Estás trabajando sin conexión, espera a que vuelva la conexión a Internet

ACL y utilizar MetaACL para ACL de la metabase los cambios de permisos

IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.

Haga clic aquí para ver el artículo original (en inglés): 326902
importante este artículo contiene información sobre cómo se modifica la metabase. Antes de modificar la metabase, compruebe que dispone de una copia de seguridad que pueda restaurar si surge algún problema. Para obtener información sobre cómo hacerlo, consulte el tema de la Ayuda "Hacer copia de seguridad y restaurar la configuración" de Microsoft Management Console (MMC).
Resumen
En este artículo se describe cómo listas de control de acceso (ACL) funcionan en el Microsoft Internet Information Server (IIS) 4.0 o de la metabase de Microsoft Internet Information Services (IIS) 5.0. La metabase no está protegida sólo por el sistema operativo ACL en el archivo específico (metabase.bin), pero el archivo tiene también la protección de ACL en el propio directorio.

Nota El archivo metabase.bin es un directorio totalmente compatible del Protocolo ligero de acceso directorios (LDAP) de X.500 y se rige por permisos en una relación Parent\Child. Por lo tanto, ACL son aplicado de forma recursiva el directorio hasta que alcanza la raíz.

En este artículo describe también la función de las ACL en la metabase de IIS, cómo modificar las ACL y las ACL predeterminadas para IIS 4.0 y IIS 5.0.
Más información

Listas de control de acceso

Introducción

En la metabase, ACL limitar el acceso de ciertas cuentas de usuario a determinadas claves en el directorio de metabase.bin. Dos tipos de permisos se conceden con ACL:
  • ACCESS_ALLOWED_ACE
  • ACCESS_DENIED_ACE
Microsoft recomienda que sólo utilice ACCESS_ALLOWED_ACE porque Microsoft no prueba exhaustivamente ACCESS_DENIED_ACE .

Porque ACL toda la información se almacena en la metabase en la propiedad MD_ADMIN_ACL , puede ver la información con típica metabase ver herramientas como Adsutil y Mdutil.

Derechos disponibles

Cuando modifica la ACL de la metabase, están disponibles los siguientes derechos:
  • MD_ACR_UNSECURE_PROPS_READ : ofrece un acceso de usuario de sólo lectura a cualquier propiedad no segura.
  • MD_ACR_READ : da derechos a cualquier propiedad segura o no segura de lectura de un usuario.
  • MD_ACR_ENUM_KEYS : ofrece un usuario el derecho a enumerar todos los nombres de todos los nodos secundarios.
  • MD_ACR_WRITE_DAC : ofrece un usuario el derecho a escribir o crear una propiedad AdminACL en el nodo correspondiente.
  • MD_ACR_WRITE : ofrece un usuario el derecho a modificar (incluido agregar o set) las propiedades excepto propiedades restringidas. Para obtener más información, consulte la sección sobre las propiedades restringidas por la plataforma.
  • MD_ACR_RESTRICTED_WRITE : ofrece un usuario el derecho de modificar cualquier propiedad que está configurado para sólo el administrador . Este permiso proporciona control total a esa tecla para un usuario.

Modificar ACL

Advertencia si modifica la metabase incorrectamente, puede causar serios problemas que le obligarán a instalar de nuevo todos los productos que utilizan la metabase. Microsoft no puede garantizar la solución de los problemas resultantes de una modificación incorrecta de la metabase. Modifique la metabase bajo su responsabilidad.

Nota Haga siempre una copia de seguridad de la metabase antes de modificarla.

Para modificar las ACL, utilice una utilidad que se denomina Metaacl.vbs. Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
267904Metaacl.exe modificar permisos de metabase para el IIS Admin Objects
Este ejemplo modifica la clave w3svc para denegar el acceso a los administradores.

Advertencia Hacerlo en un sistema de producción puede ser extremadamente peligroso y ocasionar que IIS falle al funcionar como se ha diseñado. Este ejemplo sólo recorre el proceso de edición con fines de demostración.
  1. Copie el archivo Metaacl.vbs al directorio %systemdrive%\Inetpub\Adminscripts.
  2. Haga clic en Inicio , haga clic en Ejecutar , escriba CMD y, a continuación, haga clic en Ejecutar para abrir un símbolo.
  3. En el símbolo del sistema, ejecute el comando siguiente para cambiar al directorio AdminScripts:
    c:\cd Inetpub\Adminscripts					
  4. Para modificar los parámetros que se encuentra en IIS: / / LOCALHOST/W3SVC, ejecute el siguiente comando:
    c:\Inetpub\Adminscripts>cscript metaacl.vbs IIS://LOCALHOST/W3SVC mydomain\mydomainaccount RW					
    recibe la respuesta siguiente:
    ACE para mydomain\mydomainaccount agregado.
Puede utilizar Metaacl.vbs para agregar los siguientes derechos para cualquier usuario:
  • R leer
  • Escritura de W
  • S restringido escritura
  • Lectura de propiedades U no seguras
  • E enumerar claves
  • D escribir DACL (permisos)

ACL por plataforma de servidor

IIS 4.0

  • ACL predeterminadas la lista siguiente describe las ACL predeterminada que se colocan en el directorio de metabase.bin cuando está instalado IIS 4.0:
    LM -   W3SVC      BUILTIN\Administrators        Access: RWSUED      Everyone        Access:     E   MSFTPSVC      BUILTIN\Administrators        Access: RWSUED      Everyone        Access:     E   SMTPSVC        BUILTIN\Administrators        Access: RWSUED      Everyone        Access:     E   NNTPSVC      BUILTIN\Administrators        Access: RWSUED      Everyone        Access:     E					
  • ACL restringidas la lista siguiente describe las propiedades de clave de metabase que se marcan como restringido en las instalaciones predeterminadas de IIS 4.0:
    MD_ADMIN_ACLMD_APP_ISOLATEDMD_VR_PATHMD_ACCESS_PERMMD_ANONYMOUS_USER_NAMEMD_ANONYMOUS_PWDMD_MAX_BANDWIDTHMD_MAX_BANDWIDTH_BLOCKEDMD_ISM_ACCESS_CHECKMD_FILTER_LOAD_ORDERMD_FILTER_STATEMD_FILTER_ENABLEDMD_FILTER_DESCRIPTIONMD_FILTER_FLAGSMD_FILTER_IMAGE_PATHMD_SECURE_BINDINGSMD_SERVER_BINDINGS					

IIS 5.0

  • ACL predeterminadas la lista siguiente describe las ACL predeterminada que se colocan en el directorio de metabase.bin cuando está instalado IIS 5.0:
    LM -    W3SVC      BUILTIN\Administrators        Access: RWSUED      Everyone        Access:     E       {IISMachineName}\VS Developers        Access: RWSUE    MSFTPSVC      BUILTIN\Administrators        Access: RWSUED      Everyone        Access:     E   SMTPSVC      BUILTIN\Administrators        Access: RWSUED      Everyone        Access:     E    NNTPSVC      BUILTIN\Administrators        Access: RWSUED      Everyone        Access:     E 					
  • ACL restringidas la lista siguiente describe las propiedades de clave de metabase que se marcan como restringido en las instalaciones predeterminadas de IIS 5.0:
    MD_ADMIN_ACLMD_APP_ISOLATEDMD_VR_PATHMD_ACCESS_PERMMD_ANONYMOUS_USER_NAMEMD_ANONYMOUS_PWDMD_MAX_BANDWIDTHMD_MAX_BANDWIDTH_BLOCKEDMD_ISM_ACCESS_CHECKMD_FILTER_LOAD_ORDERMD_FILTER_STATEMD_FILTER_ENABLEDMD_FILTER_DESCRIPTIONMD_FILTER_FLAGSMD_FILTER_IMAGE_PATHMD_SECURE_BINDINGSMD_SERVER_BINDINGS					

IIS 6.0

  • Default ACLs The following list describes the default ACLs that are put in the Metabase.xml directory when IIS 6.0 is installed:
    LM –      W3SVC         NT AUTHORITY\LOCAL SERVICE 	  Access: R UE 	NT AUTHORITY\NETWORK SERVICE 	  Access: R UE 	{computername}\IIS_WPG            Access: R UE         BUILTIN\Administrators            Access: RWSUED        {computername}\ASPNET           Access: R   E      W3SVC/Filters        NT AUTHORITY\LOCAL SERVICE           Access: RW UE        NT AUTHORITY\NETWORK SERVIC           Access: RW UE        {computername}\IIS_WPG           Access: RW UE        BUILTIN\Administrators           Access: RWSUED     W3SVC/1/Filters        NT AUTHORITY\LOCAL SERVICE           Access: RW UE        NT AUTHORITY\NETWORK SERVIC           Access: RW UE        {computername}\IIS_WPG           Access: RW UE        BUILTIN\Administrators           Access: RWSUED     W3SVC/AppPools        NT AUTHORITY\LOCAL SERVICE           Access:    U        NT AUTHORITY\NETWORK SERVICE           Access:    U       {computername}\IIS_WPG           Access:    U        BUILTIN\Administrators           Access: RWSUED     W3SVC/INFO        BUILTIN\Administrators           Access: RWSUED     MSFTPSVC         BUILTIN\Administrators            Access: RWSUED      SMTPSVC         BUILTIN\Administrators           Access: RWSUED        NT AUTHORITY\LOCAL SERVICE           Access:    UE        NT AUTHORITY\NETWORK SERVICE           Access:    UE     NNTPSVC        BUILTIN\Administrators           Access: RWSUED        NT AUTHORITY\LOCAL SERVICE           Access:    UE        NT AUTHORITY\NETWORK SERVICE           Access:    UE     Logging        BUILTIN\Administrators           Access: RWSUED 						
  • Restricted ACLs The following list describes the metabase key properties that are marked as restricted on default installations of IIS 6.0:
    MD_ADMIN_ACLMD_VPROP_ADMIN_ACL_RAW_BINARYMD_APPPOOL_ORPHAN_ACTION_EXEMD_APPPOOL_ORPHAN_ACTION_PARAMSMD_APPPOOL_AUTO_SHUTDOWN_EXEMD_APPPOOL_AUTO_SHUTDOWN_PARAMSMD_APPPOOL_IDENTITY_TYPEMD_APP_APPPOOL_IDMD_APP_ISOLATEDMD_VR_PATHMD_ACCESS_PERMMD_VR_USERNAMEMD_VR_PASSWORDMD_ANONYMOUS_USER_NAMEMD_ANONYMOUS_PWDMD_LOGSQL_USER_NAMEMD_LOGSQL_PASSWORDMD_WAM_USER_NAMEMD_WAM_PWDMD_AD_CONNECTIONS_USERNAMEMD_AD_CONNECTIONS_PASSWORDMD_MAX_BANDWIDTHMD_MAX_BANDWIDTH_BLOCKEDMD_ISM_ACCESS_CHECKMD_FILTER_LOAD_ORDERMD_FILTER_ENABLEDMD_FILTER_IMAGE_PATHMD_SECURE_BINDINGSMD_SERVER_BINDINGSMD_ASP_ENABLECLIENTDEBUGMD_ASP_ENABLESERVERDEBUGMD_ASP_ENABLEPARENTPATHSMD_ASP_ERRORSTONTLOGMD_ASP_KEEPSESSIONIDSECUREMD_ASP_LOGERRORREQUESTSMD_ASP_DISKTEMPLATECACHEDIRECTORY36948 RouteUserName36949 RoutePassword36958 SmtpDsPassword41191 Pop3DsPassword45461 FeedAccountName45462 FeedPassword49384 ImapDsPassword						

Advertencia: este artículo se tradujo automáticamente

Propiedades

Id. de artículo: 326902 - Última revisión: 12/03/2007 21:24:35 - Revisión: 6.6

Servicios de Microsoft Internet Information Server 6.0, Servicios de Microsoft Internet Information Server 5.0, Microsoft Windows NT version 4.0 Option Pack

  • kbmt kbhowtomaster kbinfo KB326902 KbMtes
Comentarios
avascript" src="https://c.microsoft.com/ms.js">