ACL、および MetaACL を使用したメタベースの ACL アクセス許可の変更

重要 : この資料には、メタベースの編集に関する情報が含まれています。メタベースを編集する前に、問題が発生した場合に備えて、復元用のバックアップ コピーを取っておいてください。バックアップ コピーの方法の詳細については、Microsoft 管理コンソール (MMC) のヘルプ トピック「メタベースのバックアップと復元の方法」を参照してください。
概要
この資料では、Microsoft Internet Information Server (IIS) 4.0 または Microsoft インターネット インフォメーション サービス (IIS) 5.0 のメタベースにおけるアクセス制御リスト (ACL) の役割について説明します。メタベースは、ファイル自体 (Metabase.bin) に対するオペレーティング システムの ACL によって保護されているほか、ディレクトリ自体も ACL で保護されています。

: Metabase.bin ファイルは、仕様に完全に準拠した X.500 LDAP (Lightweight Directory Access Protocol) ディレクトリであり、親子関係のアクセス許可によって制御されます。したがって、ACL はルートまでの親ディレクトリに再帰的に適用されます。

この資料では、IIS メタベースにおける ACL の役割、ACL の編集方法、および IIS 4.0 と IIS 5.0 のデフォルトの ACL についても説明します。
詳細

アクセス制御リスト

はじめに

メタベースでは、ACL によって、特定のユーザー アカウントからアクセス可能な Metabase.bin ディレクトリ内のキーが制限されます。ACL では以下の 2 種類のアクセス許可が付与されます。
  • ACCESS_ALLOWED_ACE
  • ACCESS_DENIED_ACE
ACCESS_DENIED_ACE のテストは十分に行われていないため、ACCESS_ALLOWED_ACE のみを使用することをお勧めします。

ACL の情報はすべて、メタベース自体の MD_ADMIN_ACL プロパティに格納されているため、Adsutil や Mdutil などの一般的なメタベース表示ツールを使用して確認できます。

使用可能な権限

メタベース ACL を変更する場合、以下の権限を使用できます。
  • MD_ACR_UNSECURE_PROPS_READ : セキュリティ保護されていないプロパティに対する読み取り専用のアクセスをユーザーに許可します。
  • MD_ACR_READ : セキュリティ保護されているプロパティおよびセキュリティ保護されていないプロパティに対する読み取りの権限をユーザーに付与します。
  • MD_ACR_ENUM_KEYS : すべての子ノードの名前を列挙する権限をユーザーに付与します。
  • MD_ACR_WRITE_DAC : 対応するノードで AdminACL プロパティの書き込みまたは作成を行う権限をユーザーに付与します。
  • MD_ACR_WRITE : 制限付きプロパティ以外のプロパティの変更 (追加および設定も含みます) を行う権限をユーザーに付与します。詳細については、プラットフォーム別の制限付きプロパティの項を参照してください。
  • MD_ACR_RESTRICTED_WRITE : 現在 "管理者のみ" に設定されているプロパティの変更を行う権限をユーザーに付与します。これにより、そのキーに対するフルコントロールのアクセス許可がユーザーに付与されます。

ACL の編集

警告 : メタベースを誤って編集すると、深刻な問題が発生することがあります。最悪の場合、メタベースを使用するすべての製品の再インストールが必要になることがあります。マイクロソフトは、メタベースの誤った編集により発生した問題に関しては、一切責任を負わないものとします。メタベースの編集は、自己の責任において行ってください。

: メタベースを編集する前に、メタベースのバックアップを必ず作成してください。

ACL を編集するには、Metaacl.vbs というユーティリティを使用します。関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
267904 [IIS] SAMPLE: IIS Admin オブジェクト用のメタベース アクセス許可を変更するサンプル Metaacl.exe
この例では、管理者のアクセスを拒否するように w3svc キーを変更します。

警告 : 実際に運用中のシステムでこの操作を行うことは非常に危険であり、これによって IIS が正常に動作しなくなる場合があります。この例は、説明のために、編集の手順を示したものです。
  1. Metaacl.vbs ファイルを %systemdrive%\Inetpub\Adminscripts ディレクトリにコピーします。
  2. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。CMD と入力し、[OK] をクリックして、コマンド プロンプトを開きます。
  3. プロンプトで以下のコマンドを実行して Adminscripts ディレクトリに移動します。
    c:\cd Inetpub\Adminscripts					
  4. 以下のコマンドを実行して IIS://LOCALHOST/W3SVC にあるパラメータを変更します。
    c:\Inetpub\Adminscripts>cscript metaacl.vbs IIS://LOCALHOST/W3SVC mydomain\mydomainaccount RW					
    以下の応答があります。
    ACE for mydomain\mydomainaccount added.
Metaacl.vbs を使用して以下の権限をユーザーに追加できます。
  • R - 読み取り (Read)
  • W - 書き込み (Write)
  • S - 制限付き書き込み (Restricted Write)
  • U - セキュリティ保護されていないプロパティの読み取り (Unsecure Properties Read)
  • E - キーの列挙 (Enumerate Keys)
  • D - DACL (アクセス許可) の書き込み (Write DACL (permissions))

サーバー プラットフォーム別の ACL

IIS 4.0

  • デフォルトの ACL

    IIS 4.0 のインストール時に Metabase.bin ディレクトリに保存されるデフォルトの ACL を以下に示します。
    LM -   W3SVC      BUILTIN\Administrators        Access: RWSUED      Everyone        Access:     E   MSFTPSVC      BUILTIN\Administrators        Access: RWSUED      Everyone        Access:     E   SMTPSVC        BUILTIN\Administrators        Access: RWSUED      Everyone        Access:     E   NNTPSVC      BUILTIN\Administrators        Access: RWSUED      Everyone        Access:     E					
  • 制限付き ACL

    IIS 4.0 のデフォルト インストールで制限付きとマークされるメタベース キー プロパティを以下に示します。
    MD_ADMIN_ACLMD_APP_ISOLATEDMD_VR_PATHMD_ACCESS_PERMMD_ANONYMOUS_USER_NAMEMD_ANONYMOUS_PWDMD_MAX_BANDWIDTHMD_MAX_BANDWIDTH_BLOCKEDMD_ISM_ACCESS_CHECKMD_FILTER_LOAD_ORDERMD_FILTER_STATEMD_FILTER_ENABLEDMD_FILTER_DESCRIPTIONMD_FILTER_FLAGSMD_FILTER_IMAGE_PATHMD_SECURE_BINDINGSMD_SERVER_BINDINGS					

IIS 5.0

  • デフォルトの ACL

    IIS 5.0 のインストール時に Metabase.bin ディレクトリに保存されるデフォルトの ACL を以下に示します。
    LM -    W3SVC      BUILTIN\Administrators        Access: RWSUED      Everyone        Access:     E       {IISMachineName}\VS Developers        Access: RWSUE    MSFTPSVC      BUILTIN\Administrators        Access: RWSUED      Everyone        Access:     E   SMTPSVC      BUILTIN\Administrators        Access: RWSUED      Everyone        Access:     E    NNTPSVC      BUILTIN\Administrators        Access: RWSUED      Everyone        Access:     E 					
  • 制限付き ACL

    IIS 5.0 のデフォルト インストールで制限付きとマークされるメタベース キー プロパティを以下に示します。
    MD_ADMIN_ACLMD_APP_ISOLATEDMD_VR_PATHMD_ACCESS_PERMMD_ANONYMOUS_USER_NAMEMD_ANONYMOUS_PWDMD_MAX_BANDWIDTHMD_MAX_BANDWIDTH_BLOCKEDMD_ISM_ACCESS_CHECKMD_FILTER_LOAD_ORDERMD_FILTER_STATEMD_FILTER_ENABLEDMD_FILTER_DESCRIPTIONMD_FILTER_FLAGSMD_FILTER_IMAGE_PATHMD_SECURE_BINDINGSMD_SERVER_BINDINGS					

IIS 6.0

  • デフォルトの ACL

    IIS 6.0 のインストール時に Metabase.bin ディレクトリに保存されるデフォルトの ACL を以下に示します。
    LM -   W3SVC           NT AUTHORITY\LOCAL SERVICE         Access: R  UE       NT AUTHORITY\NETWORK SERVICE         Access: R  UE       {WebServerMachineName}\IIS_WPG         Access: R  UE       BUILTIN\Administrators         Access: RWSUED   MSFTPSVC      BUILTIN\Administrators         Access: RWSUED    SMTPSVC   NNTPSVC						
  • 制限付き ACL

    IIS 6.0 のデフォルト インストールで制限付きとマークされるメタベース キー プロパティを以下に示します。
    MD_ADMIN_ACLMD_VPROP_ADMIN_ACL_RAW_BINARYMD_APPPOOL_ORPHAN_ACTION_EXEMD_APPPOOL_ORPHAN_ACTION_PARAMSMD_APPPOOL_AUTO_SHUTDOWN_EXEMD_APPPOOL_AUTO_SHUTDOWN_PARAMSMD_APPPOOL_IDENTITY_TYPEMD_APP_APPPOOL_IDMD_APP_ISOLATEDMD_VR_PATHMD_ACCESS_PERMMD_VR_USERNAMEMD_VR_PASSWORDMD_ANONYMOUS_USER_NAMEMD_ANONYMOUS_PWDMD_LOGSQL_USER_NAMEMD_LOGSQL_PASSWORDMD_WAM_USER_NAMEMD_WAM_PWDMD_AD_CONNECTIONS_USERNAMEMD_AD_CONNECTIONS_PASSWORDMD_MAX_BANDWIDTHMD_MAX_BANDWIDTH_BLOCKEDMD_ISM_ACCESS_CHECKMD_FILTER_LOAD_ORDERMD_FILTER_ENABLEDMD_FILTER_IMAGE_PATHMD_SECURE_BINDINGSMD_SERVER_BINDINGSMD_ASP_ENABLECLIENTDEBUGMD_ASP_ENABLESERVERDEBUGMD_ASP_ENABLEPARENTPATHSMD_ASP_ERRORSTONTLOGMD_ASP_KEEPSESSIONIDSECUREMD_ASP_LOGERRORREQUESTSMD_ASP_DISKTEMPLATECACHEDIRECTORY36948 RouteUserName36949 RoutePassword36958 SmtpDsPassword41191 Pop3DsPassword45461 FeedAccountName45462 FeedPassword49384 ImapDsPassword						
Properti

ID Artikel: 326902 - Tinjauan Terakhir: 05/17/2006 03:40:17 - Revisi: 6.0

Microsoft Internet Information Services 6.0, Microsoft Internet Information Services 5.0, Microsoft Windows NT version 4.0 Option Pack

  • kbhowtomaster kbinfo KB326902
Tanggapan