ACL 및 메타베이스 ACL 권한 변경에 MetaACL 사용

중요 이 문서에서는 메타베이스 편집 방법을 설명합니다. 메타베이스를 편집하기 전에 문제가 발생하는 경우 복원할 수 있는 백업 복사본이 있는지 확인하십시오. 이를 수행하는 방법에 대한 자세한 내용은 Microsoft Management Console(MMC)의 "구성 백업/복원" 도움말 항목을 참조하십시오.

요약

이 문서에서는 ACL(액세스 제어 목록)이 Microsoft Internet Information Server(IIS) 4.0 또는 Microsoft 인터넷 정보 서비스(IIS) 5.0 메타베이스에서 어떻게 작동하는지에 대해 설명합니다. 메타베이스는 특정 파일(Metabase.bin)에 대한 운영 체제 ACL로 보호됩니다. 또한 이 파일은 디렉터리 자체에도 ACL 보호 기능을 갖고 있습니다.


참고 Metabase.bin 파일은 X.500 LDAP(Lightweight Directory Access Protocol) 디렉터리 규격을 완전히 준수하며 상위\하위 관계의 권한으로 제어됩니다. 따라서 ACL은 루트에 도달할 때까지 상위 디렉터리에 반복적으로 적용됩니다.


이 문서에서는 IIS 메타베이스에서 ACL의 역할, ACL을 편집하는 방법, IIS 4.0 및 IIS 5.0의 기본 ACL에 대해서도 설명합니다.

추가 정보

액제스 제어 목록

소개

메타베이스에서 ACL은 Metabase.bin 디렉터리의 특정 키에 대한 특정 사용자 계정의 액세스를 제한합니다. 다음 두 가지 사용 권한이 ACL을 사용하여 부여됩니다.

  • ACCESS_ALLOWED_ACE
  • ACCESS_DENIED_ACE
Microsoft에서 ACCESS_DENIED_ACE를 충분히 테스트하지 않았으므로 ACCESS_ALLOWED_ACE만 사용하는 것이 좋습니다.


모든 ACL 정보가 메타베이스 자체에서 MD_ADMIN_ACL 속성에 저장되기 때문에 Adsutil 및 Mdutil과 같은 일반적인 메타베이스 보기 도구를 사용하여 정보를 볼 수 있습니다.


사용 가능한 권한

메타베이스 ACL을 수정할 때 다음과 같은 권한을 사용할 수 있습니다.

  • MD_ACR_UNSECURE_PROPS_READ: 보안되지 않은 속성에 대한 읽기 전용 권한을 사용자에게 부여합니다.
  • MD_ACR_READ: 보안된 속성이나 보안되지 않은 속성에 대한 읽기 권한을 사용자에게 부여합니다.
  • MD_ACR_ENUM_KEYS: 자식 노드의 모든 이름을 열거할 권한을 사용자에게 부여합니다.
  • MD_ACR_WRITE_DAC: 해당 노드에서 AdminACL 속성을 쓰거나 만들 권한을 사용자에게 부여합니다.
  • MD_ACR_WRITE: 제한된 속성을 제외하고 속성을 수정(추가 또는 설정 포함)할 권한을 사용자에게 부여합니다. 자세한 내용은 플랫폼별 제한된 속성에 대한 절을 참조하십시오.
  • MD_ACR_RESTRICTED_WRITE: 현재 Administrator only로 설정된 속성을 수정할 권한을 사용자에게 부여합니다. 이 권한은 사용자에게 해당 키에 대한 모든 권한을 부여합니다.

ACL 편집

경고 메타베이스를 잘못 편집하면 메타베이스를 사용하는 모든 제품을 다시 설치해야 하는 심각한 문제가 발생할 수도 있습니다. Microsoft는 메타베이스를 잘못 편집함으로써 발생하는 문제에 대해 해결을 보증하지 않습니다. 메타베이스의 편집에 따른 모든 책임은 사용자에게 있습니다.

참고 편집하기 전에 항상 메타베이스를 백업하십시오.


ACL을 편집하려면 Metaacl.vbs라는 유틸리티를 사용해야 합니다.
자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.

267904 IIS 관리 개체의 메타베이스 권한을 수정하는 Metaacl.exe

이 예제에서는 관리자의 액세스를 거부하도록 w3svc 키를 수정합니다.

경고 프로덕션 시스템에서 이렇게 하면 매우 위험할 수 있으며 IIS가 설계대로 작동하지 못할 수 있습니다. 이 예제에서는 설명 목적으로 편집 작업의 단계를 보여 줍니다.

  1. Metaacl.vbs 파일을 %systemdrive%\Inetpub\Adminscripts 디렉터리에 복사합니다.
  2. 시작, 실행을 차례로 누르고 CMD를 입력한 다음 실행을 눌러 명령 프롬프트를 엽니다.
  3. 프롬프트에서 다음 명령을 실행하여 Adminscripts 디렉터리로 변경합니다.
    c:\cd Inetpub\Adminscripts
  4. IIS://LOCALHOST/W3SVC에 있는 매개 변수를 수정하려면 다음 명령을 실행합니다.
    c:\Inetpub\Adminscripts>cscript metaacl.vbs IIS://LOCALHOST/W3SVC mydomain\mydomainaccount RW

    다음과 같은 응답이 수신됩니다.

    ACE for mydomain\mydomainaccount added.
Metaacl.vbs를 사용하여 사용자에 대한 다음 권한을 추가할 수 있습니다.

  • R - 읽기
  • W - 쓰기
  • S - 제한된 쓰기
  • U - 보안되지 않은 속성 읽기
  • E - 키 열거
  • D - DACL 쓰기(사용 권한)

서버 플랫폼별 ACL

IIS 4.0

  • 기본 ACL

    IIS 4.0이 설치될 때 Metabase.bin 디렉터리에 삽입되는 기본 ACL 목록은 다음과 같습니다.
    LM -
    W3SVC
    BUILTIN\Administrators
    Access: RWSUED
    Everyone
    Access: E
    MSFTPSVC
    BUILTIN\Administrators
    Access: RWSUED
    Everyone
    Access: E
    SMTPSVC
    BUILTIN\Administrators
    Access: RWSUED
    Everyone
    Access: E
    NNTPSVC
    BUILTIN\Administrators
    Access: RWSUED
    Everyone
    Access: E
  • 제한된 ACL

    IIS 4.0의 기본 설치에서 제한된 것으로 표시된 메타베이스 키 속성의 목록은 다음과 같습니다.

    MD_ADMIN_ACL
    MD_APP_ISOLATED
    MD_VR_PATH
    MD_ACCESS_PERM
    MD_ANONYMOUS_USER_NAME
    MD_ANONYMOUS_PWD
    MD_MAX_BANDWIDTH
    MD_MAX_BANDWIDTH_BLOCKED
    MD_ISM_ACCESS_CHECK
    MD_FILTER_LOAD_ORDER
    MD_FILTER_STATE
    MD_FILTER_ENABLED
    MD_FILTER_DESCRIPTION
    MD_FILTER_FLAGS
    MD_FILTER_IMAGE_PATH
    MD_SECURE_BINDINGS
    MD_SERVER_BINDINGS

IIS 5.0

  • 기본 ACL

    IIS 5.0이 설치될 때 Metabase.bin 디렉터리에 삽입되는 기본 ACL 목록은 다음과 같습니다.

    LM - 
    W3SVC
    BUILTIN\Administrators
    Access: RWSUED
    Everyone
    Access: E
    {IISMachineName}\VS Developers
    Access: RWSUE
    MSFTPSVC
    BUILTIN\Administrators
    Access: RWSUED
    Everyone
    Access: E
    SMTPSVC
    BUILTIN\Administrators
    Access: RWSUED
    Everyone
    Access: E
    NNTPSVC
    BUILTIN\Administrators
    Access: RWSUED
    Everyone
    Access: E
  • 제한된 ACL

    IIS 5.0의 기본 설치에서 제한된 것으로 표시된 메타베이스 키 속성의 목록은 다음과 같습니다.

    MD_ADMIN_ACL
    MD_APP_ISOLATED
    MD_VR_PATH
    MD_ACCESS_PERM
    MD_ANONYMOUS_USER_NAME
    MD_ANONYMOUS_PWD
    MD_MAX_BANDWIDTH
    MD_MAX_BANDWIDTH_BLOCKED
    MD_ISM_ACCESS_CHECK
    MD_FILTER_LOAD_ORDER
    MD_FILTER_STATE
    MD_FILTER_ENABLED
    MD_FILTER_DESCRIPTION
    MD_FILTER_FLAGS
    MD_FILTER_IMAGE_PATH
    MD_SECURE_BINDINGS
    MD_SERVER_BINDINGS

IIS 6.0

  • 기본 ACL

    IIS 6.0이 설치될 때 Metabase.xml 디렉터리에 삽입되는 기본 ACL 목록은 다음과 같습니다.
    <?xm-insertion_mark_start author="jay" time="20060718T183106-0700"?>LM &#8211; 
    W3SVC
    NT AUTHORITY\LOCAL SERVICE
    Access: R UE
    NT AUTHORITY\NETWORK SERVICE
    Access: R UE
    {computername}\IIS_WPG
    Access: R UE
    BUILTIN\Administrators
    Access: RWSUED
    {computername}\ASPNET
    Access: R E
    W3SVC/Filters
    NT AUTHORITY\LOCAL SERVICE
    Access: RW UE
    NT AUTHORITY\NETWORK SERVIC
    Access: RW UE
    {computername}\IIS_WPG
    Access: RW UE
    BUILTIN\Administrators
    Access: RWSUED
    W3SVC/1/Filters
    NT AUTHORITY\LOCAL SERVICE
    Access: RW UE
    NT AUTHORITY\NETWORK SERVIC
    Access: RW UE
    {computername}\IIS_WPG
    Access: RW UE
    BUILTIN\Administrators
    Access: RWSUED
    W3SVC/AppPools
    NT AUTHORITY\LOCAL SERVICE
    Access: U
    NT AUTHORITY\NETWORK SERVICE
    Access: U
    {computername}\IIS_WPG
    Access: U
    BUILTIN\Administrators
    Access: RWSUED
    W3SVC/INFO
    BUILTIN\Administrators
    Access: RWSUED
    MSFTPSVC
    BUILTIN\Administrators
    Access: RWSUED
    SMTPSVC
    BUILTIN\Administrators
    Access: RWSUED
    NT AUTHORITY\LOCAL SERVICE
    Access: UE
    NT AUTHORITY\NETWORK SERVICE
    Access: UE
    NNTPSVC
    BUILTIN\Administrators
    Access: RWSUED
    NT AUTHORITY\LOCAL SERVICE
    Access: UE
    NT AUTHORITY\NETWORK SERVICE
    Access: UE
    Logging
    BUILTIN\Administrators
    Access: RWSUED
    <?xm-insertion_mark_end?>
    <?xm-deletion_mark author="jay" time="20060718T183058-0700" data="LM -
    W3SVC
    NT AUTHORITY\LOCAL SERVICE
    Access: R UE
    NT AUTHORITY\NETWORK SERVICE
    Access: R UE
    {WebServerMachineName}\IIS_WPG
    Access: R UE
    BUILTIN\Administrators
    Access: RWSUED
    MSFTPSVC
    BUILTIN\Administrators
    Access: RWSUED
    SMTPSVC

    NNTPSVC"?>
  • 제한된 ACL

    IIS 6.0의 기본 설치에서 제한된 것으로 표시된 메타베이스 키 속성의 목록은 다음과 같습니다.

    MD_ADMIN_ACL
    MD_VPROP_ADMIN_ACL_RAW_BINARY
    MD_APPPOOL_ORPHAN_ACTION_EXE
    MD_APPPOOL_ORPHAN_ACTION_PARAMS
    MD_APPPOOL_AUTO_SHUTDOWN_EXE
    MD_APPPOOL_AUTO_SHUTDOWN_PARAMS
    MD_APPPOOL_IDENTITY_TYPE
    MD_APP_APPPOOL_ID
    MD_APP_ISOLATED
    MD_VR_PATH
    MD_ACCESS_PERM
    MD_VR_USERNAME
    MD_VR_PASSWORD
    MD_ANONYMOUS_USER_NAME
    MD_ANONYMOUS_PWD
    MD_LOGSQL_USER_NAME
    MD_LOGSQL_PASSWORD
    MD_WAM_USER_NAME
    MD_WAM_PWD
    MD_AD_CONNECTIONS_USERNAME
    MD_AD_CONNECTIONS_PASSWORD
    MD_MAX_BANDWIDTH
    MD_MAX_BANDWIDTH_BLOCKED
    MD_ISM_ACCESS_CHECK
    MD_FILTER_LOAD_ORDER
    MD_FILTER_ENABLED
    MD_FILTER_IMAGE_PATH
    MD_SECURE_BINDINGS
    MD_SERVER_BINDINGS
    MD_ASP_ENABLECLIENTDEBUG
    MD_ASP_ENABLESERVERDEBUG
    MD_ASP_ENABLEPARENTPATHS
    MD_ASP_ERRORSTONTLOG
    MD_ASP_KEEPSESSIONIDSECURE
    MD_ASP_LOGERRORREQUESTS
    MD_ASP_DISKTEMPLATECACHEDIRECTORY
    36948 RouteUserName
    36949 RoutePassword
    36958 SmtpDsPassword
    41191 Pop3DsPassword
    45461 FeedAccountName
    45462 FeedPassword
    49384 ImapDsPassword

참조

ACL과 IIS 메타베이스에 대한 자세한 내용은 다음 Microsoft 웹 사이트를 참조하십시오.





Microsoft 제품 관련 기술 전문가들과 온라인으로 정보를 교환하시려면 Microsoft 뉴스 그룹에 참여하시기 바랍니다.
속성

문서 ID: 326902 - 마지막 검토: 2006. 11. 6. - 수정: 1

피드백