WMI セキュリティ保護可能オブジェクトへのアクセス
WMI は、WMI 名前空間、プリンター、サービス、DCOM アプリケーションなどのセキュリティ保護可能なオブジェクトへのアクセスを制御および保護するために標準的な Windowsセキュリティ記述子に依存しています。 詳細については、「WMI 名前空間へのアクセス」を参照してください。
このセクションでは、次のトピックについて説明します。
- セキュリティ記述子と SID
- アクセス制御の
- アクセス セキュリティ の変更の
- 関連トピック
セキュリティ記述子と SID
WMI は、セキュリティ保護可能なオブジェクトにアクセスしようとするユーザーの アクセス トークン をオブジェクトのセキュリティ記述子と比較することで、アクセス セキュリティを維持します。
ユーザーまたはグループがシステムで作成されると、そのアカウントには セキュリティ識別子 (SID) が与えられます SID は、以前に削除されたアカウントと同じ名前で作成されたアカウントが以前のセキュリティ設定を継承しないようにします。 アクセス トークンは、SID、ユーザーがメンバーであるグループの一覧、および有効または無効の特権の一覧を組み合わせて作成されます。 これらのトークンは、ユーザーが所有するすべてのプロセスとスレッドに割り当てられます。
アクセス制御
ユーザーがセキュリティで保護されたオブジェクトを使用する場合、アクセス トークンは、オブジェクトのセキュリティ記述子の随意アクセス制御リスト (DACL) と比較されます。 DACL には、アクセス制御エントリ (ACE)と呼ばれるアクセス許可が含まれています。 システム アクセス制御リスト (SACL)、DACL と同じことを行いますが、セキュリティ監査イベントを生成できます。 Windows Vista 以降では、WMI は Windows セキュリティ ログに監査エントリを作成できます。 WMI での監査の詳細については、「WMI 名前空間へのアクセス」を参照してください。
DACL と SACL はどちらも、WMI リポジトリへの書き込み、リモート アクセスと実行、ログオンのアクセス許可など、特定のアクセス権を持つユーザーを記述する ACE の一覧で構成されます。 WMI は、これらの ACL を WMI リポジトリに格納します。
ACE には、許可、DACL の拒否、システム監査 (SACL の場合) の 3 種類のアクセス レベルまたは許可/拒否権限が保持されます。 前の DENY ACE では、DACL または SACL の ACE が許可されます。 ユーザー アクセス権を確認する場合、WMI は、要求するアクセス トークンに適用される許可 ACE を見つけるまで、アクセス制御リストを介して連続して実行されます。 この時点以降、残りの ACE はチェックされません。 適切な許可 ACE が見つからない場合、アクセスは拒否されます。 詳細については、DACL の ACE の順序の と DACL の作成を参照してください。
アクセス セキュリティの変更
適切なアクセス許可を使用すると、セキュリティ保護可能なオブジェクトのセキュリティをスクリプトまたはアプリケーションで変更できます。 WMI コントロール を使用するか、名前空間のクラスを定義する マネージド オブジェクト形式 (MOF) ファイルに セキュリティ記述子定義言語 (SDDL) 文字列を追加して、WMI 名前空間のセキュリティ設定を変更することもできます。 詳細については、「WMI 名前空間へのアクセス、WMI 名前空間のセキュリティ保護」、および「セキュリティ保護可能なオブジェクトのアクセス セキュリティの変更」を参照してください。
関連トピック
-
ユーザー アカウント制御と WMI の