Zugriff auf Sicherungs fähige WMI-Objekte
WMI basiert auf standardmäßigen Windows- Sicherheits Deskriptoren zum Steuern und schützen des Zugriffs auf Sicherungs fähige Objekte wie WMI-Namespaces, Drucker, Dienste und DCOM-Anwendungen. Weitere Informationen finden Sie unter zugreifen auf WMI-Namespaces.
In diesem Abschnitt werden folgende Themen erörtert:
Sicherheits Deskriptoren und SIDs
WMI behält die Zugriffssicherheit bei, indem das Zugriffs Token des Benutzers, der versucht, auf ein Sicherungs fähiges Objekt zuzugreifen, mit der Sicherheits Beschreibung des Objekts verglichen wird.
Wenn ein Benutzer oder eine Gruppe auf einem System erstellt wird, erhält das Konto eine Sicherheits-ID (SID) . die SID stellt sicher, dass ein Konto, das mit dem gleichen Namen wie ein zuvor gelöschtes Konto erstellt wurde, die vorherigen Sicherheitseinstellungen nicht erbt. Ein Zugriffs Token wird erstellt, indem die SID, die Liste der Gruppen, denen der Benutzer angehört, und die Liste der aktivierten oder deaktivierten Berechtigungen kombiniert werden. Diese Token werden allen Prozessen und Threads zugewiesen, die sich im Besitz des Benutzers befinden.
Zugriffssteuerung
Wenn der Benutzer ein gesichertes Objekt verwenden möchte, wird das Zugriffs Token in der Sicherheits Beschreibung des-Objekts mit der freigegebenen Zugriffs Steuerungs Liste (DACL) verglichen. Die DACL enthält Berechtigungen, die als Zugriffs Steuerungs Einträge (ACE)bezeichnet werden. System-Zugriffs Steuerungs Listen (SACL) tun das gleiche wie DACLs, können jedoch Sicherheits Überwachungs Ereignisse generieren. Ab Windows Vista kann WMI Überwachungs Einträge im Windows-Sicherheitsprotokoll erstellen. Weitere Informationen zur Überwachung in WMI finden Sie unter zugreifen auf WMI-Namespaces.
Die DACL und die SACL bestehen aus einer Liste von ACEs, die beschreiben, welche Benutzer über bestimmte Zugriffsrechte verfügen, einschließlich des Schreibvorgangs in das WMI-Repository, des Remote Zugriffs und der Ausführung sowie der Anmelde Berechtigungen. WMI speichert diese ACLs im WMI-Repository.
ACEs enthalten drei Typen von Zugriffsebenen oder GRANT/DENY-rechten: allow, Deny für DACL und System Audit (für SACLs). Deny ACEs vor zulassen von ACEs in der DACL oder SACL. Wenn Sie die Benutzer Zugriffsrechte überprüfen, wird WMI in der Zugriffs Steuerungs Liste nacheinander ausgeführt, bis ein allow-ACE gefunden wird, der für das anfordernde Zugriffs Token gilt. Die verbleibenden ACEs werden nach diesem Punkt nicht geprüft. Wenn kein entsprechender Allow ACE gefunden wird, wird der Zugriff verweigert. Weitere Informationen finden Sie unter Reihenfolge von ACEs in einer DACL und Erstellen einer DACL.
Ändern der Zugriffssicherheit
Mit den entsprechenden Berechtigungen können Sie die Sicherheit für ein Sicherungs fähiges Objekt mit einem Skript oder einer Anwendung ändern. Sie können auch die Sicherheitseinstellungen für WMI-Namespaces mithilfe des WMI-Steuer Elements oder durch Hinzufügen einer SDDL-Zeichenfolge (Security Descriptor Definition Language) in der MOF -Datei (Managed Object Format) ändern, die Klassen für den Namespace definiert. Weitere Informationen finden Sie unter zugreifen auf WMI-Namespaces, Sichern von WMI-Namespacesund Ändern der Zugriffssicherheit für Sicherungs fähige Objekte.