Přístup k zabezpečitelným objektům služby WMI

Rozhraní WMI využívá standardní popisovače zabezpečení systému Windows k řízení a ochraně přístupu k zabezpečitelným objektům, jako jsou obory názvů WMI, tiskárny, služby a aplikace DCOM. Další informace naleznete v tématu Přístup k oborům názvů WMI.

V této části jsou popsána následující témata:

• popisovače zabezpečení a identifikátory SID
• řízení přístupu
• změna zabezpečení přístupu
• související témata

Popisovače zabezpečení a identifikátory SID

Rozhraní WMI udržuje zabezpečení přístupu porovnáním přístupového tokenu uživatele, který se pokusí o přístup k zabezpečitelnému objektu s popisovačem zabezpečení objektu.

Při vytvoření uživatele nebo skupiny v systému se účtu zobrazí identifikátor zabezpečení (SID) IDENTIFIKÁTOR SID zajistí, že účet vytvořený se stejným názvem jako dříve odstraněný účet nezdědí předchozí nastavení zabezpečení. Přístupový token se vytvoří kombinací identifikátoru SID, seznamu skupin, kterých je uživatel členem, a seznamu povolených nebo zakázaných oprávnění. Tyto tokeny jsou přiřazeny všem procesům a vláknům vlastněným uživatelem.

Řízení přístupu

Když chce uživatel použít zabezpečený objekt, porovná se přístupový token s volitelným seznamem řízení přístupu (DACL) v popisovači zabezpečení objektu. Seznam DACL obsahuje oprávnění s názvem položky řízení přístupu (ACE). seznamy řízení přístupu systému (SACL) dělat totéž jako seznamy DACL, ale může generovat události auditu zabezpečení. Počínaje systémem Windows Vista může rozhraní WMI provádět položky auditování v protokolu zabezpečení systému Windows. Další informace o auditování ve službě WMI najdete v tématu Přístup k oborům názvů rozhraní WMI.

SEZNAM DACL i SACL se skládají ze seznamu ACL, které popisují, kteří uživatelé mají specifická přístupová práva, včetně zápisu do úložiště WMI, vzdáleného přístupu a spuštění a oprávnění pro přihlášení. Rozhraní WMI ukládá tyto seznamy ACL do úložiště služby WMI.

Seznamy ACL obsahují tři typy úrovní přístupu nebo oprávnění udělit/odepřít: povolit, odepřít seznam DACL a audit systému (pro seznamy SACLs). Odepřít řízení přístupu před povolenými ACL v sadě DACL nebo SACL. Při kontrole přístupových práv uživatelů služba WMI po sobě prochází seznamem řízení přístupu, dokud nenajde povolení ACE, která se vztahuje na požadovaný přístupový token. Zbývající střídavé řízení přístupu se po tomto bodu nekontrolují. Pokud se nenajde žádná vhodná možnost povolit ACE, přístup se odepře. Další informace naleznete v tématu Pořadí řízení přístupu v dacl a Vytvoření seznamu DACL.

Změna zabezpečení přístupu

S příslušnými oprávněními můžete změnit zabezpečení zabezpečitelného objektu pomocí skriptu nebo aplikace. Nastavení zabezpečení pro obory názvů služby WMI můžete změnit také pomocí ovládacích rozhraní WMI nebo přidáním SDDL (Security Descriptor Definition Language) řetězec do souboruManaged Object Format (MOF), který definuje třídy pro obor názvů. Další informace naleznete v tématu Přístup k oborům názvů rozhraní WMI, Zabezpečení oborů názvů rozhraní WMIa Změna zabezpečení přístupu u zabezpečitelných objektů.

Související témata

objekty popisovače zabezpečení rozhraní WMI

konstant zabezpečení rozhraní WMI

řízení uživatelských účtů a rozhraní WMI

objekty popisovače zabezpečení rozhraní WMI

přístup k oborů názvů rozhraní WMI