Toegang tot WMI-beveiligbare objecten
WMI is afhankelijk van de standaardbeveiligingsdescriptors van Windows om de toegang tot beveiligbare objecten, zoals WMI-naamruimten, printers, services en DCOM-toepassingen, te beheren en te beveiligen. Zie Toegang tot WMI-naamruimtenvoor meer informatie.
De volgende onderwerpen worden in deze sectie besproken:
Beveiligingsdescriptors en SID's
WMI onderhoudt toegangsbeveiliging door het toegangstoken te vergelijken van de gebruiker die probeert toegang te krijgen tot een beveiligbaar object met de beveiligingsdescriptor van het object.
Wanneer een gebruiker of groep op een systeem wordt gemaakt, krijgt het account een beveiligings-id (SID) De SID zorgt ervoor dat een account dat is gemaakt met dezelfde naam als een eerder verwijderd account, de vorige beveiligingsinstellingen niet over neemt. Er wordt een toegangstoken gemaakt door de SID te combineren, de lijst met groepen waarvan de gebruiker lid is en de lijst met ingeschakelde of uitgeschakelde bevoegdheden. Deze tokens worden toegewezen aan alle processen en threads die eigendom zijn van de gebruiker.
Toegangsbeheer
Wanneer de gebruiker een beveiligd object wil gebruiken, wordt het toegangstoken vergeleken met de discretionaire toegangsbeheerlijst (DACL) in de beveiligingsdescriptor van het object. De DACL bevat machtigingen met de naam toegangsbeheervermeldingen (ACE). systeemtoegangsbeheerlijsten (SACL) hetzelfde doen als DACL's, maar kunnen beveiligingscontrolegebeurtenissen genereren. Vanaf Windows Vista kan WMI controlevermeldingen maken in het Windows-beveiligingslogboek. Zie Toegang tot WMI-naamruimtenvoor meer informatie over controle in WMI.
Zowel de DACL als de SACL bestaan uit een lijst met ACL's die beschrijven welke gebruikers specifieke toegangsrechten hebben, waaronder schrijven naar de WMI-opslagplaats, externe toegang en uitvoering en aanmeldingsmachtigingen. WMI slaat deze ACL's op in de WMI-opslagplaats.
ACL's bevatten drie typen toegangsniveaus of verlenen/weigeren-rechten: toestaan, weigeren voor DACL en systeemcontrole (voor SACL's). ACL's weigeren voorafgaan aan ACL's in de DACL of SACL. Bij het controleren van de gebruikerstoegangsrechten wordt WMI opeenvolgend uitgevoerd via de toegangsbeheerlijst totdat een toegestane ACE wordt gevonden die van toepassing is op het aanvragende toegangstoken. De resterende ACL's worden na dit punt niet gecontroleerd. Als er geen geschikte toegestane ACE wordt gevonden, wordt de toegang geweigerd. Zie Volgorde van ACL's in een DACL- en Een DACL-maken voor meer informatie.
Toegangsbeveiliging wijzigen
Met de juiste machtigingen kunt u de beveiliging voor een beveiligbaar object wijzigen met een script of toepassing. U kunt ook de beveiligingsinstellingen in WMI-naamruimten wijzigen met behulp van het WMI-besturingselement of door een SDDL-tekenreeks (Security Descriptor Definition Language) toe te voegen tekenreeks in het MOF--bestand (Managed Object Format) waarmee klassen voor de naamruimte worden gedefinieerd. Zie Toegang tot WMI-naamruimten, WMI-naamruimten beveiligenen Toegangsbeveiliging wijzigen op beveiligbare objectenvoor meer informatie.
Verwante onderwerpen