none
Administratorsグループに属さないユーザでのIIS起動と停止の可否 RRS feed

  • 質問

  • お世話になっております。

    Windows Server 2016 + IIS10.0の環境を構築しています。
    セキュリティ面を考慮し、出来るだけ限定した権限をユーザに付与したく考えています。
    IISの起動と停止を行うユーザは、Administratorsグループに属する必要はありますか?
    ユーザをIIS_IUSERSグループに属せばと思い試したり、いくつか検索を行いましたが、可否が理解できていません。

    ご教授頂ければ幸いです。

    2018年3月12日 8:09

回答

  • 私の知っているやり方では、以下になります。

    不要なトラブルや手間を考えると、Administratorsグループに所属させた方が簡単ではあります。

     

    ■コマンドプロンプトでscコマンドを使う

    ---------------------------------------

    ・まず、sc sdshow [サービス名]でSDDLを確認する

    C:\Users\Administrator>sc sdshow W3SVC

    D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)

     

    ・個別に権限を付与したいグループのSIDを確認

    C:\Windows\system32>whoami /groups

    GROUP INFORMATION
    -----------------

    グループ名                             種類                 SID          属性
    ====================================== ==================== ============ ========================================
    Everyone                               よく知られたグループ S-1-1-0      固定グループ, 既定で有効, 有効なグループ
    BUILTIN\IIS_IUSRS                      エイリアス           S-1-5-32-568 固定グループ, 既定で有効, 有効なグループ

    今回は対象アカウントが所属する[ IIS_IUSRS ]のSID[ S-1-5-32-568 ]を確認

     

    ・アクセス許可をsc sdsetコマンドで付与する

    C:\Users\Administrator>sc sdset W3SVC  D:(A;;CCLCSWRPWPDTLOCRRC;;;S-1-5-32-568)(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)
    [SC] SetServiceObjectSecurity SUCCESS  <--

    ---------------------------------------

     

    SDDLの差分を見てもらえれば分かりますが、(A;;CCLCSWRPWPDTLOCRRC;;;S-1-5-32-568)を記述する事でサービスに対してIIS_IUSRSのアクセスを許可するように設定(DACLの変更)しています。

     

    そのまま設定出来ればサービスの起動停止は一般ユーザでも可能になります。



    2018年3月13日 5:26