LockPermissions-tabel
De tabel LockPermissions wordt gebruikt om afzonderlijke delen van een toepassing in een vergrendelde omgeving te beveiligen. Het kan worden gebruikt met de installatie van bestanden, registersleutels en gemaakte mappen.
Een pakket dat is bedoeld voor installatie in Windows Server 2008 R2 of Windows 7, moet gebruikmaken van de MsiLockPermissionsEx Table in plaats van de LockPermissions Table. Windows Installer-versies ouder dan Windows Installer 5.0 negeren de MsiLockPermissionsEx-tabel. Windows Installer 5.0 kan een pakket installeren dat de LockPermissions-tabel bevat. Vanaf Windows Installer 5.0 mislukt de installatie van een pakket dat zowel de MsiLockPermissionsEx-tabel als de LockPermissions-tabel bevat, en wordt windows Installer-foutbericht 1941 geretourneerd.
De tabel LockPermissions bevat de volgende kolommen.
| Kolom | Type | Sleutel | Null-waarde |
|---|---|---|---|
| LockObject | id- | Y | N |
| Tafel | tekst | Y | N |
| Domein | opgemaakte | Y | Y |
| Gebruiker | opgemaakte | Y | N |
| Toestemming | DoubleInteger- | N | Y |
Kolommen
-
LockObject
-
Deze kolom en de kolom Tabel geven samen het bestand, de map of de registersleutel op die moet worden beveiligd. De kolom LockObject is een refererende sleutel die verwijst naar de primaire sleutel van de tabel die is opgegeven door de tabelkolom.
-
tabel
-
Deze kolom en de kolom LockObject geven het bestand, de map of de registersleutel op die moet worden beveiligd. Voer in de kolom Tabel bestand, register of CreateFolder in om een LockObject op te geven dat wordt vermeld in de bestandstabel, registertabelof CreateFolder-tabel.
-
domein
-
De kolom die het domein van de gebruiker aangeeft waarvoor machtigingen moeten worden ingesteld. Dit is de naam van een zelfstandige computer of een domeinnaam. Het gegevenstype kolom is opgemaakten u kunt de tekenreeks [%USERDOMAIN] in dit veld gebruiken om de waarde op te halen van de omgevingsvariabele USERDOMAIN voor het huidige domein. Als u een ander domein wilt ophalen, moet u aangepaste acties. Zie de aangepaste actietabel voor meer informatie.
-
gebruiker
-
De kolom die de gelokaliseerde naam van de gebruiker aangeeft waarvoor machtigingen moeten worden ingesteld. Deze naam moet zich op de computer of het domein bevinden. De installatie mislukt als de computer of domeincontroller de combinatie van het domein en de gebruiker niet herkent of als de beveiligings-id (SID) van de gebruiker niet kan worden opgehaald. Meerdere gebruikers kunnen worden opgegeven voor één LockObject.
De algemene gebruikersnamen 'Iedereen' en 'Beheerders' kunnen worden ingevoerd in het Engels en zijn toegewezen aan bekende SID's. LocalSystem krijgt volledige controle in alle beveiligingsdescriptors die zijn gemaakt via de LockPermissions-tabel. U kunt de eigenschapvan decomputernaam of gebruikersnaameigenschap in dit veld gebruiken om de huidige gebruiker op te halen. Een aangepaste actie is vereist om de gelokaliseerde naam van een andere gebruiker of groep in te voeren.
U kunt meerdere records met identieke LockObject- en Tabelvermeldingen (maar verschillende gebruikersvermeldingen) gebruiken om toegangsbeheerlijsten voor meerdere gebruikers op te geven.
-
machtiging
-
De kolom die de gehele beschrijving van systeembevoegdheden identificeert. Hieronder vindt u de meest gebruikte waarden (er bestaat een volledige lijst in Winnt.h).
Privilege Beschrijving GENERIC_ALL
0X10000000
268435456Lees-, schrijf- en uitvoertoegang GENERIC_EXECUTE
0X20000000
536870912Toegang uitvoeren GENERIC_WRITE
0X40000000
1073741824Schrijftoegang U kunt GENERIC_READ niet opgeven in de kolom Machtiging. Als u dit probeert, mislukt dit. In plaats daarvan moet u een waarde opgeven, zoals KEY_READ of FILE_GENERIC_READ.
Null die in deze kolom is ingevoerd, is gereserveerd voor toekomstig gebruik.
Opmerkingen
De InstallFiles, WriteRegistryValuesen CreateFolders acties in reekstabellen de informatie in deze tabel verwerken. Zie Using a Sequence Tablevoor meer informatie over het gebruik van reekstabellen.
De machtiging kan alleen worden ingesteld in de tabel LockPermissions voor gebruikers die al bestaan op de computer of het domein. Een poging om machtigingen in te stellen voor een onbekende gebruiker zorgt ervoor dat de installatie mislukt, zelfs als dat gebruikersaccount wordt gemaakt tijdens de installatie door een uitgestelde aangepaste actie.
Het wordt aanbevolen de lokale groep van de systeembeheerder op te nemen in alle ACL's (Access Control Lists). Dit zorgt ervoor dat de systeembeheerder objecten kan openen en onderhouden.
Elke bestand, registersleutel of map die in de tabel LockPermissions wordt vermeld, ontvangt een expliciete beveiligingsdescriptor, ongeacht of het een bestaand object vervangt of niet. Windows Installer probeert de beveiliging te behouden voor objecten die al op het systeem bestaan. Als een object niet wordt vermeld in de tabel LockPermissions en een bestaand object vervangt, worden de beveiligingsinstellingen van het object dat wordt vervangen door de vervanging opgehaald.
Als een object niet wordt vermeld in de tabel LockPermissions en een bestaand object niet vervangt, ontvangt het geen expliciete beveiligingsdescriptor. De toegang tot het nieuwe object is gebaseerd op de kenmerken van het bovenliggende of containerobject. Als een object niet wordt vermeld in de tabel en een object vervangt door geen expliciete beveiligingsdescriptor, is de toegang tot het nieuwe object gebaseerd op de kenmerken van het bovenliggende of containerobject.
Windows Installer stelt de eigenschap UserSID in op de beveiligings-id (SID) of de gebruiker die de installatie uitvoert.
Validering