Freigeben über

Einschränken des Zugriffs auf Leistungserweiterungs-DLLs

  • Artikel

Ab Windows Server 2003 wurden die Gruppe Leistungsmonitor Benutzer und die Gruppe Leistungsprotokollbenutzer Entwicklern und Benutzern von Leistungs-DLLs und den PDH-API-Funktionen (Performance Data Helper) zur Verfügung gestellt. Diese Leistungssicherheitsgruppen sind für die Verwendung durch Systemadministratoren vorgesehen, um den Zugriff auf die von Leistungs-DLLs verfügbar gemachten Informationen auf eine bestimmte Liste von Benutzern einzuschränken.

Die Gruppe Leistungsmonitor Benutzer soll Benutzer einschließen, die Zählerdaten anzeigen und keine Zählerdaten mithilfe des Diensts Leistungsprotokolle und Warnungen protokollieren. Die Gruppe Leistungsprotokollbenutzer sollte Benutzer enthalten, die über die Berechtigung verfügen, die Leistungsprotokolle und den Warnungsdienst zum Protokollieren von Leistungsindikatoren auf dem lokalen oder Remoteserver zu verwenden. Zu den Berechtigungen dieser Gruppe gehören auch das Erstellen von Protokolldateien auf lokalen oder Remotesystemen, die Verwendung des Warnungsdiensts und das Ausführen von Programmen als Teil des Diensts.

Beachten Sie, dass diese Leistungssicherheitsgruppen für sich allein kein Mechanismus zur Zugriffsbeschränkung sind. Dazu müssen Sie diese Gruppen mit dem Windows-Objektzugriffssteuerungsmodell verwenden.

Die meisten Anwendungen kommunizieren mit der Leistungs-DLL über einen IPC-Mechanismus, in der Regel gemeinsam genutzter Arbeitsspeicher. Daher können Sie die Mitglieder einer Leistungssicherheitsgruppe dem Sicherheitsdeskriptor des Shared Memory-Objekts hinzufügen, um den Zugriff auf die DLL auf diese Mitglieder der Sicherheitsgruppe zu beschränken. In diesem Fall müssen Sie die Gruppenmitglieder auch dem Sicherheitsdeskriptor der Systemobjekte hinzufügen, auf die die Leistungs-DLL zugreift, um Indikatorendaten bereitzustellen, z. B. Protokolldateien und Ordner. Ausführlichere Informationen zum Hinzufügen von ACLs zu Objektsicherheitsdeskriptoren finden Sie unter Ändern der ACL eines Objekts.

Eine weitere Methode, mit der Sie die ACL-Informationen des Sicherheitsdeskriptors eines IPC-Systemobjekts ändern können, besteht darin, die Mitglieder der Liste der Leistungssicherheitsgruppen mit Security Descriptor Definition Language (SDDL) anzugeben und ConvertStringSecurityDescriptorToSecurityDescriptor aufzurufen, um den Sicherheitsdeskriptor zu erstellen. Dieser Sicherheitsdeskriptor wird dann an das IPC-Systemobjekt angefügt. Im Folgenden finden Sie eine SDDL-Zeichenfolge, die die Gruppe "Leistungsmonitor Users", "MU" und die Gruppe "Leistungsprotokollbenutzer" (LU) enthält.

D:(A;OICI;GA;;;SY)(A;OICI;GA;;;BA)(A;OICI;FRFWFXSDRC;;;NS)(A;OICI;FRFWFXSDRC;;;LU)(A;OICI;FRFX;;;MU)