@port139 Blog

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

IIS 6.0とログファイルフォルダのアクセス権(その2)

忘れないうちにメモしておこう。
Windows Server 2003 +SP1&IIS 6.0 の環境でのお話。ファイルシステムはもちろんNTFS

Windows\System32\Logfiles\W3SVC1 フォルダのアクセス権を以下のように設定した。
所有者:Administrator
Administrators:読み取り実行を許可
SYSTEM:フルコントロールを許可
IIS はログを作成することができるか?

答え:できない
IIS はフォルダの所有者が Administrator*1 であることを確認した段階でイベントログ(アプリケーション)にエラーメッセージを出力し、ログファイルは作成されない。

Windows\System32\Logfiles\W3SVC1 フォルダのアクセス権を以下のように設定した。
所有者:SYSTEM
Administrators:読み取り実行を許可
SYSTEM:フルコントロールを拒否
IIS はログを作成することができるか?

答え:できる
所有者が SYSTEM に設定されているので、拒否 ACL に関わらず IIS はログファイルを作成できる。

SYSTEM のアクセス権が拒否に設定されているにも関わらず、ログファイルを作成できるのは何故か?理由を述べよ。

答え:*2

*1:最後に「s」がない、デフォルトではAdministratorsになっておりLocalSystemを含んでいる

*2:所有者のアクセスを拒否してしまうと、最悪アクセス権の変更等がまったくできなくなるので拒否はできないと思われ?