Einschränken des Zugriffs auf Leistungserweiterungs-DLLs
Ab Windows Server 2003 wurden die Gruppe Leistungsmonitor Benutzer und die Gruppe Leistungsprotokollbenutzer entwicklern und Benutzern von Leistungs-DLLs und den API-Funktionen des Leistungsdatenhilfs-Api (Performance Data Helper, PDH) zur Verfügung gestellt. Diese Leistungssicherheitsgruppen sind für die Verwendung durch Systemadministratoren vorgesehen, um den Zugriff auf die Informationen einzuschränken, die von Leistungs-DLLs für eine bestimmte Liste von Benutzern verfügbar gemacht werden.
Die Gruppe Leistungsmonitor Benutzer soll Benutzer einschließen, die Leistungsindikatordaten anzeigen und keine Indikatordaten mithilfe des Leistungsprotokolle und -warnungen-Diensts protokollieren. Die Gruppe Leistungsprotokollbenutzer sollte Benutzer enthalten, die über die Berechtigung verfügen, leistungsprotokolle und den Warnungsdienst zum Protokollieren von Leistungsindikatoren auf dem lokalen oder Remoteserver zu verwenden. Zu den Berechtigungen dieser Gruppe gehören auch das Erstellen von Protokolldateien auf lokalen oder Remotesystemen, das Verwenden des Warnungsdiensts und das Ausführen von Programmen als Teil des Diensts.
Beachten Sie, dass diese Leistungssicherheitsgruppen allein kein Mechanismus zur Zugriffseinschränkung sind. Dazu müssen Sie diese Gruppen mit dem Windows-Objektzugriffssteuerungsmodell verwenden.
Die meisten Anwendungen kommunizieren mit der Leistungs-DLL über einen IPC-Mechanismus, in der Regel gemeinsam genutzter Arbeitsspeicher. Daher können Sie die Mitglieder einer Leistungssicherheitsgruppe der Sicherheitsbeschreibung des Shared Memory-Objekts hinzufügen, um den Zugriff auf die DLL auf die Mitglieder der Sicherheitsgruppe zu beschränken. Dabei müssen Sie auch die Gruppenmitglieder der Sicherheitsbeschreibung der Systemobjekte hinzufügen, auf die die Leistungs-DLL zugreift, um Leistungsindikatordaten bereitzustellen, z. B. Protokolldateien und Ordner. Ausführlichere Informationen zum Hinzufügen von ACLs zu Objektsicherheitsdeskriptoren finden Sie unter Ändern der ACL eines Objekts.
Eine weitere Methode, mit der Sie die ACL-Informationen der Sicherheitsbeschreibung eines IPC-Systemobjekts ändern können, besteht darin, die Mitglieder der Liste der Leistungssicherheitsgruppen mit sddl (Security Descriptor Definition Language) anzugeben und ConvertStringSecurityDescriptorToSecurityDescriptor aufzurufen, um den Sicherheitsdeskriptor zu erstellen. Dieser Sicherheitsdeskriptor wird dann an das IPC-Systemobjekt angefügt. Das folgende Beispiel zeigt eine SDDL-Zeichenfolge, die die Gruppe Leistungsmonitor Benutzer, MU und die Gruppe Leistungsprotokollbenutzer , LU, enthält.
D:(A;OICI;GA;;;SY)(A;OICI;GA;;;BA)(A;OICI;FRFWFXSDRC;;;NS)(A;OICI;FRFWFXSDRC;;;LU)(A;OICI;FRFX;;;MU)