Tabulka LockPermissions
Tabulka LockPermissions slouží k zabezpečení jednotlivých částí aplikace v uzamčeném prostředí. Dá se použít s instalací souborů, klíčů registru a vytvořených složek.
Balíček určený k instalaci v systému Windows Server 2008 R2 nebo Windows 7 by měl místo tabulky LockPermissionsEx použít MsiLockPermissionsEx Table. Verze Instalační služby systému Windows starší než Instalační služba systému Windows 5.0 ignorují tabulku MsiLockPermissionsEx. Instalační služba systému Windows 5.0 může nainstalovat balíček obsahující tabulku LockPermissions. Počínaje Instalační službou systému Windows 5.0 se instalace balíčku, který obsahuje tabulku MsiLockPermissionsEx i tabulku LockPermissions, nezdaří a vrátí chybovou zprávu Instalační služby systému Windows 1941.
Tabulka LockPermissions obsahuje následující sloupce.
| Sloupec | Typ | Klíč | Nullable |
|---|---|---|---|
| LockObject | identifikátor | Y | N |
| Stůl | textové | Y | N |
| Doména | formátované | Y | Y |
| Uživatel | formátované | Y | N |
| Povolení | doubleInteger | N | Y |
Sloupce
-
LockObject
-
Tento sloupec a sloupec Tabulka společně určují soubor, adresář nebo klíč registru, který se má zabezpečit. Sloupec LockObject je cizí klíč, který odkazuje na primární klíč tabulky určené sloupcem Tabulka.
-
tabulka
-
Tento sloupec a sloupec LockObject určují soubor, adresář nebo klíč registru, který se má zabezpečit. Ve sloupci Tabulka zadejte Soubor, Registr nebo CreateFolder a zadejte Objekt LockObject uvedený v tabulky souborů, tabulka registrunebo CreateFolder Table.
-
doména
-
Sloupec, který identifikuje doménu uživatele, pro která mají být nastavena oprávnění. Toto je název samostatného počítače nebo názvu domény. Datový typ sloupce je Formátovanýa v tomto poli můžete použít řetězec [%USERDOMAIN] k získání hodnoty proměnné prostředí USERDOMAIN pro aktuální doménu. K získání jakékoli jiné domény se vyžaduje použití vlastní akce. Další informace najdete v tabulce vlastních akcí.
-
Uživatel
-
Sloupec identifikující lokalizovaný název uživatele, pro který se mají nastavit oprávnění. Tento název musí být umístěn v počítači nebo doméně. Instalace selže, pokud počítač nebo řadič domény nerozpozná kombinaci domény a uživatele nebo pokud identifikátor zabezpečení uživatele (SID) nelze načíst. Pro jeden objekt LockObject je možné zadat více uživatelů.
Běžná uživatelská jména "Všichni" a "Správci" mohou být zadány v angličtině a jsou mapovány na dobře známé IDENTIFIKÁTORy SID. LocalSystem má úplné řízení ve všech popisovačích zabezpečení vytvořených prostřednictvím tabulky LockPermissions. K získání aktuálního uživatele můžete použít vlastnost Vlastnost ComputerName, LogonUser vlastnost nebo UŽIVATELSKÉ JMÉNO vlastnost. K zadání lokalizovaného názvu libovolného jiného uživatele nebo skupiny se vyžaduje vlastní akce.
K určení seznamů řízení přístupu pro více uživatelů můžete použít více záznamů s identickými položkami LockObject a Table (ale s různými položkami uživatele).
-
oprávnění
-
Sloupec, který identifikuje celočíselnou popis systémových oprávnění. V následujícím příkladu jsou uvedeny nejčastěji používané hodnoty (úplný seznam existuje v systému Winnt.h).
Výsada Popis GENERIC_ALL
0X10000000
268435456Čtení, zápis a spouštění přístupu GENERIC_EXECUTE
0X20000000
536870912Spuštění přístupu GENERIC_WRITE
0X40000000
1073741824Přístup k zápisu Ve sloupci Oprávnění nelze zadat GENERIC_READ. Pokus o to se nezdaří. Místo toho je nutné zadat hodnotu, například KEY_READ nebo FILE_GENERIC_READ.
Hodnota Null zadaná v tomto sloupci je vyhrazena pro budoucí použití.
Poznámky
InstallFiles, WriteRegistryValuesa CreateFolders akce v sekvenční tabulky zpracovat informace v této tabulce. Informace o použití sekvenčních tabuleknaleznete v tématu Použitísekvenční tabulky .
Oprávnění lze nastavit pouze v tabulce LockPermissions pro uživatele, kteří již existují v počítači nebo doméně. Pokus o nastavení oprávnění pro neznámého uživatele způsobí selhání instalace, i když se tento uživatelský účet vytvoří během instalace odloženou vlastní akcí.
Doporučuje se zahrnout místní skupinu správce systému do všech seznamů řízení přístupu (ACL). Tím zajistíte, aby správce systému mohl přistupovat k objektům a udržovat je.
Každý soubor, klíč registru nebo adresář uvedený v tabulce LockPermissions obdrží explicitní popisovač zabezpečení, ať už nahradí existující objekt, nebo ne. Instalační služba systému Windows se pokusí zachovat zabezpečení objektů, které již existují v systému. Pokud objekt není uvedený v tabulce LockPermissions a nahradí existující objekt, nahrazení získá nastavení zabezpečení objektu, který nahrazuje.
Pokud objekt není uvedený v tabulce LockPermissions a nenahrazuje existující objekt, neobdrží žádný explicitní popisovač zabezpečení. Přístup k novému objektu je založen na atributech nadřazeného objektu nebo objektu kontejneru. Pokud objekt není uvedený v tabulce a nahradí objekt bez explicitního popisovače zabezpečení, přístup k novému objektu je založen na atributech nadřazeného objektu nebo objektu kontejneru.
Instalační služba systému Windows nastaví vlastnost UserSID na identifikátor zabezpečení (SID) nebo na uživatele, který instalaci spouští.
Validace