パフォーマンス拡張機能 DLL へのアクセスの制限

Windows Server 2003 以降では、パフォーマンス モニター Users グループとパフォーマンス ログ ユーザー グループが、パフォーマンス DLL およびパフォーマンス データ ヘルパー (PDH) API 関数の開発者とユーザーが使用できるようになります。 これらのパフォーマンス セキュリティ グループは、パフォーマンス DLL によって公開される情報へのアクセスを特定のユーザーの一覧に制限する際に、システム管理者が使用することを目的としています。

パフォーマンス モニター Users グループは、カウンター データを表示し、パフォーマンス ログとアラート サービスを使用してカウンター データをログに記録しないユーザーを含めます。 [パフォーマンス ログ ユーザー] グループには、パフォーマンス ログとアラート サービスを使用してローカル サーバーまたはリモート サーバーのカウンターをログに記録するアクセス許可を持つユーザーを含める必要があります。 このグループの特権には、ローカルまたはリモート システムでのログ ファイルの作成、アラート サービスの使用、サービスの一部としてのプログラムの実行も含まれます。

これらのパフォーマンス セキュリティ グループ自体がアクセス制限メカニズムではないことに注意してください。 これを行うには、これらのグループを Windows オブジェクト アクセス制御モデルと共に使用する必要があります。

ほとんどのアプリケーションは、IPC メカニズム (通常は共有メモリ) を介してパフォーマンス DLL と通信します。 そのため、パフォーマンス セキュリティ グループのメンバーを共有メモリ オブジェクトのセキュリティ記述子に追加して、DLL へのアクセスをセキュリティ グループのメンバーに制限できます。 これを行う場合は、ログ ファイルやフォルダーなどのカウンター データを提供するために、パフォーマンス DLL がアクセスするシステム オブジェクトのセキュリティ記述子にもグループ メンバーを追加する必要があります。 オブジェクト セキュリティ記述子への ACL の追加の詳細については、「オブジェクト の ACL の変更」を参照してください。

IPC システム オブジェクトのセキュリティ記述子の ACL 情報を変更するために使用できるもう 1 つの方法は、セキュリティ記述子定義言語 (SDDL) でパフォーマンス セキュリティ グループ リストのメンバーを指定し、 ConvertStringSecurityDescriptorToSecurityDescriptor を呼び出してセキュリティ記述子を作成することです。 このセキュリティ記述子は、IPC システム オブジェクトにアタッチされます。 パフォーマンス モニター Users グループ MU とパフォーマンス ログ ユーザー グループ LU を含む SDDL 文字列を次に示します。

D:(A;OICI;GA;;;SY)(A;OICI;GA;;;BA)(A;OICI;FRFWFXSDRC;;;NS)(A;OICI;FRFWFXSDRC;;;LU)(A;OICI;FRFX;;;MU)