ACL e l'utilizzo MetaACL per metabase ACL modifiche alle autorizzazioni

Il presente articolo è stato tradotto tramite il software di traduzione automatica di Microsoft e non da una persona. Microsoft offre sia articoli tradotti da persone fisiche sia articoli tradotti automaticamente da un software, in modo da rendere disponibili tutti gli articoli presenti nella nostra Knowledge Base nella lingua madre dell’utente. Tuttavia, un articolo tradotto in modo automatico non è sempre perfetto. Potrebbe contenere errori di sintassi, di grammatica o di utilizzo dei vocaboli, più o meno allo stesso modo di come una persona straniera potrebbe commettere degli errori parlando una lingua che non è la sua. Microsoft non è responsabile di alcuna imprecisione, errore o danno cagionato da qualsiasi traduzione non corretta dei contenuti o dell’utilizzo degli stessi fatto dai propri clienti. Microsoft, inoltre, aggiorna frequentemente il software di traduzione automatica.

Clicca qui per visualizzare la versione originale in inglese dell’articolo: 326902
importante In questo articolo contiene informazioni di modifica della metabase. Prima di modificare la metabase, verificare di avere a disposizione una copia di backup poter ripristinare se si verifica un problema. Per informazioni su come effettuare questa operazione, vedere "backup o ripristino configurazione" della Guida in Microsoft Management Console (MMC).
Sommario
Viene descritto come elenchi di controllo di accesso (ACL) utilizza la Microsoft Internet Information Server (IIS) 4.0 o metabase Microsoft Internet Information Services (IIS) 5.0. La metabase non è protetto solo dal sistema operativo ACL sul file specifico (metabase.bin), ma il file dispone anche di protezione ACL nella directory stessa.

Nota Il file metabase.bin sia la completamente compatibili con directory di X.500 LDAP (Lightweight Directory Access Protocol) ed è determinato dalle autorizzazioni in una relazione Parent\Child. Pertanto, gli ACL sono applicata in modo ricorsivo la directory fino a raggiunta la radice.

Viene inoltre descritto il ruolo di ACL nella metabase di IIS, come modificare gli ACL e gli ACL predefiniti per IIS 4.0 e IIS 5.0.
Informazioni

Elenchi di controllo di accesso

Introduzione

Nella metabase, ACL limitare l'accesso di determinati account utente a determinate chiavi nella directory metabase.bin. Due tipi di autorizzazioni vengono concesse con elenchi di controllo di accesso:
  • ACCESS_ALLOWED_ACE
  • ACCESS_DENIED_ACE
Microsoft consiglia di utilizzare ACCESS_ALLOWED_ACE solo perché Microsoft non esegue test ACCESS_DENIED_ACE ampiamente.

Poiché tutte le informazioni ACL viene memorizzate nella metabase stesso nella proprietà MD_ADMIN_ACL , è possibile visualizzare le informazioni con metabase tipica visualizzazione di strumenti quali Adsutil e Mdutil.

Diritti disponibili

Quando si modificano gli ACL della metabase, sono disponibili i seguenti diritti:
  • MD_ACR_UNSECURE_PROPS_READ : fornisce l'accesso in sola lettura un utente a qualsiasi proprietà non protetto.
  • MD_ACR_READ : fornisce un utente leggere i diritti per qualsiasi proprietà protetta o non protette.
  • MD_ACR_ENUM_KEYS : fornisce un utente il diritto di enumerare tutti i nomi dei nodi figlio.
  • MD_ACR_WRITE_DAC : fornisce un utente il diritto di scrivere o creare una proprietà AdminACL in corrispondenza del nodo corrispondente.
  • MD_ACR_WRITE : fornisce un utente il diritto di modificare (incluso il componente o set) proprietà ad eccezione della proprietà con restrizioni. Per ulteriori informazioni, vedere la sezione sulle proprietà limitate dalla piattaforma.
  • MD_ACR_RESTRICTED_WRITE : fornisce un utente il diritto di modificare qualsiasi proprietà attualmente impostato solo l'amministratore . Questa autorizzazione consente il controllo completo per tale chiave a un utente.

Modifica di ACL

avviso Se si modifica la metabase in modo non corretto, si possono provocare problemi gravi che potrebbero richiedere la reinstallazione dei prodotti che utilizza la metabase. Microsoft non garantisce che i problemi derivanti se si modifica in modo non corretto della metabase possano essere risolti. La modifica della metabase a proprio rischio.

Nota Eseguire sempre il backup della metabase prima di modificarlo.

Per modificare gli ACL, è possibile utilizzare un'utilità denominata Metaacl.vbs. Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito riportato:
267904Metaacl.exe Modifica autorizzazioni di metabase per il IIS Admin Objects
Questo esempio modifica la chiave w3svc per negare l'accesso per gli amministratori.

avviso Questa operazione in un sistema di produzione possibile estremamente pericoloso e causare di IIS per non funzionare come previsto. In questo esempio viene solo esaminato il processo di modifica a scopo dimostrativo.
  1. Copiare il file Metaacl.vbs nella directory %systemdrive%\Inetpub\Adminscripts.
  2. Fare clic su Start , fare clic su Esegui , digitare CMD e quindi scegliere Esegui per aprire un prompt dei comandi.
  3. Al prompt dei comandi, eseguire il seguente comando per modificare la directory Adminscripts:
    c:\cd Inetpub\Adminscripts					
  4. Per modificare i parametri che si trova in IIS: / / LOCALHOST/W3SVC, eseguire il comando riportato di seguito:
    c:\Inetpub\Adminscripts>cscript metaacl.vbs IIS://LOCALHOST/W3SVC mydomain\mydomainaccount RW					
    verrà visualizzata la seguente risposta:
    Voce ACE per mydomain\mydomainaccount aggiunto.
È possibile utilizzare Metaacl.vbs per aggiungere i seguenti diritti per qualsiasi utente:
  • R lettura
  • Scrittura di W
  • Scrittura con restrizioni S
  • Lettura proprietà U non protetta
  • E enumerare chiavi
  • D scrivere DACL (autorizzazioni)

ACL dalla piattaforma server

IIS 4.0

  • ACL predefiniti di seguito sono elencati gli ACL predefiniti inclusi nella directory metabase.bin quando è installato IIS 4.0:
    LM -   W3SVC      BUILTIN\Administrators        Access: RWSUED      Everyone        Access:     E   MSFTPSVC      BUILTIN\Administrators        Access: RWSUED      Everyone        Access:     E   SMTPSVC        BUILTIN\Administrators        Access: RWSUED      Everyone        Access:     E   NNTPSVC      BUILTIN\Administrators        Access: RWSUED      Everyone        Access:     E					
  • ACL con restrizioni di seguito sono elencati le proprietà chiave della metabase che sono contrassegnate come limitato nelle installazioni predefinite di IIS 4.0:
    MD_ADMIN_ACLMD_APP_ISOLATEDMD_VR_PATHMD_ACCESS_PERMMD_ANONYMOUS_USER_NAMEMD_ANONYMOUS_PWDMD_MAX_BANDWIDTHMD_MAX_BANDWIDTH_BLOCKEDMD_ISM_ACCESS_CHECKMD_FILTER_LOAD_ORDERMD_FILTER_STATEMD_FILTER_ENABLEDMD_FILTER_DESCRIPTIONMD_FILTER_FLAGSMD_FILTER_IMAGE_PATHMD_SECURE_BINDINGSMD_SERVER_BINDINGS					

IIS 5.0 (informazioni in lingua inglese)

  • ACL predefiniti di seguito sono elencati gli ACL predefiniti inclusi nella directory metabase.bin quando è installato IIS 5.0:
    LM -    W3SVC      BUILTIN\Administrators        Access: RWSUED      Everyone        Access:     E       {IISMachineName}\VS Developers        Access: RWSUE    MSFTPSVC      BUILTIN\Administrators        Access: RWSUED      Everyone        Access:     E   SMTPSVC      BUILTIN\Administrators        Access: RWSUED      Everyone        Access:     E    NNTPSVC      BUILTIN\Administrators        Access: RWSUED      Everyone        Access:     E 					
  • ACL con restrizioni di seguito sono elencati le proprietà chiave della metabase che sono contrassegnate come limitato nelle installazioni predefinite di IIS 5.0:
    MD_ADMIN_ACLMD_APP_ISOLATEDMD_VR_PATHMD_ACCESS_PERMMD_ANONYMOUS_USER_NAMEMD_ANONYMOUS_PWDMD_MAX_BANDWIDTHMD_MAX_BANDWIDTH_BLOCKEDMD_ISM_ACCESS_CHECKMD_FILTER_LOAD_ORDERMD_FILTER_STATEMD_FILTER_ENABLEDMD_FILTER_DESCRIPTIONMD_FILTER_FLAGSMD_FILTER_IMAGE_PATHMD_SECURE_BINDINGSMD_SERVER_BINDINGS					

IIS 6.0

  • Default ACLs The following list describes the default ACLs that are put in the Metabase.xml directory when IIS 6.0 is installed:
    LM –      W3SVC         NT AUTHORITY\LOCAL SERVICE 	  Access: R UE 	NT AUTHORITY\NETWORK SERVICE 	  Access: R UE 	{computername}\IIS_WPG            Access: R UE         BUILTIN\Administrators            Access: RWSUED        {computername}\ASPNET           Access: R   E      W3SVC/Filters        NT AUTHORITY\LOCAL SERVICE           Access: RW UE        NT AUTHORITY\NETWORK SERVIC           Access: RW UE        {computername}\IIS_WPG           Access: RW UE        BUILTIN\Administrators           Access: RWSUED     W3SVC/1/Filters        NT AUTHORITY\LOCAL SERVICE           Access: RW UE        NT AUTHORITY\NETWORK SERVIC           Access: RW UE        {computername}\IIS_WPG           Access: RW UE        BUILTIN\Administrators           Access: RWSUED     W3SVC/AppPools        NT AUTHORITY\LOCAL SERVICE           Access:    U        NT AUTHORITY\NETWORK SERVICE           Access:    U       {computername}\IIS_WPG           Access:    U        BUILTIN\Administrators           Access: RWSUED     W3SVC/INFO        BUILTIN\Administrators           Access: RWSUED     MSFTPSVC         BUILTIN\Administrators            Access: RWSUED      SMTPSVC         BUILTIN\Administrators           Access: RWSUED        NT AUTHORITY\LOCAL SERVICE           Access:    UE        NT AUTHORITY\NETWORK SERVICE           Access:    UE     NNTPSVC        BUILTIN\Administrators           Access: RWSUED        NT AUTHORITY\LOCAL SERVICE           Access:    UE        NT AUTHORITY\NETWORK SERVICE           Access:    UE     Logging        BUILTIN\Administrators           Access: RWSUED 						
  • Restricted ACLs The following list describes the metabase key properties that are marked as restricted on default installations of IIS 6.0:
    MD_ADMIN_ACLMD_VPROP_ADMIN_ACL_RAW_BINARYMD_APPPOOL_ORPHAN_ACTION_EXEMD_APPPOOL_ORPHAN_ACTION_PARAMSMD_APPPOOL_AUTO_SHUTDOWN_EXEMD_APPPOOL_AUTO_SHUTDOWN_PARAMSMD_APPPOOL_IDENTITY_TYPEMD_APP_APPPOOL_IDMD_APP_ISOLATEDMD_VR_PATHMD_ACCESS_PERMMD_VR_USERNAMEMD_VR_PASSWORDMD_ANONYMOUS_USER_NAMEMD_ANONYMOUS_PWDMD_LOGSQL_USER_NAMEMD_LOGSQL_PASSWORDMD_WAM_USER_NAMEMD_WAM_PWDMD_AD_CONNECTIONS_USERNAMEMD_AD_CONNECTIONS_PASSWORDMD_MAX_BANDWIDTHMD_MAX_BANDWIDTH_BLOCKEDMD_ISM_ACCESS_CHECKMD_FILTER_LOAD_ORDERMD_FILTER_ENABLEDMD_FILTER_IMAGE_PATHMD_SECURE_BINDINGSMD_SERVER_BINDINGSMD_ASP_ENABLECLIENTDEBUGMD_ASP_ENABLESERVERDEBUGMD_ASP_ENABLEPARENTPATHSMD_ASP_ERRORSTONTLOGMD_ASP_KEEPSESSIONIDSECUREMD_ASP_LOGERRORREQUESTSMD_ASP_DISKTEMPLATECACHEDIRECTORY36948 RouteUserName36949 RoutePassword36958 SmtpDsPassword41191 Pop3DsPassword45461 FeedAccountName45462 FeedPassword49384 ImapDsPassword						

Avviso: questo articolo è stato tradotto automaticamente

Proprietà

ID articolo: 326902 - Ultima revisione: 12/03/2007 21:24:35 - Revisione: 6.6

Microsoft Internet Information Services 6.0, Microsoft Internet Information Services 5.0, Microsoft Windows NT version 4.0 Option Pack

  • kbmt kbhowtomaster kbinfo KB326902 KbMtit
Feedback