los parámetros que se encuentra en IIS://LOCALHOST/W3SVC, ejecute el siguiente comando:
    c:\Inetpub\Adminscripts>cscript metaacl.vbs IIS://LOCALHOST/W3SVC mydomain\mydomainaccount RW

    Recibirá la siguiente respuesta:

    ACE para mydomain\mydomainaccount añadido.
Puede utilizar Metaacl.vbs para agregar los siguientes derechos a cualquier usuario:

  • R - lectura
  • W - escritura
  • S - restringido escritura
  • U - lectura de propiedades inseguro
  • E - enumerar claves
  • D - escribir DACL (permisos)

ACL por plataforma de servidor

IIS 4.0

  • ACL predeterminadas la lista siguiente describe las ACL predeterminada que se colocan en el directorio de Metabase.bin cuando está instalado IIS 4.0:
    LM -   W3SVC
    BUILTIN\Administrators
    Access: RWSUED
    Everyone
    Access: E
    MSFTPSVC
    BUILTIN\Administrators
    Access: RWSUED
    Everyone
    Access: E
    SMTPSVC
    BUILTIN\Administrators
    Access: RWSUED
    Everyone
    Access: E
    NNTPSVC
    BUILTIN\Administrators
    Access: RWSUED
    Everyone
    Access: E

  • ACL restringidas que la lista siguiente describe las propiedades de clave de la metabase que se marcan como restringen en las instalaciones predeterminadas de IIS 4.0:

    MD_ADMIN_ACLMD_APP_ISOLATED
    MD_VR_PATH
    MD_ACCESS_PERM
    MD_ANONYMOUS_USER_NAME
    MD_ANONYMOUS_PWD
    MD_MAX_BANDWIDTH
    MD_MAX_BANDWIDTH_BLOCKED
    MD_ISM_ACCESS_CHECK
    MD_FILTER_LOAD_ORDER
    MD_FILTER_STATE
    MD_FILTER_ENABLED
    MD_FILTER_DESCRIPTION
    MD_FILTER_FLAGS
    MD_FILTER_IMAGE_PATH
    MD_SECURE_BINDINGS
    MD_SERVER_BINDINGS

IIS 5.0

  • ACL predeterminadas la lista siguiente describe las ACL predeterminada que se colocan en el directorio de Metabase.bin cuando está instalado IIS 5.0:

    LM -    W3SVC
    BUILTIN\Administrators
    Access: RWSUED
    Everyone
    Access: E
    {IISMachineName}\VS Developers
    Access: RWSUE
    MSFTPSVC
    BUILTIN\Administrators
    Access: RWSUED
    Everyone
    Access: E
    SMTPSVC
    BUILTIN\Administrators
    Access: RWSUED
    Everyone
    Access: E
    NNTPSVC
    BUILTIN\Administrators
    Access: RWSUED
    Everyone
    Access: E

  • ACL restringidas que la lista siguiente describe las propiedades de clave de la metabase que se marcan como restringen en las instalaciones predeterminadas de IIS 5.0:

    MD_ADMIN_ACLMD_APP_ISOLATED
    MD_VR_PATH
    MD_ACCESS_PERM
    MD_ANONYMOUS_USER_NAME
    MD_ANONYMOUS_PWD
    MD_MAX_BANDWIDTH
    MD_MAX_BANDWIDTH_BLOCKED
    MD_ISM_ACCESS_CHECK
    MD_FILTER_LOAD_ORDER
    MD_FILTER_STATE
    MD_FILTER_ENABLED
    MD_FILTER_DESCRIPTION
    MD_FILTER_FLAGS
    MD_FILTER_IMAGE_PATH
    MD_SECURE_BINDINGS
    MD_SERVER_BINDINGS

IIS 6.0

  • ACL predeterminadas la lista siguiente describe las ACL predeterminada que se colocan en el directorio del archivo Metabase.xml cuando se instala IIS 6.0:
    LM –      W3SVC 
    NT AUTHORITY\LOCAL SERVICE
    Access: R UE
    NT AUTHORITY\NETWORK SERVICE
    Access: R UE
    {computername}\IIS_WPG
    Access: R UE
    BUILTIN\Administrators
    Access: RWSUED
    {computername}\ASPNET
    Access: R E
    W3SVC/Filters
    NT AUTHORITY\LOCAL SERVICE
    Access: RW UE
    NT AUTHORITY\NETWORK SERVIC
    Access: RW UE
    {computername}\IIS_WPG
    Access: RW UE
    BUILTIN\Administrators
    Access: RWSUED
    W3SVC/1/Filters
    NT AUTHORITY\LOCAL SERVICE
    Access: RW UE
    NT AUTHORITY\NETWORK SERVIC
    Access: RW UE
    {computername}\IIS_WPG
    Access: RW UE
    BUILTIN\Administrators
    Access: RWSUED
    W3SVC/AppPools
    NT AUTHORITY\LOCAL SERVICE
    Access: U
    NT AUTHORITY\NETWORK SERVICE
    Access: U
    {computername}\IIS_WPG
    Access: U
    BUILTIN\Administrators
    Access: RWSUED
    W3SVC/INFO
    BUILTIN\Administrators
    Access: RWSUED
    MSFTPSVC
    BUILTIN\Administrators
    Access: RWSUED
    SMTPSVC
    BUILTIN\Administrators
    Access: RWSUED
    NT AUTHORITY\LOCAL SERVICE
    Access: UE
    NT AUTHORITY\NETWORK SERVICE
    Access: UE
    NNTPSVC
    BUILTIN\Administrators
    Access: RWSUED
    NT AUTHORITY\LOCAL SERVICE
    Access: UE
    NT AUTHORITY\NETWORK SERVICE
    Access: UE
    Logging
    BUILTIN\Administrators
    Access: RWSUED

  • ACL restringidas que la lista siguiente describe las propiedades de clave de la metabase que se marcan como restringen en las instalaciones predeterminadas de IIS 6.0:

    MD_ADMIN_ACLMD_VPROP_ADMIN_ACL_RAW_BINARY
    MD_APPPOOL_ORPHAN_ACTION_EXE
    MD_APPPOOL_ORPHAN_ACTION_PARAMS
    MD_APPPOOL_AUTO_SHUTDOWN_EXE
    MD_APPPOOL_AUTO_SHUTDOWN_PARAMS
    MD_APPPOOL_IDENTITY_TYPE
    MD_APP_APPPOOL_ID
    MD_APP_ISOLATED
    MD_VR_PATH
    MD_ACCESS_PERM
    MD_VR_USERNAME
    MD_VR_PASSWORD
    MD_ANONYMOUS_USER_NAME
    MD_ANONYMOUS_PWD
    MD_LOGSQL_USER_NAME
    MD_LOGSQL_PASSWORD
    MD_WAM_USER_NAME
    MD_WAM_PWD
    MD_AD_CONNECTIONS_USERNAME
    MD_AD_CONNECTIONS_PASSWORD
    MD_MAX_BANDWIDTH
    MD_MAX_BANDWIDTH_BLOCKED
    MD_ISM_ACCESS_CHECK
    MD_FILTER_LOAD_ORDER
    MD_FILTER_ENABLED
    MD_FILTER_IMAGE_PATH
    MD_SECURE_BINDINGS
    MD_SERVER_BINDINGS
    MD_ASP_ENABLECLIENTDEBUG
    MD_ASP_ENABLESERVERDEBUG
    MD_ASP_ENABLEPARENTPATHS
    MD_ASP_ERRORSTONTLOG
    MD_ASP_KEEPSESSIONIDSECURE
    MD_ASP_LOGERRORREQUESTS
    MD_ASP_DISKTEMPLATECACHEDIRECTORY
    36948 RouteUserName
    36949 RoutePassword
    36958 SmtpDsPassword
    41191 Pop3DsPassword
    45461 FeedAccountName
    45462 FeedPassword
    49384 ImapDsPassword

Propiedades

Id. de artículo: 326902 - Última revisión: 17 ene. 2017 - Revisión: 1

Comentarios