Vytvoření dědičnosti zabezpečení oboru názvů
Můžete řídit, zda podřízený obor názvů dědí popisovač zabezpečení nadřazeného oboru názvů.
Jmenné obory rozhraní WMI mají popisovače zabezpečení, které řídí, kdo může přistupovat k jmennému oboru a jeho datům. Každý popisovač zabezpečení má volitelný seznam řízení přístupu (DACL) a seznam řízení přístupu zabezpečení (SACL). Tyto seznamy obsahují položky řízení přístupu (ACE).
V závislosti na nastavení konstant příznaku ACE oboru názvů mohou být oprávnění použitá na obor názvů zděděna všemi podřízenými obory tohoto oboru názvů. Podřízený obor názvů dědí popisovač zabezpečení nadřazeného oboru názvů, pokud je při jeho vytvoření příznak CONTAINER_INHERIT_ACE v popisovači zabezpečení nadřazeného oboru názvů. Pokud je nastavena CONTAINER_INHERIT_ACE|NO_PROPOGATE_INHERIT_ACE, pak zdědí popisovač zabezpečení pouze dítěcí obor názvů, nikoliv vnukované obory názvů. Podřízené obory názvů mohou přepsat oprávnění zabezpečení nadřazeného objektu voláním metod __SystemSecurity třídy k zápisu nového popisovače zabezpečení. Výchozí nastavení zabezpečení nelze změnit. Další informace naleznete v tématu Nastavení zabezpečení jmenného prostoru. Další informace o DACLs naleznete v tématu Seznamy řízení přístupu (ACL) a Konstanta typu ACE jmenného prostoru.
Všimněte si, že výchozí oprávnění nelze změnit. Kromě toho se příznak SE_DACL_PROTECTED při konfiguraci popisovače zabezpečení (SD) nepoužívá k přidání specializovaného SD do podřízeného jmenného prostoru. Pokud chcete přepsat zděděný SD, jednoduše nastavte nový. Pokud chcete tento SD dědit do podřízeného oboru názvů, předejte příznak CONTAINER_INHERIT_ACE v popisovači zabezpečení oboru názvů. Pokud chcete dědit pouze dítěti, a ne potomkům, předejte CONTAINER_INHERIT_ACE|NO_PROPOGATE_INHERIT_ACE
.
Související témata