WMI セキュリティ保護可能オブジェクトへのアクセス
WMI は、標準的な Windows "セキュリティ記述子" に依存して、WMI 名前空間、プリンター、サービス、DCOM アプリケーションなどのセキュリティ保護可能なオブジェクトへのアクセスを制御および保護します。 詳細については、「WMI 名前空間へのアクセス」を参照してください。
このセクションでは、次のトピックについて説明します。
セキュリティ記述子と SID
WMI は、セキュリティ保護可能なオブジェクトへのアクセスを試みるユーザーの "アクセス トークン" とオブジェクトのセキュリティ記述子を比較することで、アクセス セキュリティを維持します。
ユーザーまたはグループがシステムで作成されると、アカウントに "セキュリティ識別子 (SID)" が付与されます。SID は、以前に削除されたアカウントと同じ名前で作成されたアカウントが、以前のセキュリティ設定を継承しないようにするためのものです。 アクセス トークンは、SID、ユーザーがメンバーになっているグループの一覧、および有効または無効な特権の一覧を組み合わせて作成されます。 これらのトークンは、ユーザーが所有するすべてのプロセスとスレッドに割り当てられます。
アクセス制御
ユーザーがセキュリティで保護されたオブジェクトを使用しようとする際には、アクセス トークンが、オブジェクトのセキュリティ記述子の "随意アクセス制御リスト (DACL)" と比較されます。 DACL には、"アクセス制御エントリ (ACE)" と呼ばれるアクセス許可が含まれています。 "システム アクセス制御リスト (SACL)" は、DACL と同じことを行いますが、セキュリティ監査イベントを生成できます。 Windows Vista 以降、WMI では Windows セキュリティ ログに監査エントリを作成できます。 WMI での監査の詳細については、「WMI 名前空間へのアクセス」を参照してください。
DACL と SACL はどちらも、特定のアクセス権 (WMI リポジトリへの書き込み、リモート アクセスと実行、ログオン アクセス許可など) を持つユーザーを記述する、ACE の一覧で構成されます。 WMI では、これらの ACL が WMI リポジトリに格納されます。
ACE には、アクセス レベルや許可/拒否権限が 3 つの種類で保持されます。許可、DACL の拒否、およびシステム監査 (SACL の場合) です。 DACL や SACL においては、拒否 ACE が許可 ACE よりも先行します。 ユーザー アクセス権を確認する際、WMI は、要求元のアクセス トークンに適用される許可 ACE が見つかるまで、アクセス制御リストを連続的にチェックします。 残りの ACE は、この時点以降にはチェックされません。 適切な許可 ACE が見つからない場合、アクセスは拒否されます。 詳細については、「DACL での ACE の順序」および「DACL の作成」を参照してください。
アクセス セキュリティの変更
適切なアクセス許可がある場合は、スクリプトまたはアプリケーションを使用して、セキュリティ保護可能なオブジェクトのセキュリティを変更できます。 また、"WMI コントロール" を使用するか、名前空間のクラスを定義する "マネージド オブジェクト フォーマット (MOF)" ファイルにセキュリティ記述子定義言語 (SDDL) 文字列を追加して、WMI 名前空間のセキュリティ設定を変更することもできます。 詳細については、「WMI 名前空間へのアクセス」、「WMI 名前空間のセキュリティ保護」、および「セキュリティ保護可能なオブジェクトのアクセス セキュリティの変更」を参照してください。
関連トピック
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示