IIS 7.0 以降での既定のアクセス許可とユーザー権利

[アーティクル]
01/10/2024

この記事では、特定のフォルダーとファイルに対して設定される既定のアクセス許可とユーザー権限について説明します。これらのフォルダーとファイルは、Microsoft インターネットインフォメーションサービス (IIS) 7.0 以降でインストールされます。

元の製品バージョン: インターネットインフォメーションサービス 8.0
元の KB 番号: 981949

IIS 6.0、IIS 7.0、およびそれ以降のバージョンでのアクセス許可の変更

IIS 6.0 では、IIS のインストール時にローカルアカウント (IUSR_MachineName) が作成されます。アカウントは IUSR_MachineName、匿名認証が有効になっている場合に IIS によって使用される既定の ID です。匿名認証は、ファイル転送プロトコル (FTP) サービスとハイパーテキスト転送プロトコル (HTTP) サービスの両方で使用されます。 IIS 6.0 には、IIS_WPG という名前のグループも含まれています。 IIS_WPG グループは、すべてのアプリケーションプール ID のコンテナーとして使用されます。

IIS 7.0 以降では、組み込みアカウント (IUSR) によって IUSR_MachineName アカウントが置き換えられます。さらに、IIS_IUSRS という名前のグループが IIS_WPG グループに置き換えられます。 IUSR アカウントは組み込みアカウントであるため、IUSR アカウントにはパスワードは不要です。 IUSR アカウントは、ネットワークまたはローカルサービスアカウントに似ています。この IUSR_MachineName アカウントは、Windows Server 2008 DVD に含まれる FTP 6 サーバーがインストールされている場合にのみ作成、使用されます。 FTP 6 サーバーがインストールされていない場合、アカウントは作成されません。

IIS 7.5 以降では、 アプリケーションプール ID と呼ばれる新しいセキュリティ機能が追加されています。この機能を使用すると、ドメインまたはローカルアカウントを作成して管理することなく、一意のアカウントでアプリケーションプールを実行できます。アプリケーションプールアカウントの名前は、アプリケーションプールの名前に対応します。

IIS 7.0 アカウントとグループの詳細については、「 IIS 7 の組み込みのユーザーアカウントとグループアカウントについて理解する」を参照してください。

アプリケーションプール ID の詳細については、「アプリケーションプール ID」を参照してください。

既定の NTFS ファイルシステムのアクセス許可

このセクションの表では、特定のフォルダーとファイルに割り当てられている既定の New Technology File System (NTFS) のアクセス許可が一覧化されています。これらのフォルダーとファイルは、IIS 7.0、IIS 7.5、IIS 8.0、IIS 8.5、および IIS 10.0 と共にインストールされます。

\inetpub

ユーザー/グループ	許可されたアクセス	コメント
CREATOR OWNER	特別なアクセス許可	フルコントロールに相当します。サブフォルダーとファイルにのみ適用されます。
SYSTEM	フルコントロール
管理者	フルコントロール
ユーザー	読み取り & 実行フォルダーの内容の読み取り
TrustedInstaller	フルコントロール

\inetpub\AdminScripts

ユーザー/グループ	許可されたアクセス	コメント
CREATOR OWNER	特別なアクセス許可	フルコントロールに相当します。サブフォルダーとファイルにのみ適用されます。
SYSTEM	フルコントロール
管理者	フルコントロール
ユーザー	読み取り & 実行フォルダーの内容の読み取り
TrustedInstaller	フルコントロール

\inetpub\AdminScripts\0409

ユーザー/グループ	許可されたアクセス	コメント
CREATOR OWNER	特別なアクセス許可	フルコントロールに相当します。サブフォルダーとファイルにのみ適用されます。から `\inetpub\AdminScripts`継承されます。
SYSTEM	フルコントロール	`\inetpub\AdminScripts` から継承されます。
管理者	フルコントロール	`\inetpub\AdminScripts` から継承されます。
ユーザー	読み取り & 実行フォルダーの内容の読み取り	`\inetpub\AdminScripts` から継承されます。
TrustedInstaller	フルコントロール	`\inetpub\AdminScripts` から継承されます。

\inetpub\custerr

ユーザー/グループ	許可されたアクセス	コメント
CREATOR OWNER	特別なアクセス許可	フルコントロールに相当します。サブフォルダーとファイルにのみ適用されます。から `\inetpub`継承されます。
SYSTEM	フルコントロール特殊なアクセス許可	フルコントロールは、`\inetpub` から継承されます。特殊なアクセス許可は、フルコントロールと同等です。このフォルダーにのみ適用されます。
管理者	フルコントロール特殊なアクセス許可	フルコントロールは、`\inetpub` から継承されます。フルコントロールと同じです。このフォルダーにのみ適用されます。
ユーザー	読み取り & 実行フォルダーの内容を一覧表示する特殊なアクセス許可の読み取り	アクセス許可は、特別なアクセス許可を除いて `\inetpub` から継承されます。このフォルダーにのみ特別なアクセス許可が適用され、次のものが含まれます。フォルダーのスキャン、ファイルの実行フォルダーの一覧表示、データの読み取り属性の読み取り拡張属性の読み取りアクセス許可の読み取り
TrustedInstaller	フルコントロール	`\inetpub` から継承されます。

\inetpub\custerr\ja-jp

ユーザー、グループ	許可されたアクセス	コメント
CREATOR OWNER	特別なアクセス許可	フルコントロールに相当します。サブフォルダーとファイルにのみ適用されます。から `\inetpub`継承されます。
SYSTEM	フルコントロール	`\inetpub` から継承されます。
管理者	フルコントロール	`\inetpub` から継承されます。
ユーザー	読み取り & 実行フォルダーの内容の読み取り	`\inetpub` から継承されます。
TrustedInstaller	フルコントロール	`\inetpub` から継承されます。

\inetpub\ftproot

ユーザー/グループ	許可されたアクセス	コメント
CREATOR OWNER	特別なアクセス許可	フルコントロールに相当します。サブフォルダーとファイルにのみ適用されます。から `\inetpub`継承されます。
SYSTEM	フルコントロール	`\inetpub` から継承されます。
管理者	フルコントロール	`\inetpub` から継承されます。
ユーザー	読み取り & 実行フォルダーの内容の読み取り	`\inetpub` から継承されます。
TrustedInstaller	フルコントロール	`\inetpub` から継承されます。

\inetpub\history とサブフォルダー

ユーザー/グループ	許可されたアクセス	コメント
SYSTEM	フルコントロール
管理者	フルコントロール

\inetpub\logs

ユーザー/グループ	許可されたアクセス	コメント
CREATOR OWNER	特別なアクセス許可	フルコントロールに相当します。サブフォルダーとファイルにのみ適用されます。から `\inetpub`継承されます。
SYSTEM	フルコントロール	`\inetpub` から継承されます。
管理者	フルコントロール	`\inetpub` から継承されます。
ユーザー	読み取り & 実行フォルダーの内容の読み取り	`\inetpub` から継承されます。
WMSvc	フォルダーコンテンツの一覧表示
TrustedInstaller	フルコントロール	`\inetpub` から継承されます。

\inetpub\logs\FailedReqLogFiles

ユーザー/グループ	許可されたアクセス	コメント
IIS_IUSRS	特別なアクセス許可	特別なアクセス許可には、次のものが含まれます。フォルダーの一覧表示、データの読み取りファイルの作成/データの書き込みフォルダーの作成/データの追加属性の書き込み拡張属性の書き込みサブフォルダーとファイルの削除 Delete
SYSTEM	フルコントロール
管理者	フルコントロール

\inetpub\logs\wmsvc

ユーザー/グループ	許可されたアクセス	コメント
CREATOR OWNER	特別なアクセス許可	フルコントロールに相当します。サブフォルダーとファイルにのみ適用されます。から `\inetpub`継承されます。
SYSTEM	フルコントロール	`\inetpub` から継承されます。
管理者	フルコントロール	`\inetpub` から継承されます。
ユーザー	読み取り & 実行フォルダーの内容の読み取り	`\inetpub` から継承されます。
WMSvc	読み取り & 実行の変更フォルダーの内容の読み取り書き込み	フォルダーの内容を一覧表示する権限は、`\inetpub\logs` から継承しています。
TrustedInstaller	フルコントロール	`\inetpub` から継承されます。

\inetpub\temp

ユーザー/グループ	許可されたアクセス	コメント
CREATOR OWNER	特別なアクセス許可	フルコントロールに相当します。サブフォルダーとファイルにのみ適用されます。から `\inetpub`継承されます。
SYSTEM	フルコントロール	`\inetpub` から継承されます。
管理者	フルコントロール	`\inetpub` から継承されます。
ユーザー	読み取り & 実行フォルダーの内容の読み取り	`\inetpub` から継承されます。
TrustedInstaller	フルコントロール	`\inetpub` から継承されます。

\inetpub\temp\appPools

ユーザー/グループ	許可されたアクセス	コメント
CREATOR OWNER	特別なアクセス許可	フルコントロールに相当します。サブフォルダーとファイルにのみ適用されます。
SYSTEM	フルコントロール
管理者	フルコントロール
IIS_IUSRS	読み取りと実行	`\inetpub` から継承されます。

\inetpub\temp\ASP コンパイル済みテンプレート

ユーザー/グループ	許可されたアクセス	コメント
既定では、このフォルダーに割り当てられているアクセス許可はありません。

\inetpub\temp\IIS 一時圧縮ファイル

ユーザー/グループ	許可されたアクセス	コメント
SYSTEM	フルコントロール
管理者	フルコントロール
IIS_IUSRS	フルコントロール

\inetpub\wwwroot

ユーザー/グループ	許可されたアクセス	コメント
CREATOR OWNER	特別なアクセス許可	フルコントロールに相当します。サブフォルダーとファイルにのみ適用されます。から `\inetpub`継承されます。
SYSTEM	フルコントロール	`\inetpub` から継承されます。
管理者	フルコントロール	`\inetpub` から継承されます。
ユーザー	読み取り & 実行フォルダーの内容の読み取り	`\inetpub` から継承されます。
IIS_IUSRS	読み取りと実行
TrustedInstaller	フルコントロール	`\inetpub` から継承されます。

\inetpub\wwwroot\aspnet_client

ユーザー/グループ	許可されたアクセス	コメント
すべてのユーザー	読み取り
SYSTEM	フルコントロール
管理者	フルコントロール
ユーザー	読み取り & 実行フォルダーの内容の読み取り

%windir%\system32\inetsrv

ユーザー/グループ	許可されたアクセス	コメント
CREATOR OWNER	特別なアクセス許可	フルコントロールに相当します。サブフォルダーとファイルにのみ適用されます。
SYSTEM	特別なアクセス許可	このフォルダーの SYSTEM アカウントに対して許可される特別なアクセス許可には、次のものが含まれます。フォルダーのスキャン、ファイルの実行フォルダーの一覧表示、データの読み取り属性の読み取り拡張属性の読み取りファイルの作成、データの書き込みフォルダーの作成/データの追加属性の書き込み拡張属性の書き込み Delete アクセス許可の読み取りサブフォルダーとファイルに対してのみ SYSTEM に対して許可される特別なアクセス許可は、フルコントロールと同じです。
管理者	特別なアクセス許可	このフォルダーの Administrators グループに許可される特別なアクセス許可には、次のものが含まれます。フォルダーのスキャン、ファイルの実行フォルダーの一覧表示、データの読み取り属性の読み取り拡張属性の読み取りファイルの作成、データの書き込みフォルダーの作成/データの追加属性の書き込み拡張属性の書き込み Delete アクセス許可の読み取りサブフォルダーとファイルに対してのみ Administrators グループに対して許可される特別なアクセス許可は、フルコントロールと同等です。
ユーザー	読み取り & 実行フォルダーの内容の読み取り
TrustedInstaller	特別なアクセス許可	アクセス許可はフルコントロールに相当し、このフォルダーとサブフォルダーに適用されます。

%windir%\System32\inetsrv\0409

ユーザー/グループ	許可されたアクセス	コメント
CREATOR OWNER	特別なアクセス許可	フルコントロールに相当します。サブフォルダーとファイルにのみ適用されます。から `%windir%\System32\inetsrv`継承されます。
SYSTEM	フルコントロール	`%windir%\System32\inetsrv` から継承されます。
管理者	フルコントロール	`%windir%\System32\inetsrv` から継承されます。
ユーザー	読み取り & 実行フォルダーの内容の読み取り	`%windir%\System32\inetsrv` から継承されます。
TrustedInstaller	特別なアクセス許可	フルコントロールに相当します。サブフォルダーとファイルにのみ適用されます。継承元 `%windir%\System32\inetsrv`

%windir%\System32\inetsrv\config

ユーザー/グループ	許可されたアクセス	コメント
CREATOR OWNER	特別なアクセス許可	フルコントロールに相当します。サブフォルダーとファイルにのみ適用されます。
SYSTEM	フルコントロール
管理者	フルコントロール
ユーザー	読み取り & 実行フォルダーの内容の読み取り
TrustedInstaller	フルコントロール
WMSvc	読み取り

%windir%\System32\inetsrv\config\Export

ユーザー/グループ	許可されたアクセス	コメント
CREATOR OWNER	特別なアクセス許可	フルコントロールに相当します。サブフォルダーとファイルにのみ適用されます。
SYSTEM	フルコントロール
管理者	フルコントロール
TrustedInstaller	フルコントロール

%windir%\System32\inetsrv\config\schema

ユーザー/グループ	許可されたアクセス	コメント
CREATOR OWNER	特別なアクセス許可	フルコントロールに相当します。サブフォルダーとファイルにのみ適用されます。
SYSTEM	特別なアクセス許可	このフォルダーの SYSTEM アカウントに対して許可される特別なアクセス許可には、次のものが含まれます。フォルダーのスキャン、ファイルの実行フォルダーの一覧表示、データの読み取り属性の読み取り拡張属性の読み取りファイルの作成、データの書き込みフォルダーの作成/データの追加属性の書き込み拡張属性の書き込み Delete アクセス許可の読み取りサブフォルダーとファイルの SYSTEM に許可される特別なアクセス権限は、フルコントロールと同じです。
管理者	特別なアクセス許可	このフォルダーの Administrators グループに許可される特別なアクセス許可には、次のものが含まれます。フォルダーのスキャン、ファイルの実行フォルダーの一覧表示、データの読み取り属性の読み取り拡張属性の読み取りファイルの作成、データの書き込みフォルダーの作成/データの追加属性の書き込み拡張属性の書き込み Delete アクセス許可の読み取りサブフォルダーとファイルの Administrators グループに許可される特別なアクセス権限は、フルコントロールと同じです。
ユーザー	読み取り & 実行フォルダーの内容の読み取り
TrustedInstaller	特別なアクセス許可	フルコントロールに相当します。このフォルダーとサブフォルダーに適用されます。

%windir%\System32\inetsrv\ja-jp

ユーザー/グループ	許可されたアクセス	コメント
CREATOR OWNER	特別なアクセス許可	フルコントロールに相当します。サブフォルダーとファイルにのみ適用されます。
SYSTEM	特別なアクセス許可	このフォルダーの SYSTEM アカウントに対して許可される特別なアクセス許可には、次のものが含まれます。フォルダーのスキャン、ファイルの実行フォルダーの一覧表示、データの読み取り属性の読み取り拡張属性の読み取りファイルの作成、データの書き込みフォルダーの作成/データの追加属性の書き込み拡張属性の書き込み Delete アクセス許可の読み取りサブフォルダーとファイルの SYSTEM に許可される特別なアクセス権限は、フルコントロールと同じです。
管理者	特別なアクセス許可	このフォルダーの Administrators グループに許可される特別なアクセス許可には、次のものが含まれます。フォルダーのスキャン、ファイルの実行フォルダーの一覧表示、データの読み取り属性の読み取り拡張属性の読み取りファイルの作成、データの書き込みフォルダーの作成/データの追加属性の書き込み拡張属性の書き込み Delete アクセス許可の読み取りサブフォルダーとファイルの Administrators グループに許可される特別なアクセス権限は、フルコントロールと同じです。
ユーザー	読み取り & 実行フォルダーの内容の読み取り
TrustedInstaller	フォルダーの内容を一覧表示する特別なアクセス許可	フルコントロールに相当します。このフォルダーとサブフォルダーに適用されます。

%windir%\System32\inetsrv\History

ユーザー/グループ	許可されたアクセス	コメント
管理者	フルコントロール
SYSTEM	フルコントロール

%windir%\System32\inetsrv\MetaBack

ユーザー/グループ	許可されたアクセス	コメント
管理者	フルコントロール
SYSTEM	フルコントロール

既定のレジストリアクセス許可

このセクションの表に一覧を示した既定のレジストリアクセス許可は、IIS 7.0、IIS 7.5、IIS 8.0、または IIS 8.5 がインストールされている場合に割り当てられます。ユーザーに対する読み取りアクセス許可が一覧表示されている場合は、次のアクセス許可が含まれます。

値のクエリ
サブキーの列挙
通知
読み取りコントロール

HKEY_LOCAL_MACHINE\Software\Microsoft\Inetmgr

ユーザー/グループ	許可されたアクセス	コメント
CREATOR OWNER	特別なアクセス許可	フルコントロールに相当します。サブキーにのみ適用されます。
SYSTEM	フルコントロール
管理者	フルコントロール
ユーザー	読み取り

HKEY_LOCAL_MACHINE\Software\Microsoft\InetStp

ユーザー/グループ	許可されたアクセス	コメント
CREATOR OWNER	特別なアクセス許可	フルコントロールに相当します。サブキーにのみ適用されます。
SYSTEM	フルコントロール
管理者	フルコントロール
ユーザー	読み取り

HKEY_LOCAL_MACHINE\Software\Microsoft\W3SVC

ユーザー/グループ	許可されたアクセス	コメント
CREATOR OWNER	特別なアクセス許可	フルコントロールに相当します。サブキーにのみ適用されます。
SYSTEM	フルコントロール
管理者	フルコントロール
ユーザー	読み取り

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ASP

ユーザー/グループ	許可されたアクセス	コメント
CREATOR OWNER	特別なアクセス許可	フルコントロールに相当します。サブキーにのみ適用されます。
SYSTEM	フルコントロール
管理者	フルコントロール
ユーザー	読み取り

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ASP.NET

ユーザー/グループ	許可されたアクセス	コメント
CREATOR OWNER	特別なアクセス許可	フルコントロールに相当します。サブキーにのみ適用されます。
SYSTEM	フルコントロール
管理者	フルコントロール
ユーザー	読み取り

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ASP.NET_2.0.50727

ユーザー/グループ	許可されたアクセス	コメント
CREATOR OWNER	特別なアクセス許可	フルコントロールに相当します。サブキーにのみ適用されます。
SYSTEM	フルコントロール
管理者	フルコントロール
ユーザー	読み取り

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\aspnet_state

ユーザー/グループ	許可されたアクセス	コメント
CREATOR OWNER	特別なアクセス許可	フルコントロールに相当します。サブキーにのみ適用されます。
SYSTEM	フルコントロール
管理者	フルコントロール
ユーザー	読み取り

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP

ユーザー/グループ	許可されたアクセス	コメント
CREATOR OWNER	特別なアクセス許可	フルコントロールに相当します。サブキーにのみ適用されます。
SYSTEM	フルコントロール
管理者	フルコントロール
ユーザー	読み取り

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\IISAdmin

ユーザー/グループ	許可されたアクセス	コメント
CREATOR OWNER	特別なアクセス許可	フルコントロールに相当します。サブキーにのみ適用されます。
SYSTEM	フルコントロール
管理者	フルコントロール
ユーザー	読み取り

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\W3SVC

ユーザー/グループ	許可されたアクセス	コメント
CREATOR OWNER	特別なアクセス許可	フルコントロールに相当します。サブキーにのみ適用されます。
SYSTEM	フルコントロール
管理者	フルコントロール
ユーザー	読み取り

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WAS

ユーザー/グループ	許可されたアクセス	コメント
CREATOR OWNER	特別なアクセス許可	フルコントロールに相当します。サブキーにのみ適用されます。
SYSTEM	フルコントロール
管理者	フルコントロール
ユーザー	読み取り

注:

WAS キーは、Windows プロセスアクティブ化サービス用です。これは必須の依存関係であり、IIS と共にインストールされます。

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WMsvc

ユーザー/グループ	許可されたアクセス	コメント
CREATOR OWNER	特別なアクセス許可	フルコントロールに相当します。サブキーにのみ適用されます。
SYSTEM	フルコントロール
管理者	フルコントロール
ユーザー	読み取り

既定の Windows ユーザー権限の割り当て

このセクションの表では、既定のローカルセキュリティポリシーと、IIS 7.0、IIS 7.5、IIS 8.0、または IIS 8.5 がインストールされている場合にポリシーに割り当てられるユーザー、グループ、またはユーザーとグループを示しています。

ローカルセキュリティポリシーによって割り当てられた Windows ユーザー権限

許可されたアクセス	ユーザー/グループ
ネットワーク経由でこのコンピュータへアクセス	Everyone Administrators Users Backup オペレーター
プロセスのメモリクォータを調整する	LOCAL SERVICE NETWORK SERVICE Administrators ApplicationPoolIdentity
ローカルでのログオンを許可	Administrators Users Backup オペレーター
スキャン検査のバイパス	すべてのローカルサービスネットワークサービス管理者ユーザーバックアップオペレーター
セキュリティ監査の生成	ApplicationPoolIdentity
認証後にクライアントを偽装	LOCAL SERVICE NETWORK SERVICE Administrators `IIS_IUSRS` SERVICE
バッチジョブとしてログオン	Administrators Backup オペレーターパフォーマンスログユーザー `IIS_IUSRS`
サービスとしてログオン	ApplicationPoolIdentity
プロセスレベルトークンを置き換える	LOCAL SERVICE NETWORK SERVICE ApplicationPoolIdentity