IIS 6.0 での既定のアクセス許可とユーザー権利

はじめに
この資料では、新しくインストールされたアプリケーション サーバーにインターネット インフォメーション サービス (IIS) 6.0 をインストールした場合の既定のアクセス許可とユーザー権利の割り当てについて説明します。
詳細
以下の表は、NTFS ファイル システムのアクセス許可、レジストリのアクセス許可、および Microsoft Windows ユーザー権利についてまとめたものです。この情報は、インストール済み Windows コンポーネントに Microsoft ASP.NET が含まれている場合に適用されます。この資料では、World Wide Web Publishing Service に焦点を絞り、FTP (File Transfer Protocol) サービス、SMTP (Simple Mail Transfer Protocol) サービス、Microsoft FrontPage Server Extensions (FPSE) などの他のコンポーネントについては考慮しません。

注: この資料では便宜上、IUSR_MachineName アカウントが、構成済みの匿名アカウントと互換性を持つとして使用されています。

NTFS アクセス許可

ディレクトリユーザー\グループアクセス許可
%windir%\help\iishelp\commonAdministratorsフル コントロール
%windir%\help\iishelp\commonSYSTEMフル コントロール
%windir%\help\iishelp\commonIIS_WPG読み取りと実行
%windir%\help\iishelp\commonUsers (注 1 参照)読み取りと実行
%windir%\IIS Temporary Compressed FilesAdministratorsフル コントロール
%windir%\IIS Temporary Compressed FilesSystemフル コントロール
%windir%\IIS Temporary Compressed FilesIIS_WPGフル コントロール
%windir%\IIS Temporary Compressed FilesCREATOR OWNERフル コントロール
%windir%\system32\inetsrvAdministratorsフル コントロール
%windir%\system32\inetsrvSystemフル コントロール
%windir%\system32\inetsrvユーザー読み取りと実行
%windir%\system32\inetsrv\*.vbsAdministratorsフル コントロール
%windir%\system32\inetsrv\ASP compiled templatesAdministratorsフル コントロール
%windir%\system32\inetsrv\ASP compiled templatesIIS_WPGフル コントロール
%windir%\system32\inetsrv\HistoryAdministratorsフル コントロール
%windir%\system32\inetsrv\HistorySystemフル コントロール
%windir%\system32\LogfilesAdministratorsフル コントロール
%windir%\system32\inetsrv\metabackAdministratorsフル コントロール
%windir%\system32\inetsrv\metabackSystemフル コントロール
Inetpub\AdminscriptsAdministratorsフル コントロール
Inetpub\wwwroot (またはコンテンツ ディレクトリ)Administratorsフル コントロール
Inetpub\wwwroot (またはコンテンツ ディレクトリ)Systemフル コントロール
Inetpub\wwwroot (またはコンテンツ ディレクトリ)IIS_WPG読み取りと実行
Inetpub\wwwroot (またはコンテンツ ディレクトリ)IUSR_MachineName読み取りと実行
Inetpub\wwwroot (またはコンテンツ ディレクトリ)ASPNET (注 2 参照)読み取りと実行
注 1: 基本認証または統合認証を使用する場合と、カスタム エラーが構成される場合には、このディレクトリに対するアクセス許可が必要です。たとえば、エラー 401.1 が発生した場合、ログオンしているユーザーには、4011.htm ファイルを読み取るためのアクセス許可がそのユーザーに付与されている場合に限り、詳細なカスタム エラーが正常に表示されます。

注 2: 既定では、ASP.NET は IIS 5.0 分離モードで ASP.NET プロセス ID として使用されます。ASP.NET が IIS 5.0 分離モードに切り替えられた場合、ASP.NET にはコンテンツ エリアへのアクセス権が必要です。ASP.NET プロセスの分離については、IIS ヘルプを参照してください。詳細については、次のマイクロソフト Web サイトを参照してください。

ASP.NET プロセスの分離

レジストリのアクセス許可

場所ユーザー\グループアクセス許可
HKLM\System\CurrentControlSet\Services\ASPAdministratorsフル コントロール
HKLM\System\CurrentControlSet\Services\ASPSystemフル コントロール
HKLM\System\CurrentControlSet\Services\ASPIIS_WPG読み取り
HKLM\System\CurrentControlSet\Services\HTTPAdministratorsフル コントロール
HKLM\System\CurrentControlSet\Services\HTTPSystemフル コントロール
HKLM\System\CurrentControlSet\Services\HTTPIIS_WPG読み取り
HKLM\System\CurrentControlSet\Services\IISAdminAdministratorsフル コントロール
HKLM\System\CurrentControlSet\Services\IISAdminSystemフル コントロール
HKLM\System\CurrentControlSet\Services\IISAdminIIS_WPG読み取り
HKLM\System\CurrentControlSet\Services\w3svcAdministratorsフル コントロール
HKLM\System\CurrentControlSet\Services\w3svcSystemフル コントロール
HKLM\System\CurrentControlSet\Services\w3svcIIS_WPG読み取り

Windows ユーザー権利

ポリシーUsers
ネットワーク経由でコンピューターへアクセスAdministrators
ネットワーク経由でコンピューターへアクセスASPNET
ネットワーク経由でコンピューターへアクセスIUSR_MachineName
ネットワーク経由でコンピューターへアクセスIWAM_MachineName
ネットワーク経由でコンピューターへアクセスUsers
プロセスのメモリ クォータの増加Administrators
プロセスのメモリ クォータの増加IWAM_MachineName
プロセスのメモリ クォータの増加LOCAL SERVICE
プロセスのメモリ クォータの増加NETWORK SERVICE
走査チェックのバイパスIIS_WPG
ローカル ログオンを許可する (注 2 を参照)Administrators
ローカル ログオンを許可する (注 2 を参照)IUSR_MachineName
ローカルでログオンを拒否するASPNET
認証後にクライアントを偽装Administrators
認証後にクライアントを偽装ASPNET
認証後にクライアントを偽装IIS_WPG
認証後にクライアントを偽装SERVICE
バッチ ジョブとしてログオンASPNET
バッチ ジョブとしてログオンIIS_WPG
バッチ ジョブとしてログオンIUSR_MachineName
バッチ ジョブとしてログオンIWAM_MachineName
バッチ ジョブとしてログオンLOCAL SERVICE
サービスとしてログオンASPNET
サービスとしてログオンNETWORK SERVICE
プロセス レベル トークンの置き換えIWAM_MachineName
プロセス レベル トークンの置き換えLOCAL SERVICE
プロセス レベル トークンの置き換えNETWORK SERVICE
注 1: IIS 6.0 が搭載された Microsoft Windows Server 2003 の新規の既定のインストール環境では、Users グループと Everyone グループに "走査チェックのバイパス" アクセス許可があります。ワーカー プロセス ID はこれらのグループのいずれかからこのアクセス許可を継承します。両方のグループがこのアクセス許可から削除され、ワーカー プロセス ID が他の割り当てからアクセス許可を継承しない場合、ワーカー プロセスは起動しません。Users グループと Everyone グループを "走査チェックのバイパス" アクセス許可から削除する必要がある場合は、IIS_WPG グループを追加して IIS が予期したとおり機能できるようにします。

注 2: IIS 6.0 では、基本認証が認証オプションの 1 つとして構成された場合、基本認証に対する LogonMethod メタベース プロパティは NETWORK_CLEARTEXT です。NETWORK_CLEARTEXT ログオン タイプは、"ローカル ログオンを許可する" ユーザー権利を必要としません。これは、また、匿名認証にも適用されます。詳細については、IIS ヘルプのトピック「基本認証」の「既定のログオンの種類」、および次のマイクロソフト Web サイトを参照してください。

基本認証
関連情報
IIS セキュリティの実装と管理方法の詳細については、次のマイクロソフト Web サイトを参照してください。

Windows Server 2003 セキュリティ ガイド TechNetWeb アプリケーションのセキュリティ強化: 脅威とその対策 (英語情報)
注意 : これは、マイクロソフトのサポート組織内で直接作成された "緊急公開" の資料です。 この資料には、確認中の問題に関する現状ベースの情報が記載されています。 情報提供のスピードを優先するため、資料には誤植が含まれる可能性があり、予告なしに随時改定される場合があります。 その他の考慮事項については、使用条件を参照してください。
プロパティ

文書番号:812614 - 最終更新日: 01/27/2014 13:54:00 - リビジョン: 1.0

Microsoft Internet Information Services 6.0

  • kbhowto kbinfo KB812614
フィードバック