你目前正处于脱机状态,正在等待 Internet 重新连接

acl 并使用 MetaACL 元数据库 ACL 权限更改

注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。

点击这里察看该文章的英文版: 326902
重要 本文包含有关编辑配置数据库的信息。编辑元数据库之前,请验证您有一个备份副本,如果出现问题,可以还原该副本。有关如何执行此操作,请参阅"配置备份/还原"在帮助主题中 Microsoft 管理控制台 (MMC)。
概要
本文介绍在访问控制列表 (acl) 中如何工作 Microsoft Internet 信息服务器 (IIS) 4.0 或 Microsoft Internet Information Services (IIS) 5.0 配置数据库。元数据库不只受操作系统特定的文件 (Metabase.bin) 上的 acl,但该文件还具有 ACL 保护的目录本身。

注意Metabase.bin 文件是一个完全符合 X.500 轻型目录访问协议 (LDAP) 目录,并由 Parent\Child 关系中的权限。因此,acl 是在目录上的递归地应用,直到到达根。

本文还介绍了 IIS 元数据库中的 acl 的角色如何为 IIS 4.0 和 IIS 5.0 编辑 acl,和 $ 默认 acl。
更多信息

访问控制列表

简介

在该的配置数据库 acl 限制对某些用户帐户,使其在 Metabase.bin 目录中的某些项的访问。两种类型的权限被授予与 acl 中:
  • ACCESS_ALLOWED_ACE
  • ACCESS_DENIED_ACE
Microsoft 建议您仅使用 ACCESS_ALLOWED_ACE,因为 Microsoft 不会广泛测试 ACCESS_DENIED_ACE

因为 ACL 的所有信息都存储在配置数据库本身 MD_ADMIN_ACL 属性中,您可以查看该信息与查看 Adsutil 和 Mdutil 这样的工具的典型配置数据库。

可用权限

当您修改配置数据库 acl 时, 是可用的下列权限:
  • MD_ACR_UNSECURE_PROPS_READ: 授予用户只读访问权限,任何不安全的属性。
  • MD_ACR_READ: 赋予用户读取任何安全或不安全属性的权限。
  • MD_ACR_ENUM_KEYS: 授予用户枚举的任何子节点的所有名称的权限。
  • MD_ACR_WRITE_DAC: 授予用户编写或创建一个 AdminACL 属性在相应的节点的权限。
  • MD_ACR_WRITE: 授予用户修改 (包括添加或一组) 的权限除外受限制的属性的属性。更多的信息请参阅部分中有关受限制的属性由平台。
  • MD_ACR_RESTRICTED_WRITE: 授予用户修改当前设置为 仅管理员 的任何属性的权限。此权限提供对该注册表项的用户的完全控制。

编辑 acl

警告 如果错误地为编辑元数据库,您会导致严重的问题,甚至可能需要重新安装使用元数据库的任何产品。Microsoft 不能保证可以解决问题,如果您错误地编辑元数据库产生。编辑元数据库需要您自担风险。

注意 始终备份元数据库之前对其进行编辑。

若要编辑 acl,您可以使用名为 Metaacl.vbs 实用程序。 有关详细的信息请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
267904Metaacl.exe 修改 IIS 管理对象的元数据库权限
本示例修改 w3svc 键以管理员的拒绝访问。

警告执行此操作在生产系统上可以是非常危险的并导致 IIS 失败工作正常。本示例仅步骤通过在编辑过程,用于演示目的。
  1. 将 Metaacl.vbs 文件复制到 %systemdrive%\Inetpub\Adminscripts 目录中。
  2. 单击 开始、 单击 运行,键入 CMD,然后单击 $ 运行 以打开命令提示符。
  3. 在提示符运行以下命令来更改 Adminscripts 目录:
    c:\cd Inetpub\Adminscripts					
  4. 若要修改位于 IIS 参数: / 本地主机/w3svc,运行以下命令:
    c:\Inetpub\Adminscripts>cscript metaacl.vbs IIS://LOCALHOST/W3SVC mydomain\mydomainaccount RW					
    您收到以下响应:
    对于 mydomain\mydomainaccount 添加 ACE。
您可以使用 Metaacl.vbs 添加任何用户的以下权限:
  • R 读取
  • W 写
  • S 受限写入
  • U 不安全的属性读取
  • E 枚举项
  • D 编写 DACL (权限)

由服务器平台的 acl

IIS 4.0

  • 默认 acl 以下列表描述了 IIS 4.0 安装时被放入 Metabase.bin 目录的默认 acl:
    LM -   W3SVC      BUILTIN\Administrators        Access: RWSUED      Everyone        Access:     E   MSFTPSVC      BUILTIN\Administrators        Access: RWSUED      Everyone        Access:     E   SMTPSVC        BUILTIN\Administrators        Access: RWSUED      Everyone        Access:     E   NNTPSVC      BUILTIN\Administrators        Access: RWSUED      Everyone        Access:     E					
  • 受限制的 acl 以下列表描述了元数据库键属性标记为受限制在默认安装的 IIS 4.0:
    MD_ADMIN_ACLMD_APP_ISOLATEDMD_VR_PATHMD_ACCESS_PERMMD_ANONYMOUS_USER_NAMEMD_ANONYMOUS_PWDMD_MAX_BANDWIDTHMD_MAX_BANDWIDTH_BLOCKEDMD_ISM_ACCESS_CHECKMD_FILTER_LOAD_ORDERMD_FILTER_STATEMD_FILTER_ENABLEDMD_FILTER_DESCRIPTIONMD_FILTER_FLAGSMD_FILTER_IMAGE_PATHMD_SECURE_BINDINGSMD_SERVER_BINDINGS					

IIS 5.0

  • 默认 acl 以下列表描述将被放入 Metabase.bin 目录中,安装 IIS 5.0 时的默认 acl:
    LM -    W3SVC      BUILTIN\Administrators        Access: RWSUED      Everyone        Access:     E       {IISMachineName}\VS Developers        Access: RWSUE    MSFTPSVC      BUILTIN\Administrators        Access: RWSUED      Everyone        Access:     E   SMTPSVC      BUILTIN\Administrators        Access: RWSUED      Everyone        Access:     E    NNTPSVC      BUILTIN\Administrators        Access: RWSUED      Everyone        Access:     E 					
  • 受限制的 acl 以下列表描述了元数据库键属性标记为受限制在默认安装的 IIS 5.0:
    MD_ADMIN_ACLMD_APP_ISOLATEDMD_VR_PATHMD_ACCESS_PERMMD_ANONYMOUS_USER_NAMEMD_ANONYMOUS_PWDMD_MAX_BANDWIDTHMD_MAX_BANDWIDTH_BLOCKEDMD_ISM_ACCESS_CHECKMD_FILTER_LOAD_ORDERMD_FILTER_STATEMD_FILTER_ENABLEDMD_FILTER_DESCRIPTIONMD_FILTER_FLAGSMD_FILTER_IMAGE_PATHMD_SECURE_BINDINGSMD_SERVER_BINDINGS					

IIS 6.0

  • Default ACLs The following list describes the default ACLs that are put in the Metabase.xml directory when IIS 6.0 is installed:
    LM –      W3SVC         NT AUTHORITY\LOCAL SERVICE 	  Access: R UE 	NT AUTHORITY\NETWORK SERVICE 	  Access: R UE 	{computername}\IIS_WPG            Access: R UE         BUILTIN\Administrators            Access: RWSUED        {computername}\ASPNET           Access: R   E      W3SVC/Filters        NT AUTHORITY\LOCAL SERVICE           Access: RW UE        NT AUTHORITY\NETWORK SERVIC           Access: RW UE        {computername}\IIS_WPG           Access: RW UE        BUILTIN\Administrators           Access: RWSUED     W3SVC/1/Filters        NT AUTHORITY\LOCAL SERVICE           Access: RW UE        NT AUTHORITY\NETWORK SERVIC           Access: RW UE        {computername}\IIS_WPG           Access: RW UE        BUILTIN\Administrators           Access: RWSUED     W3SVC/AppPools        NT AUTHORITY\LOCAL SERVICE           Access:    U        NT AUTHORITY\NETWORK SERVICE           Access:    U       {computername}\IIS_WPG           Access:    U        BUILTIN\Administrators           Access: RWSUED     W3SVC/INFO        BUILTIN\Administrators           Access: RWSUED     MSFTPSVC         BUILTIN\Administrators            Access: RWSUED      SMTPSVC         BUILTIN\Administrators           Access: RWSUED        NT AUTHORITY\LOCAL SERVICE           Access:    UE        NT AUTHORITY\NETWORK SERVICE           Access:    UE     NNTPSVC        BUILTIN\Administrators           Access: RWSUED        NT AUTHORITY\LOCAL SERVICE           Access:    UE        NT AUTHORITY\NETWORK SERVICE           Access:    UE     Logging        BUILTIN\Administrators           Access: RWSUED 						
  • Restricted ACLs The following list describes the metabase key properties that are marked as restricted on default installations of IIS 6.0:
    MD_ADMIN_ACLMD_VPROP_ADMIN_ACL_RAW_BINARYMD_APPPOOL_ORPHAN_ACTION_EXEMD_APPPOOL_ORPHAN_ACTION_PARAMSMD_APPPOOL_AUTO_SHUTDOWN_EXEMD_APPPOOL_AUTO_SHUTDOWN_PARAMSMD_APPPOOL_IDENTITY_TYPEMD_APP_APPPOOL_IDMD_APP_ISOLATEDMD_VR_PATHMD_ACCESS_PERMMD_VR_USERNAMEMD_VR_PASSWORDMD_ANONYMOUS_USER_NAMEMD_ANONYMOUS_PWDMD_LOGSQL_USER_NAMEMD_LOGSQL_PASSWORDMD_WAM_USER_NAMEMD_WAM_PWDMD_AD_CONNECTIONS_USERNAMEMD_AD_CONNECTIONS_PASSWORDMD_MAX_BANDWIDTHMD_MAX_BANDWIDTH_BLOCKEDMD_ISM_ACCESS_CHECKMD_FILTER_LOAD_ORDERMD_FILTER_ENABLEDMD_FILTER_IMAGE_PATHMD_SECURE_BINDINGSMD_SERVER_BINDINGSMD_ASP_ENABLECLIENTDEBUGMD_ASP_ENABLESERVERDEBUGMD_ASP_ENABLEPARENTPATHSMD_ASP_ERRORSTONTLOGMD_ASP_KEEPSESSIONIDSECUREMD_ASP_LOGERRORREQUESTSMD_ASP_DISKTEMPLATECACHEDIRECTORY36948 RouteUserName36949 RoutePassword36958 SmtpDsPassword41191 Pop3DsPassword45461 FeedAccountName45462 FeedPassword49384 ImapDsPassword						

警告:本文已自动翻译

属性

文章 ID:326902 - 上次审阅时间:12/03/2007 21:24:35 - 修订版本: 6.6

Microsoft Internet Information Services 6.0, Microsoft Internet Information Services 5.0, Microsoft Windows NT version 4.0 Option Pack

  • kbmt kbhowtomaster kbinfo KB326902 KbMtzh
反馈