В настоящее время вы работаете в автономном режиме; ожидается повторное подключение к Интернету

Списки управления доступом и использованием MetaACL метабазы ACL для изменения разрешений

ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.

Эта статья на английском языке:326902
Важные Эта статья содержит сведения об изменении метабазы. Перед изменением метабазы убедитесь, что у резервной копии, можно восстановить в случае возникновения проблем. Сведения о том, как это сделать содержатся в разделе справки "Архивирование и восстановление конфигурации" консоли управления (MMC).
Аннотация
Статья описывает, как списки управления доступом (ACL) работают в Microsoft Internet Information Server (IIS) 4.0 или Интернета сведения О Microsoft Services (IIS) 5.0 метабазы. Метабазы не только защищен ACL для конкретного файла (мастером) операционной системы, но его также защиту ACL в сам каталог.

Примечание Файл мастером полностью соответствует каталогов X.500 Lightweight Directory Access Protocol (LDAP) и управляется разрешений в отношении Parent\Child. Таким образом списки ACL, рекурсивно Подготовка каталога, пока не будет достигнут корневой.

В этой статье также описывается роль ACL в метабазе IIS порядок изменения списков ACL и списки ACL по умолчанию для IIS 4.0 и IIS 5.0.
Дополнительная информация

Списки управления доступом

Введение

В метабазе ACL ограничения доступа определенных учетных записей пользователей для определенных разделов в каталоге мастером. С помощью списков управления доступом предоставляются два типа разрешений:
  • ACCESS_ALLOWED_ACE
  • ACCESS_DENIED_ACE
Корпорация Майкрософт рекомендует использовать только ACCESS_ALLOWED_ACE Поскольку корпорация Майкрософт не проверяет широко ACCESS_DENIED_ACE.

Поскольку вся информация ACL хранится в метабазе, сам в MD_ADMIN_ACL свойство, можно просмотреть данные с типичным метабазы, просмотр таких средств, как программ Adsutil и Mdutil.

Доступные права

При изменении метабазы ACL доступны следующие права:
  • MD_ACR_UNSECURE_PROPS_READ: Дает пользователю доступ только для чтения к любому свойству небезопасными.
  • MD_ACR_READ: Дает пользователю читать права на любое свойство защищенные или незащищенные.
  • MD_ACR_ENUM_KEYS: Дает пользователю право перечислить все имена дочерних узлов.
  • MD_ACR_WRITE_DAC: Дает пользователю право на запись или создать AdminACL свойство в соответствующий узел.
  • MD_ACR_WRITE: Дает пользователю право на изменение (в том числе добавить или set) свойства, за исключением запрещенные свойства. Для получения дополнительных сведений обратитесь к разделу запрещенные свойства платформой.
  • MD_ACR_RESTRICTED_WRITE: Дает пользователю право на изменение любого свойства, которое в настоящее время имеет значение Только администратор. Это разрешение дает полный доступ к этому разделу для пользователя.

Редактирование списков управления доступом

Предупреждение Некорректное изменение метабазы может привести к серьезным проблемам и потребовать переустановки программ, использующих метабазу. Корпорация Майкрософт не гарантирует проблемы, результатом неправильного изменения метабазы. Изменение метабазы на свой страх и риск.

Примечание Всегда создавайте резервную копию метабазы перед внесением изменений.

Для изменения списков ACL используется служебная программа, которая называется Metaacl.vbs.Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:
267904MetaAcl.exe изменения разрешений метабазы для объектов IIS Admin
В этом примере изменяется W3SVC ключ, чтобы запретить доступ для администраторов.

Предупреждение При этом в производственной системе могут быть очень опасными и службы IIS будут правильно работать, не. В этом примере только проходит через процесс редактирования для демонстрационных целей.
  1. Скопируйте файл Metaacl.vbs в каталог %systemdrive%\Inetpub\Adminscripts.
  2. Нажмите кнопку Начало, нажмите кнопку Запустить, тип CMD, а затем нажмите кнопку Запустить Чтобы открыть командную строку.
  3. В командной строке выполните следующую команду для перехода к каталогу Adminscripts:
    c:\cd Inetpub\Adminscripts					
  4. Чтобы изменить параметры, расположенную в IIS: / виртуальный, выполните следующую команду:
    c:\Inetpub\Adminscripts>cscript metaacl.vbs IIS://LOCALHOST/W3SVC mydomain\mydomainaccount RW					
    Появится следующий ответ:
    Элемент управления ДОСТУПОМ для добавления mydomain\mydomainaccount.
Можно использовать файл Metaacl.vbs следующие права доступа для всех пользователей:
  • R — Чтение
  • W - записи
  • S - ограниченных записи
  • U - небезопасное чтение свойства
  • E - перечисление ключей
  • D - записи DACL (разрешения)

Списки управления доступом, Серверная платформа

IIS 4.0

  • Списки ACL по умолчаниюНиже перечислены списки ACL по умолчанию, которые размещаются в каталоге мастером при установке IIS 4.0.
    LM -   W3SVC      BUILTIN\Administrators        Access: RWSUED      Everyone        Access:     E   MSFTPSVC      BUILTIN\Administrators        Access: RWSUED      Everyone        Access:     E   SMTPSVC        BUILTIN\Administrators        Access: RWSUED      Everyone        Access:     E   NNTPSVC      BUILTIN\Administrators        Access: RWSUED      Everyone        Access:     E					
  • Ограниченные списки управления доступомВ следующем списке описываются ключевые свойства метабазы, которые помечены как ограниченные установок по умолчанию IIS 4.0:
    MD_ADMIN_ACLMD_APP_ISOLATEDMD_VR_PATHMD_ACCESS_PERMMD_ANONYMOUS_USER_NAMEMD_ANONYMOUS_PWDMD_MAX_BANDWIDTHMD_MAX_BANDWIDTH_BLOCKEDMD_ISM_ACCESS_CHECKMD_FILTER_LOAD_ORDERMD_FILTER_STATEMD_FILTER_ENABLEDMD_FILTER_DESCRIPTIONMD_FILTER_FLAGSMD_FILTER_IMAGE_PATHMD_SECURE_BINDINGSMD_SERVER_BINDINGS					

IIS ВЕРСИИ 5.0

  • Списки ACL по умолчаниюНиже перечислены списки ACL по умолчанию, которые размещаются в каталоге мастером при установке IIS 5.0.
    LM -    W3SVC      BUILTIN\Administrators        Access: RWSUED      Everyone        Access:     E       {IISMachineName}\VS Developers        Access: RWSUE    MSFTPSVC      BUILTIN\Administrators        Access: RWSUED      Everyone        Access:     E   SMTPSVC      BUILTIN\Administrators        Access: RWSUED      Everyone        Access:     E    NNTPSVC      BUILTIN\Administrators        Access: RWSUED      Everyone        Access:     E 					
  • Ограниченные списки управления доступомВ следующем списке описываются ключевые свойства метабазы, которые помечены как ограниченные установок по умолчанию службы IIS 5.0:
    MD_ADMIN_ACLMD_APP_ISOLATEDMD_VR_PATHMD_ACCESS_PERMMD_ANONYMOUS_USER_NAMEMD_ANONYMOUS_PWDMD_MAX_BANDWIDTHMD_MAX_BANDWIDTH_BLOCKEDMD_ISM_ACCESS_CHECKMD_FILTER_LOAD_ORDERMD_FILTER_STATEMD_FILTER_ENABLEDMD_FILTER_DESCRIPTIONMD_FILTER_FLAGSMD_FILTER_IMAGE_PATHMD_SECURE_BINDINGSMD_SERVER_BINDINGS					

IIS 6.0

  • Списки ACL по умолчаниюНиже перечислены списки ACL по умолчанию, которые размещаются в каталоге файла Metabase.xml при установке IIS 6.0.
    LM –      W3SVC         NT AUTHORITY\LOCAL SERVICE 	  Access: R UE 	NT AUTHORITY\NETWORK SERVICE 	  Access: R UE 	{computername}\IIS_WPG            Access: R UE         BUILTIN\Administrators            Access: RWSUED        {computername}\ASPNET           Access: R   E      W3SVC/Filters        NT AUTHORITY\LOCAL SERVICE           Access: RW UE        NT AUTHORITY\NETWORK SERVIC           Access: RW UE        {computername}\IIS_WPG           Access: RW UE        BUILTIN\Administrators           Access: RWSUED     W3SVC/1/Filters        NT AUTHORITY\LOCAL SERVICE           Access: RW UE        NT AUTHORITY\NETWORK SERVIC           Access: RW UE        {computername}\IIS_WPG           Access: RW UE        BUILTIN\Administrators           Access: RWSUED     W3SVC/AppPools        NT AUTHORITY\LOCAL SERVICE           Access:    U        NT AUTHORITY\NETWORK SERVICE           Access:    U       {computername}\IIS_WPG           Access:    U        BUILTIN\Administrators           Access: RWSUED     W3SVC/INFO        BUILTIN\Administrators           Access: RWSUED     MSFTPSVC         BUILTIN\Administrators            Access: RWSUED      SMTPSVC         BUILTIN\Administrators           Access: RWSUED        NT AUTHORITY\LOCAL SERVICE           Access:    UE        NT AUTHORITY\NETWORK SERVICE           Access:    UE     NNTPSVC        BUILTIN\Administrators           Access: RWSUED        NT AUTHORITY\LOCAL SERVICE           Access:    UE        NT AUTHORITY\NETWORK SERVICE           Access:    UE     Logging        BUILTIN\Administrators           Access: RWSUED 						
  • Ограниченные списки управления доступомВ следующем списке описываются ключевые свойства метабазы, которые помечены как ограниченный по умолчанию установки IIS 6.0:
    MD_ADMIN_ACLMD_VPROP_ADMIN_ACL_RAW_BINARYMD_APPPOOL_ORPHAN_ACTION_EXEMD_APPPOOL_ORPHAN_ACTION_PARAMSMD_APPPOOL_AUTO_SHUTDOWN_EXEMD_APPPOOL_AUTO_SHUTDOWN_PARAMSMD_APPPOOL_IDENTITY_TYPEMD_APP_APPPOOL_IDMD_APP_ISOLATEDMD_VR_PATHMD_ACCESS_PERMMD_VR_USERNAMEMD_VR_PASSWORDMD_ANONYMOUS_USER_NAMEMD_ANONYMOUS_PWDMD_LOGSQL_USER_NAMEMD_LOGSQL_PASSWORDMD_WAM_USER_NAMEMD_WAM_PWDMD_AD_CONNECTIONS_USERNAMEMD_AD_CONNECTIONS_PASSWORDMD_MAX_BANDWIDTHMD_MAX_BANDWIDTH_BLOCKEDMD_ISM_ACCESS_CHECKMD_FILTER_LOAD_ORDERMD_FILTER_ENABLEDMD_FILTER_IMAGE_PATHMD_SECURE_BINDINGSMD_SERVER_BINDINGSMD_ASP_ENABLECLIENTDEBUGMD_ASP_ENABLESERVERDEBUGMD_ASP_ENABLEPARENTPATHSMD_ASP_ERRORSTONTLOGMD_ASP_KEEPSESSIONIDSECUREMD_ASP_LOGERRORREQUESTSMD_ASP_DISKTEMPLATECACHEDIRECTORY36948 RouteUserName36949 RoutePassword36958 SmtpDsPassword41191 Pop3DsPassword45461 FeedAccountName45462 FeedPassword49384 ImapDsPassword						
Ссылки
Для получения дополнительных сведений о метабазы IIS и списков управления доступом посетите веб-узлы корпорации Майкрософт:

Внимание! Эта статья переведена автоматически

Свойства

Номер статьи: 326902 — последний просмотр: 06/08/2011 13:21:00 — редакция: 3.0

Microsoft Internet Information Services 6.0, Microsoft Internet Information Services 5.0

  • kbhowtomaster kbinfo kbmt KB326902 KbMtru
Отзывы и предложения