Bạn hiện đang ngoại tuyến, hãy chờ internet để kết nối lại

ACLs và sử dụng MetaACL cho metabase ACL thay đổi quyền

QUAN TRỌNG: Bài viết này được dịch bằng phần mềm dịch máy của Microsoft chứ không phải do con người dịch. Microsoft cung cấp các bài viết do con người dịch và cả các bài viết do máy dịch để bạn có thể truy cập vào tất cả các bài viết trong Cơ sở Kiến thức của chúng tôi bằng ngôn ngữ của bạn. Tuy nhiên, bài viết do máy dịch không phải lúc nào cũng hoàn hảo. Loại bài viết này có thể chứa các sai sót về từ vựng, cú pháp hoặc ngữ pháp, giống như một người nước ngoài có thể mắc sai sót khi nói ngôn ngữ của bạn. Microsoft không chịu trách nhiệm về bất kỳ sự thiếu chính xác, sai sót hoặc thiệt hại nào do việc dịch sai nội dung hoặc do hoạt động sử dụng của khách hàng gây ra. Microsoft cũng thường xuyên cập nhật phần mềm dịch máy này.

Nhấp chuột vào đây để xem bản tiếng Anh của bài viết này:326902
Quan trọng Bài viết này chứa thông tin về chỉnh sửa metabase. Trước khi bạn chỉnh sửa metabase, kiểm chứng rằng bạn có một sao lưu mà bạn có thể khôi phục lại nếu một vấn đề xảy ra. Thông tin về làm thế nào để làm điều này, xem các chủ điểm trợ giúp "cấu hình sao lưu/khôi phục lại" trong Microsoft Management Console (MMC).
TÓM TẮT
Bài viết này mô tả cách tiếp cận kiểm soát liệt kê (ACLs) làm việc trong Microsoft Internet Information Server (IIS) 4.0 hoặc Microsoft Internet Information Services (IIS) 5.0 metabase. Metabase không chỉ bảo vệ hệ điều hành ACLs vào tập tin cụ thể (Metabase.bin), nhưng các tập tin cũng có ACL bảo vệ trong thư mục riêng của mình.

Chú ý Các tập tin Metabase.bin X.500 Lightweight Directory Access Protocol (LDAP) là một thư mục tuân thủ đầy đủ và được quản lý bởi quyền trong một mối quan hệ Parent\Child. Vì vậy, ACLs là đệ quy ứng dụng lập các thư mục cho đến khi gốc được đạt tới.

Bài viết này cũng mô tả vai trò của ACLs trong IIS metabase, làm thế nào để chỉnh sửa ACLs, và ACLs mặc định IIS 4.0 và IIS 5.0.
THÔNG TIN THÊM

Danh sách điều khiển truy cập

Giới thiệu

Trong metabase, ACLs giới hạn truy cập tài khoản người dùng nhất định để một số phím trong thư mục Metabase.bin. Hai loại cấp phép được cấp với ACLs:
  • ACCESS_ALLOWED_ACE
  • ACCESS_DENIED_ACE
Microsoft khuyến cáo rằng bạn chỉ sử dụng ACCESS_ALLOWED_ACE bởi vì Microsoft không rộng rãi kiểm tra ACCESS_DENIED_ACE.

Bởi vì tất cả ACL thông tin được lưu trữ trong metabase chính nó trong các MD_ADMIN_ACL bất động sản, bạn có thể xem các thông tin với điển hình metabase xem công cụ như Adsutil và Mdutil.

Có quyền

Khi bạn sửa đổi metabase ACLs, các quyền sau đây có sẵn:
  • MD_ACR_UNSECURE_PROPS_READ: Cho phép một người dùng chỉ đọc truy cập vào bất kỳ tài sản toàn.
  • MD_ACR_READ: Cung cấp cho người dùng đọc quyền đối với bất kỳ tài sản an toàn hoặc toàn.
  • MD_ACR_ENUM_KEYS: Cung cấp cho người dùng quyền được liệt kê tất cả các tên của các nút con bất kỳ.
  • MD_ACR_WRITE_DAC: Cho người dùng quyền viết hoặc tạo ra một AdminACL bất động sản tại nút tương ứng.
  • MD_ACR_WRITE: Cho người dùng quyền sửa đổi (bao gồm thêm hoặc bộ) đặc tính ngoại trừ thuộc tính bị giới hạn. Để biết thêm chi tiết, xem phần về đặc tính bị giới hạn bởi nền tảng.
  • MD_ACR_RESTRICTED_WRITE: Cho người dùng quyền sửa đổi bất kỳ tài sản hiện đang được thiết lập để Người quản trị chỉ. Quyền này cho phép toàn quyền kiểm soát rằng chìa khóa dẫn đến một người sử dụng.

Chỉnh sửa ACLs

Cảnh báo Nếu bạn chỉnh sửa metabase không chính xác, bạn có thể gây ra vấn đề nghiêm trọng mà có thể yêu cầu bạn phải cài đặt lại bất kỳ sản phẩm có sử dụng metabase. Microsoft không thể đảm bảo rằng những vấn đề gây ra nếu bạn không chính xác chỉnh sửa metabase có thể được giải quyết. Chỉnh sửa metabase nguy cơ của riêng bạn.

Chú ý Luôn luôn sao lưu metabase trước khi bạn chỉnh sửa nó.

Để chỉnh sửa các ACLs, bạn sử dụng một tiện ích được đặt tên Metaacl.vbs.Để biết thêm thông tin, hãy bấm vào số bài viết sau để xem bài viết trong Cơ sở Kiến thức Microsoft:
267904Metaacl.exe sửa đổi metabase quyền cho các đối tượng Admin IIS
Ví dụ này sửa đổi các W3SVC chìa khóa để từ chối truy cập cho các quản trị viên.

Cảnh báo Làm điều này trên một hệ thống sản xuất có thể là cực kỳ nguy hiểm và gây ra IIS để không hoạt động theo thiết kế. Ví dụ này chỉ bước qua quá trình chỉnh sửa cho mục đích cuộc biểu tình.
  1. Sao chép các tập tin Metaacl.vbs vào thư mục %systemdrive%\Inetpub\Adminscripts.
  2. Nhấp vào Bắt đầu, bấm Chạy, loại CMD, sau đó bấm Chạy để mở một dấu nhắc lệnh.
  3. Tại dấu nhắc, hãy chạy lệnh sau đây để thay đổi vào thư mục Adminscripts:
    c:\cd Inetpub\Adminscripts					
  4. Để sửa đổi các thông số lúc IIS: / / LOCALHOST/W3SVC, hãy chạy lệnh sau:
    c:\Inetpub\Adminscripts>cscript metaacl.vbs IIS://LOCALHOST/W3SVC mydomain\mydomainaccount RW					
    Bạn nhận được các phản ứng sau:
    ACE cho mydomain\mydomainaccount thêm vào.
Bạn có thể sử dụng Metaacl.vbs để thêm các quyền sau đây cho người dùng bất kỳ:
  • R - đọc
  • W - viết
  • S - bị giới hạn ghi
  • U - unsecure thuộc tính đọc
  • E - liệt kê phím
  • D - viết DACL (quyền)

ACLs bởi nền tảng máy chủ

IIS 4,0

  • Mặc định ACLsDanh sách sau đây mô tả ACLs mặc định được đặt trong thư mục Metabase.bin khi IIS 4.0 đã được cài đặt:
    LM -   W3SVC      BUILTIN\Administrators        Access: RWSUED      Everyone        Access:     E   MSFTPSVC      BUILTIN\Administrators        Access: RWSUED      Everyone        Access:     E   SMTPSVC        BUILTIN\Administrators        Access: RWSUED      Everyone        Access:     E   NNTPSVC      BUILTIN\Administrators        Access: RWSUED      Everyone        Access:     E					
  • Nhập bị giới hạn ACLsDanh sách sau đây mô tả các tính chất quan trọng metabase đó được đánh dấu là bị giới hạn về cài đặt mặc định của IIS 4.0:
    MD_ADMIN_ACLMD_APP_ISOLATEDMD_VR_PATHMD_ACCESS_PERMMD_ANONYMOUS_USER_NAMEMD_ANONYMOUS_PWDMD_MAX_BANDWIDTHMD_MAX_BANDWIDTH_BLOCKEDMD_ISM_ACCESS_CHECKMD_FILTER_LOAD_ORDERMD_FILTER_STATEMD_FILTER_ENABLEDMD_FILTER_DESCRIPTIONMD_FILTER_FLAGSMD_FILTER_IMAGE_PATHMD_SECURE_BINDINGSMD_SERVER_BINDINGS					

IIS 5,0

  • Mặc định ACLsDanh sách sau đây mô tả ACLs mặc định được đặt trong thư mục Metabase.bin khi IIS 5.0 được cài đặt:
    LM -    W3SVC      BUILTIN\Administrators        Access: RWSUED      Everyone        Access:     E       {IISMachineName}\VS Developers        Access: RWSUE    MSFTPSVC      BUILTIN\Administrators        Access: RWSUED      Everyone        Access:     E   SMTPSVC      BUILTIN\Administrators        Access: RWSUED      Everyone        Access:     E    NNTPSVC      BUILTIN\Administrators        Access: RWSUED      Everyone        Access:     E 					
  • Nhập bị giới hạn ACLsDanh sách sau đây mô tả các tính chất quan trọng metabase đó được đánh dấu là bị giới hạn cài đặt mặc định IIS 5.0:
    MD_ADMIN_ACLMD_APP_ISOLATEDMD_VR_PATHMD_ACCESS_PERMMD_ANONYMOUS_USER_NAMEMD_ANONYMOUS_PWDMD_MAX_BANDWIDTHMD_MAX_BANDWIDTH_BLOCKEDMD_ISM_ACCESS_CHECKMD_FILTER_LOAD_ORDERMD_FILTER_STATEMD_FILTER_ENABLEDMD_FILTER_DESCRIPTIONMD_FILTER_FLAGSMD_FILTER_IMAGE_PATHMD_SECURE_BINDINGSMD_SERVER_BINDINGS					

IIS 6.0

  • Mặc định ACLsDanh sách sau đây mô tả ACLs mặc định được đặt trong thư mục Metabase.xml khi IIS 6.0 được cài đặt:
    LM –      W3SVC         NT AUTHORITY\LOCAL SERVICE 	  Access: R UE 	NT AUTHORITY\NETWORK SERVICE 	  Access: R UE 	{computername}\IIS_WPG            Access: R UE         BUILTIN\Administrators            Access: RWSUED        {computername}\ASPNET           Access: R   E      W3SVC/Filters        NT AUTHORITY\LOCAL SERVICE           Access: RW UE        NT AUTHORITY\NETWORK SERVIC           Access: RW UE        {computername}\IIS_WPG           Access: RW UE        BUILTIN\Administrators           Access: RWSUED     W3SVC/1/Filters        NT AUTHORITY\LOCAL SERVICE           Access: RW UE        NT AUTHORITY\NETWORK SERVIC           Access: RW UE        {computername}\IIS_WPG           Access: RW UE        BUILTIN\Administrators           Access: RWSUED     W3SVC/AppPools        NT AUTHORITY\LOCAL SERVICE           Access:    U        NT AUTHORITY\NETWORK SERVICE           Access:    U       {computername}\IIS_WPG           Access:    U        BUILTIN\Administrators           Access: RWSUED     W3SVC/INFO        BUILTIN\Administrators           Access: RWSUED     MSFTPSVC         BUILTIN\Administrators            Access: RWSUED      SMTPSVC         BUILTIN\Administrators           Access: RWSUED        NT AUTHORITY\LOCAL SERVICE           Access:    UE        NT AUTHORITY\NETWORK SERVICE           Access:    UE     NNTPSVC        BUILTIN\Administrators           Access: RWSUED        NT AUTHORITY\LOCAL SERVICE           Access:    UE        NT AUTHORITY\NETWORK SERVICE           Access:    UE     Logging        BUILTIN\Administrators           Access: RWSUED 						
  • Nhập bị giới hạn ACLsDanh sách sau đây mô tả các tính chất quan trọng metabase đó được đánh dấu là bị giới hạn về cài đặt mặc định của IIS 6.0:
    MD_ADMIN_ACLMD_VPROP_ADMIN_ACL_RAW_BINARYMD_APPPOOL_ORPHAN_ACTION_EXEMD_APPPOOL_ORPHAN_ACTION_PARAMSMD_APPPOOL_AUTO_SHUTDOWN_EXEMD_APPPOOL_AUTO_SHUTDOWN_PARAMSMD_APPPOOL_IDENTITY_TYPEMD_APP_APPPOOL_IDMD_APP_ISOLATEDMD_VR_PATHMD_ACCESS_PERMMD_VR_USERNAMEMD_VR_PASSWORDMD_ANONYMOUS_USER_NAMEMD_ANONYMOUS_PWDMD_LOGSQL_USER_NAMEMD_LOGSQL_PASSWORDMD_WAM_USER_NAMEMD_WAM_PWDMD_AD_CONNECTIONS_USERNAMEMD_AD_CONNECTIONS_PASSWORDMD_MAX_BANDWIDTHMD_MAX_BANDWIDTH_BLOCKEDMD_ISM_ACCESS_CHECKMD_FILTER_LOAD_ORDERMD_FILTER_ENABLEDMD_FILTER_IMAGE_PATHMD_SECURE_BINDINGSMD_SERVER_BINDINGSMD_ASP_ENABLECLIENTDEBUGMD_ASP_ENABLESERVERDEBUGMD_ASP_ENABLEPARENTPATHSMD_ASP_ERRORSTONTLOGMD_ASP_KEEPSESSIONIDSECUREMD_ASP_LOGERRORREQUESTSMD_ASP_DISKTEMPLATECACHEDIRECTORY36948 RouteUserName36949 RoutePassword36958 SmtpDsPassword41191 Pop3DsPassword45461 FeedAccountName45462 FeedPassword49384 ImapDsPassword						

Cảnh báo: Bài viết này đã được dịch tự động

Thuộc tính

ID Bài viết: 326902 - Xem lại Lần cuối: 08/28/2011 09:36:00 - Bản sửa đổi: 2.0

Microsoft Internet Information Services 6.0, Microsoft Internet Information Services 5.0

  • kbhowtomaster kbinfo kbmt KB326902 KbMtvi
Phản hồi