Você está offline; aguardando reconexão

ACLs e usando MetaACL para metabase ACL alterações de permissão

IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.

Clique aqui para ver a versão em Inglês deste artigo: 326902
importante Este artigo contém informações sobre como editar a metabase. Antes de editar a metabase, verifique se você tem uma cópia de backup que você pode restaurar se ocorrer um problema. Para obter informações sobre como fazer isso, consulte o tópico da Ajuda "backup/restauração de configuração" no Microsoft Management Console (MMC).
Sumário
Este artigo descreve como Access Control Lists (ACLs) funcionam no Microsoft Internet Information Server (IIS) 4.0 ou metabase dos serviços de informações da Internet (IIS) 5.0. A metabase não é apenas protegidos pelo sistema operacional ACLs no arquivo específico (metabase.bin), mas o arquivo também tem proteção ACL no diretório próprio.

Observação O arquivo metabase.bin é um diretório X.500 Protocol (LDAP) totalmente compatível e é regido por permissões em uma relação Parent\Child. Portanto, ACLs são aplicada recursivamente o diretório até que a raiz seja alcançada.

Este artigo também descreve a função de ACLs na metabase do IIS, como editar as ACLs e as ACLs padrão para o IIS 4.0 e IIS 5.0.
Mais Informações

Listas de controle de acesso

Introdução

Na metabase, ACLs limitar o acesso de determinadas contas de usuário a determinadas chaves no diretório metabase.bin. Dois tipos de permissões são concedidos com ACLs:
  • ACCESS_ALLOWED_ACE
  • ACCESS_DENIED_ACE
A Microsoft recomenda que você use somente ACCESS_ALLOWED_ACE porque a Microsoft não testa amplamente ACCESS_DENIED_ACE .

Como todas as informações de ACL são armazenadas na metabase na propriedade MD_ADMIN_ACL , você pode exibir as informações com típica metabase exibindo ferramentas como Adsutil e Mdutil.

Direitos disponíveis

Quando você modifica as ACLs da metabase, os seguintes direitos estão disponíveis:
  • MD_ACR_UNSECURE_PROPS_READ : fornece acesso somente leitura de um usuário a qualquer propriedade que não seja segura.
  • MD_ACR_READ : fornece um usuário direitos para qualquer propriedade segura ou não segura de leitura.
  • MD_ACR_ENUM_KEYS : fornece um usuário o direito de enumerar todos os nomes de todos os nós filho.
  • MD_ACR_WRITE_DAC : fornece um usuário o direito de gravar ou criar uma propriedade AdminACL no nó correspondente.
  • MD_ACR_WRITE : fornece um usuário o direito de modificar (incluindo adição ou conjunto) propriedades exceto propriedades restritas. Para obter mais informações, consulte a seção sobre propriedades restritas pela plataforma.
  • MD_ACR_RESTRICTED_WRITE : fornece um usuário o direito de modificar qualquer propriedade que está definida para somente administrador . Esta permissão dá controle total a essa chave para um usuário.

Edição ACLs

Aviso Se você editar a metabase incorretamente, você pode causar problemas sérios que talvez exijam a reinstalação de qualquer produto que usa a metabase. A Microsoft não garante que problemas resultantes se você editar incorretamente a metabase podem ser solucionados. Edite a metabase de sua responsabilidade.

Observação Sempre fazer backup da metabase antes de editá-lo.

Para editar as ACLs, use um utilitário chamado Metaacl.vbs. Para obter mais informações, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
267904Metaacl.exe modificando permissões de metabase para objetos de administração do IIS
Este exemplo modifica a chave w3svc para negar acesso para os administradores.

Aviso Isso em um sistema de produção pode ser extremamente perigoso e fazer com que IIS não funcionar conforme projetado. Este exemplo percorre somente o processo de edição para fins de demonstração.
  1. Copie o arquivo Metaacl.vbs para o diretório %systemdrive%\Inetpub\Adminscripts.
  2. Clique em Iniciar , clique em Executar , digite CMD e clique em Executar para abrir um prompt de comando.
  3. No prompt de, execute o seguinte comando para alterar para o diretório Adminscripts:
    c:\cd Inetpub\Adminscripts					
  4. Para modificar os parâmetros localizados em IIS: / / LOCALHOST/W3SVC, execute o seguinte comando:
    c:\Inetpub\Adminscripts>cscript metaacl.vbs IIS://LOCALHOST/W3SVC mydomain\mydomainaccount RW					
    você recebe a seguinte resposta:
    ACE para mydomain\mydomainaccount adicionado.
Você pode usar Metaacl.vbs para adicionar os seguintes direitos para qualquer usuário:
  • R ler
  • W gravação
  • Gravação restrita S
  • Leitura de propriedades não-segura U
  • E enumerar chaves
  • D gravação DACL (permissões)

ACLs pela plataforma de servidor

IIS 4.0

  • ACLs padrão a lista a seguir descreve as ACLs padrão que são colocadas no diretório metabase.bin quando o IIS 4.0 está instalado:
    LM -   W3SVC      BUILTIN\Administrators        Access: RWSUED      Everyone        Access:     E   MSFTPSVC      BUILTIN\Administrators        Access: RWSUED      Everyone        Access:     E   SMTPSVC        BUILTIN\Administrators        Access: RWSUED      Everyone        Access:     E   NNTPSVC      BUILTIN\Administrators        Access: RWSUED      Everyone        Access:     E					
  • ACLs restritas a seguinte lista descreve as propriedades de chave da metabase que são marcadas como restrita em instalações padrão do IIS 4.0:
    MD_ADMIN_ACLMD_APP_ISOLATEDMD_VR_PATHMD_ACCESS_PERMMD_ANONYMOUS_USER_NAMEMD_ANONYMOUS_PWDMD_MAX_BANDWIDTHMD_MAX_BANDWIDTH_BLOCKEDMD_ISM_ACCESS_CHECKMD_FILTER_LOAD_ORDERMD_FILTER_STATEMD_FILTER_ENABLEDMD_FILTER_DESCRIPTIONMD_FILTER_FLAGSMD_FILTER_IMAGE_PATHMD_SECURE_BINDINGSMD_SERVER_BINDINGS					

IIS 5.0

  • ACLs padrão a lista a seguir descreve as ACLs padrão que são colocadas no diretório metabase.bin quando o IIS 5.0 é instalado:
    LM -    W3SVC      BUILTIN\Administrators        Access: RWSUED      Everyone        Access:     E       {IISMachineName}\VS Developers        Access: RWSUE    MSFTPSVC      BUILTIN\Administrators        Access: RWSUED      Everyone        Access:     E   SMTPSVC      BUILTIN\Administrators        Access: RWSUED      Everyone        Access:     E    NNTPSVC      BUILTIN\Administrators        Access: RWSUED      Everyone        Access:     E 					
  • ACLs restritas a seguinte lista descreve as propriedades de chave da metabase que são marcadas como restrita em instalações padrão do IIS 5.0:
    MD_ADMIN_ACLMD_APP_ISOLATEDMD_VR_PATHMD_ACCESS_PERMMD_ANONYMOUS_USER_NAMEMD_ANONYMOUS_PWDMD_MAX_BANDWIDTHMD_MAX_BANDWIDTH_BLOCKEDMD_ISM_ACCESS_CHECKMD_FILTER_LOAD_ORDERMD_FILTER_STATEMD_FILTER_ENABLEDMD_FILTER_DESCRIPTIONMD_FILTER_FLAGSMD_FILTER_IMAGE_PATHMD_SECURE_BINDINGSMD_SERVER_BINDINGS					

IIS 6.0

  • Default ACLs The following list describes the default ACLs that are put in the Metabase.xml directory when IIS 6.0 is installed:
    LM –      W3SVC         NT AUTHORITY\LOCAL SERVICE 	  Access: R UE 	NT AUTHORITY\NETWORK SERVICE 	  Access: R UE 	{computername}\IIS_WPG            Access: R UE         BUILTIN\Administrators            Access: RWSUED        {computername}\ASPNET           Access: R   E      W3SVC/Filters        NT AUTHORITY\LOCAL SERVICE           Access: RW UE        NT AUTHORITY\NETWORK SERVIC           Access: RW UE        {computername}\IIS_WPG           Access: RW UE        BUILTIN\Administrators           Access: RWSUED     W3SVC/1/Filters        NT AUTHORITY\LOCAL SERVICE           Access: RW UE        NT AUTHORITY\NETWORK SERVIC           Access: RW UE        {computername}\IIS_WPG           Access: RW UE        BUILTIN\Administrators           Access: RWSUED     W3SVC/AppPools        NT AUTHORITY\LOCAL SERVICE           Access:    U        NT AUTHORITY\NETWORK SERVICE           Access:    U       {computername}\IIS_WPG           Access:    U        BUILTIN\Administrators           Access: RWSUED     W3SVC/INFO        BUILTIN\Administrators           Access: RWSUED     MSFTPSVC         BUILTIN\Administrators            Access: RWSUED      SMTPSVC         BUILTIN\Administrators           Access: RWSUED        NT AUTHORITY\LOCAL SERVICE           Access:    UE        NT AUTHORITY\NETWORK SERVICE           Access:    UE     NNTPSVC        BUILTIN\Administrators           Access: RWSUED        NT AUTHORITY\LOCAL SERVICE           Access:    UE        NT AUTHORITY\NETWORK SERVICE           Access:    UE     Logging        BUILTIN\Administrators           Access: RWSUED 						
  • Restricted ACLs The following list describes the metabase key properties that are marked as restricted on default installations of IIS 6.0:
    MD_ADMIN_ACLMD_VPROP_ADMIN_ACL_RAW_BINARYMD_APPPOOL_ORPHAN_ACTION_EXEMD_APPPOOL_ORPHAN_ACTION_PARAMSMD_APPPOOL_AUTO_SHUTDOWN_EXEMD_APPPOOL_AUTO_SHUTDOWN_PARAMSMD_APPPOOL_IDENTITY_TYPEMD_APP_APPPOOL_IDMD_APP_ISOLATEDMD_VR_PATHMD_ACCESS_PERMMD_VR_USERNAMEMD_VR_PASSWORDMD_ANONYMOUS_USER_NAMEMD_ANONYMOUS_PWDMD_LOGSQL_USER_NAMEMD_LOGSQL_PASSWORDMD_WAM_USER_NAMEMD_WAM_PWDMD_AD_CONNECTIONS_USERNAMEMD_AD_CONNECTIONS_PASSWORDMD_MAX_BANDWIDTHMD_MAX_BANDWIDTH_BLOCKEDMD_ISM_ACCESS_CHECKMD_FILTER_LOAD_ORDERMD_FILTER_ENABLEDMD_FILTER_IMAGE_PATHMD_SECURE_BINDINGSMD_SERVER_BINDINGSMD_ASP_ENABLECLIENTDEBUGMD_ASP_ENABLESERVERDEBUGMD_ASP_ENABLEPARENTPATHSMD_ASP_ERRORSTONTLOGMD_ASP_KEEPSESSIONIDSECUREMD_ASP_LOGERRORREQUESTSMD_ASP_DISKTEMPLATECACHEDIRECTORY36948 RouteUserName36949 RoutePassword36958 SmtpDsPassword41191 Pop3DsPassword45461 FeedAccountName45462 FeedPassword49384 ImapDsPassword						

Aviso: este artigo foi traduzido automaticamente

Propriedades

ID do Artigo: 326902 - Última Revisão: 12/03/2007 21:24:35 - Revisão: 6.6

Microsoft Internet Information Services 6.0, Microsoft Internet Information Services 5.0, Microsoft Windows NT version 4.0 Option Pack

  • kbmt kbhowtomaster kbinfo KB326902 KbMtpt
Comentários
=">