Ändern der Zugriffssicherheit für sicherungsfähige Objekte

Drucker, Dienste, Registrierungsschlüssel, DCOM-Anwendungen und WMI-Namespaces sind sicherungsfähige Objekte. Der Zugriff auf sicherungsfähige Objekte wird durch Sicherheitsdeskriptorengeschützt, die die Benutzer angeben, die Zugriff haben. Ab Windows Vista verfügen viele sicherungsfähige Objekte über Methoden zum Abrufen oder Festlegen des Sicherheitsdeskriptors. Mit den entsprechenden Berechtigungen können Sie Sicherheitsbeschreibungen für sicherungsfähige Objekte lesen oder ändern. Mit diesen Methoden können Sie steuern, welche Benutzerkonten oder Gruppen Zugriff auf einen Drucker, Dienst, WMI-Namespace oder ein anderes Objekt haben. Weitere Informationen zu Sicherheitsdeskriptoren und deren Verwendung in WMI finden Sie unter Zugriff auf sicherungsfähige WMI-Objekte.

In diesem Thema werden die folgenden Abschnitte erläutert:

Objekte und Sicherheitsbeschreibungsmethoden

Die folgende Liste enthält die Methoden, mit denen sicherungsfähige Objekte den Sicherheitsdeskriptor lesen oder ändern können:

Hinweis

Wenn keine neue Security Access Control List (SACL) in einem Aufruf einer SetSecurityDescriptor-Methode angegeben wird, wird die Sicherheitsbeschreibung SACL für das sicherungsfähige Zielobjekt auf NULL festgelegt, sodass die vorherige SACL-Einstellung nicht beibehalten wird.

Konvertieren zwischen Sicherheitsbeschreibungsformaten

Sicherheitsdeskriptoren sind komplexe binäre Bytearrays, die normalerweise in C++ erstellt und geändert werden müssen. Nachdem Sie eine der Get-Methoden verwendet haben, um den Sicherheitsdeskriptor zu erhalten, stellt die Win32 _ SecurityDescriptorHelper-Klasse Methoden zur Konvertierung von Sicherheitsdeskriptoren entweder in Security Descriptor Definition Language (SDDL) oder in Win32 _ SecurityDescriptor-Instanzen zur Verwendung.

Sie können die Access Control Listen (ACL) einfacher in Win32 _ SecurityDescriptor-Instanzen oder in SDDL bearbeiten. Weitere Informationen zur Struktur und Verwendung von Sicherheitsdeskriptoren in WMI finden Sie unter WMI-Sicherheitsdeskriptorobjekte.

Verwenden Sie in C++ oder C# Konvertierungsfunktionen, um binäre Sicherheitsdeskriptoren in SDDL (Security Descriptor Definition Language) zu konvertieren. Verwenden Sie ConvertSecurityDescriptorToStringSecurityDescriptor und ConvertStringSecurityDescriptorToSecurityDescriptor,um Sicherheitsdeskriptorwerte in C++-Anwendungen zu ändern.

Sicherheitsprobleme

Es wird empfohlen, Änderungen an Sicherheitsdeskriptoren mit großer Vorsicht vorzunehmen, damit die Sicherheit des Objekts nicht beeinträchtigt wird. Beachten Sie, dass sich die Reihenfolge der Zugriffssteuerungseinträge (ACCESS Control Entries, ACEs) in einer DACL (Discretionary Access Control List) auf die Zugriffssicherheit auswirken kann. Weitere Informationen finden Sie unter Reihenfolge der ACEs in einer DACL.

WMI-Sicherheitsdeskriptorobjekte

Security Descriptor Helper-Klasse

Bewährte Sicherheitsmethoden

Verwalten der WMI-Sicherheit

Zugriffssteuerung

Zugriff auf WMI-Namespaces