Sdílet prostřednictvím

Omezení přístupu k performančním rozšiřujícím knihovnám DLL

  • Článek

Od systému Windows Server 2003 byly skupina uživatelů sledování výkonu a skupina uživatelů protokolu výkonu zpřístupněny vývojářům a uživatelům výkonnostních knihoven DLL a funkcí rozhraní API PDH (Performance Data Helper). Tyto výkonnostní bezpečnostní skupiny jsou určeny pro správce systému k tomu, aby omezili přístup k informacím poskytovaným knihovnami DLL výkonu na konkrétní seznam uživatelů.

Skupina Uživatelé monitorování výkonu je určená pro uživatele, kteří zobrazují data čítačů a neukládají data čítačů pomocí služby Výkonnostní protokoly a výstrahy. Skupina Uživatelé protokolu výkonu by měla zahrnovat uživatele, kteří mají oprávnění používat službu Protokoly výkonu a upozornění pro protokolování čítačů na místním nebo vzdáleném serveru. Oprávnění této skupiny zahrnují také vytváření souborů protokolu v místních nebo vzdálených systémech, používání služby upozornění a spouštění programů jako součást služby.

Všimněte si, že tyto skupiny zabezpečení výkonu nejsou samy o sobě mechanismem omezení přístupu. K tomu je nutné použít tyto skupiny s modelem řízení přístupu k objektům Windows.

Většina aplikací komunikuje s výkonnostní DLL knihovnou prostřednictvím IPC mechanismu, obvykle sdílené paměti. Proto můžete přidat členy skupiny zabezpečení výkonu do popisovače zabezpečení objektu sdílené paměti, aby byl přístup ke knihovně DLL omezen pouze na tyto členy skupiny zabezpečení. Když to uděláte, musíte také přidat členy skupiny do popisovače zabezpečení systémových objektů, ke kterým knihovna DLL výkonu přistupuje, za účelem poskytování údajů z čítačů, například soubory protokolu a složky. Podrobnější informace o přidávání seznamů ACL k popisovačům zabezpečení objektů najdete v tématu Úprava seznamu ACL objektu.

Další metodou, kterou můžete použít ke změně informací seznamu ACL popisovače zabezpečení systémového objektu IPC, je určit členy seznamu skupin zabezpečení výkonu pomocí jazyka SDDL (Security Descriptor Definition Language) a volat ConvertStringSecurityDescriptorToSecurityDescript orToSecurityDescriptor k vytvoření popisovače zabezpečení. Tento popisovač zabezpečení se pak připojí k systémovému objektu IPC. Následující příklad ukazuje řetězec SDDL, který obsahuje skupinu Uživatelé sledování výkonu, MU a skupinu Uživatelé protokolu výkonu, LU.

D:(A;OICI;GA;;;SY)(A;OICI;GA;;;BA)(A;OICI;FRFWFXSDRC;;;NS)(A;OICI;FRFWFXSDRC;;;LU)(A;OICI;FRFX;;;MU)