ACL、および MetaACL を使用したメタベースの ACL アクセス許可の変更

重要 : この資料には、メタベースの編集に関する情報が含まれています。メタベースを編集する前に、問題が発生した場合に備えて、復元用のバックアップ コピーを取っておいてください。バックアップ コピーの方法の詳細については、Microsoft 管理コンソール (MMC) のヘルプ トピック「メタベースのバックアップと復元の方法」を参照してください。

概要

この資料では、Microsoft Internet Information Server (IIS) 4.0 または Microsoft インターネット インフォメーション サービス (IIS) 5.0 のメタベースにおけるアクセス制御リスト (ACL) の役割について説明します。メタベースは、ファイル自体 (Metabase.bin) に対するオペレーティング システムの ACL によって保護されているほか、ディレクトリ自体も ACL で保護されています。


: Metabase.bin ファイルは、仕様に完全に準拠した X.500 LDAP (Lightweight Directory Access Protocol) ディレクトリであり、親子関係のアクセス許可によって制御されます。したがって、ACL はルートまでの親ディレクトリに再帰的に適用されます。


この資料では、IIS メタベースにおける ACL の役割、ACL の編集方法、および IIS 4.0 と IIS 5.0 のデフォルトの ACL についても説明します。

詳細

アクセス制御リスト

はじめに

メタベースでは、ACL によって、特定のユーザー アカウントからアクセス可能な Metabase.bin ディレクトリ内のキーが制限されます。ACL では以下の 2 種類のアクセス許可が付与されます。

  • ACCESS_ALLOWED_ACE
  • ACCESS_DENIED_ACE
ACCESS_DENIED_ACE のテストは十分に行われていないため、ACCESS_ALLOWED_ACE のみを使用することをお勧めします。


ACL の情報はすべて、メタベース自体の MD_ADMIN_ACL プロパティに格納されているため、Adsutil や Mdutil などの一般的なメタベース表示ツールを使用して確認できます。


使用可能な権限

メタベース ACL を変更する場合、以下の権限を使用できます。

  • MD_ACR_UNSECURE_PROPS_READ : セキュリティ保護されていないプロパティに対する読み取り専用のアクセスをユーザーに許可します。
  • MD_ACR_READ : セキュリティ保護されているプロパティおよびセキュリティ保護されていないプロパティに対する読み取りの権限をユーザーに付与します。
  • MD_ACR_ENUM_KEYS : すべての子ノードの名前を列挙する権限をユーザーに付与します。
  • MD_ACR_WRITE_DAC : 対応するノードで AdminACL プロパティの書き込みまたは作成を行う権限をユーザーに付与します。
  • MD_ACR_WRITE : 制限付きプロパティ以外のプロパティの変更 (追加および設定も含みます) を行う権限をユーザーに付与します。詳細については、プラットフォーム別の制限付きプロパティの項を参照してください。
  • MD_ACR_RESTRICTED_WRITE : 現在 "管理者のみ" に設定されているプロパティの変更を行う権限をユーザーに付与します。これにより、そのキーに対するフルコントロールのアクセス許可がユーザーに付与されます。

ACL の編集

警告 : メタベースを誤って編集すると、深刻な問題が発生することがあります。最悪の場合、メタベースを使用するすべての製品の再インストールが必要になることがあります。マイクロソフトは、メタベースの誤った編集により発生した問題に関しては、一切責任を負わないものとします。メタベースの編集は、自己の責任において行ってください。


: メタベースを編集する前に、メタベースのバックアップを必ず作成してください。


ACL を編集するには、Metaacl.vbs というユーティリティを使用します。
関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。

267904 [IIS] SAMPLE: IIS Admin オブジェクト用のメタベース アクセス許可を変更するサンプル Metaacl.exe
この例では、管理者のアクセスを拒否するように w3svc キーを変更します。


警告 : 実際に運用中のシステムでこの操作を行うことは非常に危険であり、これによって IIS が正常に動作しなくなる場合があります。この例は、説明のために、編集の手順を示したものです。

  1. Metaacl.vbs ファイルを %systemdrive%\Inetpub\Adminscripts ディレクトリにコピーします。
  2. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。CMD と入力し、[OK] をクリックして、コマンド プロンプトを開きます。
  3. プロンプトで以下のコマンドを実行して Adminscripts ディレクトリに移動します。
    c:\cd Inetpub\Adminscripts
  4. 以下のコマンドを実行して IIS://LOCALHOST/W3SVC にあるパラメータを変更します。
    c:\Inetpub\Adminscripts>cscript metaacl.vbs IIS://LOCALHOST/W3SVC mydomain\mydomainaccount RW
    以下の応答があります。

    ACE for mydomain\mydomainaccount added.
Metaacl.vbs を使用して以下の権限をユーザーに追加できます。

  • R - 読み取り (Read)
  • W - 書き込み (Write)
  • S - 制限付き書き込み (Restricted Write)
  • U - セキュリティ保護されていないプロパティの読み取り (Unsecure Properties Read)
  • E - キーの列挙 (Enumerate Keys)
  • D - DACL (アクセス許可) の書き込み (Write DACL (permissions))

サーバー プラットフォーム別の ACL

IIS 4.0

  • デフォルトの ACL

    IIS 4.0 のインストール時に Metabase.bin ディレクトリに保存されるデフォルトの ACL を以下に示します。
    LM -
    W3SVC
    BUILTIN\Administrators
    Access: RWSUED
    Everyone
    Access: E
    MSFTPSVC
    BUILTIN\Administrators
    Access: RWSUED
    Everyone
    Access: E
    SMTPSVC
    BUILTIN\Administrators
    Access: RWSUED
    Everyone
    Access: E
    NNTPSVC
    BUILTIN\Administrators
    Access: RWSUED
    Everyone
    Access: E
  • 制限付き ACL

    IIS 4.0 のデフォルト インストールで制限付きとマークされるメタベース キー プロパティを以下に示します。

    MD_ADMIN_ACL
    MD_APP_ISOLATED
    MD_VR_PATH
    MD_ACCESS_PERM
    MD_ANONYMOUS_USER_NAME
    MD_ANONYMOUS_PWD
    MD_MAX_BANDWIDTH
    MD_MAX_BANDWIDTH_BLOCKED
    MD_ISM_ACCESS_CHECK
    MD_FILTER_LOAD_ORDER
    MD_FILTER_STATE
    MD_FILTER_ENABLED
    MD_FILTER_DESCRIPTION
    MD_FILTER_FLAGS
    MD_FILTER_IMAGE_PATH
    MD_SECURE_BINDINGS
    MD_SERVER_BINDINGS

IIS 5.0

  • デフォルトの ACL

    IIS 5.0 のインストール時に Metabase.bin ディレクトリに保存されるデフォルトの ACL を以下に示します。

    LM - 
    W3SVC
    BUILTIN\Administrators
    Access: RWSUED
    Everyone
    Access: E
    {IISMachineName}\VS Developers
    Access: RWSUE
    MSFTPSVC
    BUILTIN\Administrators
    Access: RWSUED
    Everyone
    Access: E
    SMTPSVC
    BUILTIN\Administrators
    Access: RWSUED
    Everyone
    Access: E
    NNTPSVC
    BUILTIN\Administrators
    Access: RWSUED
    Everyone
    Access: E
  • 制限付き ACL

    IIS 5.0 のデフォルト インストールで制限付きとマークされるメタベース キー プロパティを以下に示します。

    MD_ADMIN_ACL
    MD_APP_ISOLATED
    MD_VR_PATH
    MD_ACCESS_PERM
    MD_ANONYMOUS_USER_NAME
    MD_ANONYMOUS_PWD
    MD_MAX_BANDWIDTH
    MD_MAX_BANDWIDTH_BLOCKED
    MD_ISM_ACCESS_CHECK
    MD_FILTER_LOAD_ORDER
    MD_FILTER_STATE
    MD_FILTER_ENABLED
    MD_FILTER_DESCRIPTION
    MD_FILTER_FLAGS
    MD_FILTER_IMAGE_PATH
    MD_SECURE_BINDINGS
    MD_SERVER_BINDINGS

IIS 6.0

  • デフォルトの ACL

    IIS 6.0 のインストール時に Metabase.bin ディレクトリに保存されるデフォルトの ACL を以下に示します。
    LM -
    W3SVC
    NT AUTHORITY\LOCAL SERVICE
    Access: R UE
    NT AUTHORITY\NETWORK SERVICE
    Access: R UE
    {WebServerMachineName}\IIS_WPG
    Access: R UE
    BUILTIN\Administrators
    Access: RWSUED
    MSFTPSVC
    BUILTIN\Administrators
    Access: RWSUED
    SMTPSVC

    NNTPSVC
  • 制限付き ACL

    IIS 6.0 のデフォルト インストールで制限付きとマークされるメタベース キー プロパティを以下に示します。

    MD_ADMIN_ACL
    MD_VPROP_ADMIN_ACL_RAW_BINARY
    MD_APPPOOL_ORPHAN_ACTION_EXE
    MD_APPPOOL_ORPHAN_ACTION_PARAMS
    MD_APPPOOL_AUTO_SHUTDOWN_EXE
    MD_APPPOOL_AUTO_SHUTDOWN_PARAMS
    MD_APPPOOL_IDENTITY_TYPE
    MD_APP_APPPOOL_ID
    MD_APP_ISOLATED
    MD_VR_PATH
    MD_ACCESS_PERM
    MD_VR_USERNAME
    MD_VR_PASSWORD
    MD_ANONYMOUS_USER_NAME
    MD_ANONYMOUS_PWD
    MD_LOGSQL_USER_NAME
    MD_LOGSQL_PASSWORD
    MD_WAM_USER_NAME
    MD_WAM_PWD
    MD_AD_CONNECTIONS_USERNAME
    MD_AD_CONNECTIONS_PASSWORD
    MD_MAX_BANDWIDTH
    MD_MAX_BANDWIDTH_BLOCKED
    MD_ISM_ACCESS_CHECK
    MD_FILTER_LOAD_ORDER
    MD_FILTER_ENABLED
    MD_FILTER_IMAGE_PATH
    MD_SECURE_BINDINGS
    MD_SERVER_BINDINGS
    MD_ASP_ENABLECLIENTDEBUG
    MD_ASP_ENABLESERVERDEBUG
    MD_ASP_ENABLEPARENTPATHS
    MD_ASP_ERRORSTONTLOG
    MD_ASP_KEEPSESSIONIDSECURE
    MD_ASP_LOGERRORREQUESTS
    MD_ASP_DISKTEMPLATECACHEDIRECTORY
    36948 RouteUserName
    36949 RoutePassword
    36958 SmtpDsPassword
    41191 Pop3DsPassword
    45461 FeedAccountName
    45462 FeedPassword
    49384 ImapDsPassword
プロパティ

文書番号:326902 - 最終更新日: 2006/05/17 - リビジョン: 1

フィードバック