Listes de contrôle d'accès et Utilisation MetaACL pour métabase ACL modifications d'autorisations

IMPORTANT : Cet article est issu du système de traduction automatique mis au point par Microsoft (http://support.microsoft.com/gp/mtdetails). Un certain nombre d’articles obtenus par traduction automatique sont en effet mis à votre disposition en complément des articles traduits en langue française par des traducteurs professionnels. Cela vous permet d’avoir accès, dans votre propre langue, à l’ensemble des articles de la base de connaissances rédigés originellement en langue anglaise. Les articles traduits automatiquement ne sont pas toujours parfaits et peuvent comporter des erreurs de vocabulaire, de syntaxe ou de grammaire (probablement semblables aux erreurs que ferait une personne étrangère s’exprimant dans votre langue !). Néanmoins, mis à part ces imperfections, ces articles devraient suffire à vous orienter et à vous aider à résoudre votre problème. Microsoft s’efforce aussi continuellement de faire évoluer son système de traduction automatique.

La version anglaise de cet article est la suivante: 326902
important Cet article contient des informations sur la modification de la métabase. Avant de modifier la métabase, vérifiez que vous disposez d'une copie de sauvegarde que vous pouvez restaurez si un problème se produit. Pour savoir comment procéder, consultez la rubrique d'aide " Configuration sauvegarde/restauration " dans Microsoft Management Console (MMC).
Résumé
Cet article décrit comment listes de contrôle accès (ACL) fonctionnent dans le Microsoft Internet Information Server (IIS) 4.0 ou de la métabase Microsoft Internet Information Services (IIS) 5.0. La métabase n'est pas uniquement protégé par le système d'exploitation ACL sur le fichier particulier (Metabase.bin), mais le fichier a également protection de la liste de contrôle d'accès dans le répertoire lui-même.

note Le fichier Metabase.bin est un répertoire LDAP (X.500 Lightweight Directory Access Protocol) entièrement conforme et est régi par les autorisations dans une relation Parent\Child. Par conséquent, listes de contrôle d'accès sont appliqué de manière récursive le répertoire jusqu'à ce que la racine est atteinte.

Cet article décrit également le rôle de listes ACL dans la métabase IIS, comment modifier des listes de contrôle d'accès et les ACL par défaut pour les services Internet (IIS) 4.0 et IIS 5.0.
Plus d'informations

Listes de contrôle d'accès

Introduction

Dans la métabase, listes de contrôle d'accès limiter l'accès de certains comptes d'utilisateur à certaines clés dans le répertoire Metabase.bin. Deux types d'autorisations sont accordées avec les listes de contrôle d'accès :
  • ACCESS_ALLOWED_ACE
  • ACCESS_DENIED_ACE
Microsoft ne recommande qu'utilisent ACCESS_ALLOWED_ACE car Microsoft ne Testez pas largement ACCESS_DENIED_ACE .

Car toutes les informations de liste de contrôle d'accès sont stockées dans la métabase elle-même dans la propriété MD_ADMIN_ACL , vous pouvez afficher les informations avec affichage des outils tels que Adsutil et Mdutil de métabase typique.

Les droits disponibles

Lorsque vous modifiez la métabase ACL, les droits suivants sont disponibles :
  • MD_ACR_UNSECURE_PROPS_READ : donne un accès d'en lecture seule utilisateur à une propriété non sécurisée.
  • MD_ACR_READ : des donne un utilisateur droits de lecture à toute propriété sécurisée ou non sécurisée.
  • MD_ACR_ENUM_KEYS : donne à un utilisateur le droit à énumérer tous les noms des nœuds enfants.
  • MD_ACR_WRITE_DAC : donne à un utilisateur le droit d'écrire ou créer une propriété AdminACL sur le nœud correspondant.
  • MD_ACR_WRITE : donne à un utilisateur le droit à modifier (y compris le complément ou un ensemble) propriétés à l'exception propriétés restreintes. Pour plus d'informations, consultez la section sur les propriétés restreintes par plate-forme.
  • MD_ACR_RESTRICTED_WRITE : donne à un utilisateur le droit à modifier toute propriété est paramétrée pour administrateur uniquement . Cette autorisation donne le contrôle total à cette clé à un utilisateur.

Modification des listes de contrôle d'accès

Avertissement Si vous modifiez la métabase incorrecte, vous pouvez générer des problèmes sérieuses pouvant vous obliger à réinstaller les produits qui utilisent la métabase. Microsoft ne peut pas garantir que des problèmes Si modification incorrecte de la métabase puissent être résolus. Modifier la métabase à vos risques et périls.

note Sauvegardez toujours la métabase avant de le modifier.

Pour modifier les listes de contrôle d'accès, vous utilisez un utilitaire nommé Metaacl.vbs. Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
267904 Modification des autorisations de métabase pour les IIS Admin Objects de Metaacl.exe
Cet exemple modifie la clé w3svc pour refuser l'accès pour les administrateurs.

Avertissement Cette opération sur un système de production peut être très dangereux et provoquer IIS pour ne pas fonctionner comme prévu. Cet exemple montre comment uniquement dans le processus Édition à des fins de démonstration.
  1. Copiez le fichier Metaacl.vbs dans le répertoire %systemdrive%\Inetpub\Adminscripts.
  2. Cliquez sur Démarrer , cliquez sur Exécuter , tapez CMD et puis cliquez sur Exécuter pour ouvrir une invite de commande.
  3. À l'invite de commandes, exécutez la commande suivante pour le répertoire AdminScripts :
    c:\cd Inetpub\Adminscripts					
  4. Pour modifier les paramètres situés dans les services Internet (IIS): / / localhost/W3SVC, exécutez la commande suivante :
    c:\Inetpub\Adminscripts>cscript metaacl.vbs IIS://LOCALHOST/W3SVC mydomain\mydomainaccount RW					
    vous recevez la réponse suivante :
    ACE pour mydomain\mydomainaccount ajouté.
Vous pouvez utiliser Metaacl.vbs pour ajouter les droits suivants pour n'importe quel utilisateur :
  • R Lecture
  • W écriture
  • Écriture restreinte S
  • OU unsecure propriétés en lecture
  • E énumérer les clés
  • D écrire DACL (autorisations)

ACL par la plate-forme de serveur

IIS 4.0

  • Listes de contrôle d'accès par défaut la liste suivante décrit les ACL par défaut qui sont placés dans le répertoire Metabase.bin Lorsque IIS 4.0 est installé :
    LM -   W3SVC      BUILTIN\Administrators        Access: RWSUED      Everyone        Access:     E   MSFTPSVC      BUILTIN\Administrators        Access: RWSUED      Everyone        Access:     E   SMTPSVC        BUILTIN\Administrators        Access: RWSUED      Everyone        Access:     E   NNTPSVC      BUILTIN\Administrators        Access: RWSUED      Everyone        Access:     E					
  • ACL restreint la liste suivante décrit les propriétés clés métabase sont marquées comme limité sur les installations par défaut de services Internet (IIS) 4.0 :
    MD_ADMIN_ACLMD_APP_ISOLATEDMD_VR_PATHMD_ACCESS_PERMMD_ANONYMOUS_USER_NAMEMD_ANONYMOUS_PWDMD_MAX_BANDWIDTHMD_MAX_BANDWIDTH_BLOCKEDMD_ISM_ACCESS_CHECKMD_FILTER_LOAD_ORDERMD_FILTER_STATEMD_FILTER_ENABLEDMD_FILTER_DESCRIPTIONMD_FILTER_FLAGSMD_FILTER_IMAGE_PATHMD_SECURE_BINDINGSMD_SERVER_BINDINGS					

IIS 5.0

  • Listes de contrôle d'accès par défaut la liste suivante décrit les ACL par défaut qui sont placés dans le répertoire Metabase.bin Lorsque IIS 5.0 est installé :
    LM -    W3SVC      BUILTIN\Administrators        Access: RWSUED      Everyone        Access:     E       {IISMachineName}\VS Developers        Access: RWSUE    MSFTPSVC      BUILTIN\Administrators        Access: RWSUED      Everyone        Access:     E   SMTPSVC      BUILTIN\Administrators        Access: RWSUED      Everyone        Access:     E    NNTPSVC      BUILTIN\Administrators        Access: RWSUED      Everyone        Access:     E 					
  • ACL restreint la liste suivante décrit les propriétés clés métabase sont marquées comme limité sur les installations par défaut de services Internet (IIS) 5.0 :
    MD_ADMIN_ACLMD_APP_ISOLATEDMD_VR_PATHMD_ACCESS_PERMMD_ANONYMOUS_USER_NAMEMD_ANONYMOUS_PWDMD_MAX_BANDWIDTHMD_MAX_BANDWIDTH_BLOCKEDMD_ISM_ACCESS_CHECKMD_FILTER_LOAD_ORDERMD_FILTER_STATEMD_FILTER_ENABLEDMD_FILTER_DESCRIPTIONMD_FILTER_FLAGSMD_FILTER_IMAGE_PATHMD_SECURE_BINDINGSMD_SERVER_BINDINGS					

IIS 6.0

  • Default ACLs The following list describes the default ACLs that are put in the Metabase.xml directory when IIS 6.0 is installed:
    LM –      W3SVC         NT AUTHORITY\LOCAL SERVICE 	  Access: R UE 	NT AUTHORITY\NETWORK SERVICE 	  Access: R UE 	{computername}\IIS_WPG            Access: R UE         BUILTIN\Administrators            Access: RWSUED        {computername}\ASPNET           Access: R   E      W3SVC/Filters        NT AUTHORITY\LOCAL SERVICE           Access: RW UE        NT AUTHORITY\NETWORK SERVIC           Access: RW UE        {computername}\IIS_WPG           Access: RW UE        BUILTIN\Administrators           Access: RWSUED     W3SVC/1/Filters        NT AUTHORITY\LOCAL SERVICE           Access: RW UE        NT AUTHORITY\NETWORK SERVIC           Access: RW UE        {computername}\IIS_WPG           Access: RW UE        BUILTIN\Administrators           Access: RWSUED     W3SVC/AppPools        NT AUTHORITY\LOCAL SERVICE           Access:    U        NT AUTHORITY\NETWORK SERVICE           Access:    U       {computername}\IIS_WPG           Access:    U        BUILTIN\Administrators           Access: RWSUED     W3SVC/INFO        BUILTIN\Administrators           Access: RWSUED     MSFTPSVC         BUILTIN\Administrators            Access: RWSUED      SMTPSVC         BUILTIN\Administrators           Access: RWSUED        NT AUTHORITY\LOCAL SERVICE           Access:    UE        NT AUTHORITY\NETWORK SERVICE           Access:    UE     NNTPSVC        BUILTIN\Administrators           Access: RWSUED        NT AUTHORITY\LOCAL SERVICE           Access:    UE        NT AUTHORITY\NETWORK SERVICE           Access:    UE     Logging        BUILTIN\Administrators           Access: RWSUED 						
  • Restricted ACLs The following list describes the metabase key properties that are marked as restricted on default installations of IIS 6.0:
    MD_ADMIN_ACLMD_VPROP_ADMIN_ACL_RAW_BINARYMD_APPPOOL_ORPHAN_ACTION_EXEMD_APPPOOL_ORPHAN_ACTION_PARAMSMD_APPPOOL_AUTO_SHUTDOWN_EXEMD_APPPOOL_AUTO_SHUTDOWN_PARAMSMD_APPPOOL_IDENTITY_TYPEMD_APP_APPPOOL_IDMD_APP_ISOLATEDMD_VR_PATHMD_ACCESS_PERMMD_VR_USERNAMEMD_VR_PASSWORDMD_ANONYMOUS_USER_NAMEMD_ANONYMOUS_PWDMD_LOGSQL_USER_NAMEMD_LOGSQL_PASSWORDMD_WAM_USER_NAMEMD_WAM_PWDMD_AD_CONNECTIONS_USERNAMEMD_AD_CONNECTIONS_PASSWORDMD_MAX_BANDWIDTHMD_MAX_BANDWIDTH_BLOCKEDMD_ISM_ACCESS_CHECKMD_FILTER_LOAD_ORDERMD_FILTER_ENABLEDMD_FILTER_IMAGE_PATHMD_SECURE_BINDINGSMD_SERVER_BINDINGSMD_ASP_ENABLECLIENTDEBUGMD_ASP_ENABLESERVERDEBUGMD_ASP_ENABLEPARENTPATHSMD_ASP_ERRORSTONTLOGMD_ASP_KEEPSESSIONIDSECUREMD_ASP_LOGERRORREQUESTSMD_ASP_DISKTEMPLATECACHEDIRECTORY36948 RouteUserName36949 RoutePassword36958 SmtpDsPassword41191 Pop3DsPassword45461 FeedAccountName45462 FeedPassword49384 ImapDsPassword						
Références
Pour plus d'informations sur les listes de contrôle d'accès et la métabase IIS, reportez-vous au adresse aux sites Web de Microsoft aux adresses suivantes :

Avertissement : Cet article a été traduit automatiquement.

Propriétés

ID d'article : 326902 - Dernière mise à jour : 12/03/2007 21:24:35 - Révision : 6.6

Microsoft Internet Information Services 6.0, Microsoft Internet Information Services 5.0, Microsoft Windows NT version 4.0 Option Pack

  • kbmt kbhowtomaster kbinfo KB326902 KbMtfr
Commentaires