Toegangsbeveiliging voor beveiligbare objecten wijzigen

Printers, services, registersleutels, DCOM-toepassingen en WMI-naamruimten zijn beveiligbare objecten. De toegang tot beveiligbare objecten wordt beveiligd door beveiligingsdescriptors, waarmee de gebruikers worden opgegeven die toegang hebben. Vanaf Windows Vista hebben veel beveiligbare objecten methoden voor het verkrijgen of instellen van de beveiligingsdescriptor. Met de juiste machtigingen kunt u beveiligingsdescriptors voor beveiligbare objecten lezen of wijzigen. Met deze methoden kunt u bepalen welke gebruikersaccounts of groepen toegang hebben tot een printer, service, WMI-naamruimte of ander object. Zie Toegang tot WMI beveiligbare objectenvoor meer informatie over beveiligingsdescriptors en het gebruik ervan in WMI.

In dit onderwerp worden de volgende secties besproken:

• Methoden voor objecten en beveiligingsdescriptormethoden
• Converteren tussen Beveiligingsdescriptorindelingen
• beveiligingsproblemen
• Verwante onderwerpen

Methoden voor objecten en beveiligingsdescriptor

De volgende lijst bevat de methoden die beveiligbare objecten nodig hebben om de beveiligingsdescriptor te lezen of te wijzigen:

• WMI-naamruimten

  Een provider kan beveiliging tot stand brengen waarmee alleen bepaalde groepen toegang hebben tot de gegevens in een WMI-naamruimte. Naamruimtebeveiliging wordt beheerd door methodes van de klasse __SystemSecurity. Vanaf Windows Vista retourneren de GetSecurityDescriptor en SetSecurityDescriptor-methoden __SecurityDescriptor objecten terug en schrijven. Zie Naamruimtebeveiligingsdescriptors instellenvoor meer informatie.

• Registersleutels

  Vanaf Windows Vista kunt u registersleutels beveiligen, zodat ze niet kunnen worden gewijzigd door onbevoegde gebruikers. De klasse StdRegProv bevat de methoden GetSecurityDescriptor en SetSecurityDescriptor. Met deze methoden worden Win32_SecurityDescriptor objecten geretourneerd en geschreven.

• Printers

  Vanaf Windows Vista kunt u de toegang tot exemplaren van de Win32_Printer-klasse beveiligen met behulp van de GetSecurityDescriptor- en SetSecurityDescriptor methoden. Met deze methoden worden Win32_SecurityDescriptor objecten geretourneerd en geschreven.

• Diensten

  Vanaf Windows Vista kunt u de toegang tot exemplaren van de Win32_Service-klasse beveiligen met behulp van de GetSecurityDescriptor- en SetSecurityDescriptor methoden. Met deze methoden worden Win32_SecurityDescriptor objecten geretourneerd en geschreven.

• DCOM-toepassingen

  DCOM-toepassingsexemplaren hebben verschillende beveiligingsdescriptors. Te beginnen met Windows Vista kunt u methoden van de Win32_DCOMApplicationSetting-klasse gebruiken om de verschillende beveiligingsdescriptors op te halen of te wijzigen. Beveiligingsdescriptors worden geretourneerd als exemplaren van de klasse Win32_SecurityDescriptor.

  Als u de configuratiemachtigingen wilt ophalen of wijzigen, roept u de GetConfigurationSecurityDescriptor of SetConfigurationSecurityDescriptor-methoden aan.

  Als u de toegangsmachtigingen wilt ophalen of wijzigen, roept u de GetAccessSecurityDescriptor aan of SetAccessSecurityDescriptor methoden.

  Als u de opstart- en activeringsmachtigingen wilt ophalen of wijzigen, roept u de GetLaunchSecurityDescriptor aan of SetLaunchSecurityDescriptor methoden,

• Bestanden

  De GetSecurityDescriptor- en SetSecurityDescriptor methoden bevinden zich in de klasse Win32_LogicalFileSecuritySetting in plaats van in de klasse CIM_DataFile.

• Aandelen

  De methoden GetSecurityDescriptor en SetSecurityDescriptor bevinden zich in de klasse Win32_LogicalShareSecuritySetting in plaats van in de klasse Win32_Share.

Notitie

Wanneer een nieuwe SACL- (Security Access Control List) niet is opgegeven in een aanroep van een SetSecurityDescriptor methode, wordt de beveiligingsdescriptor SACL op het doelbeveiligbare object ingesteld op NULL- zodat de vorige SACL-instelling niet blijft bestaan.

 

Converteren tussen beveiligingsdescriptorindelingen

Beveiligingsdescriptors zijn complexe binaire bytematrices die normaal gesproken moeten worden gemaakt en gewijzigd in C++. Nadat u een van de Get-methoden hebt gebruikt om de beveiligingsdescriptor te verkrijgen, levert de Win32_SecurityDescriptorHelper klasse methoden waarmee beveiligingsdescriptors worden geconverteerd naar SDDL- Security Descriptor Definition Language (SDDL) of naar Win32_SecurityDescriptor exemplaren.

U kunt de toegangsbeheerlijsten (ACL) eenvoudiger bewerken in Win32_SecurityDescriptor exemplaren of in SDDL. Zie WMI Security Descriptor Objectsvoor meer informatie over de structuur en het gebruik van beveiligingsdescriptors in WMI.

Gebruik in C++ of C# conversiefuncties om binaire beveiligingsdescriptors te converteren naar SDDL-(Security Descriptor Definition Language). Als u beveiligingsdescriptorwaarden in C++-toepassingen wilt wijzigen, gebruikt u ConvertSecurityDescriptorToStringSecurityDescriptor en ConvertStringSecurityDescriptorToSecurityDescriptor.

Beveiligingsproblemen

Het wordt aanbevolen om wijzigingen in beveiligingsdescriptors met grote voorzichtigheid uit te voeren, zodat de beveiliging van het object niet wordt aangetast. Houd er rekening mee dat de volgorde van toegangsbeheervermeldingen (ACL's) in een discretionaire toegangsbeheerlijst (DACL) van invloed kan zijn op de toegangsbeveiliging. Voor meer informatie, zie Volgorde van ACE's in een DACL.

Verwante onderwerpen

WMI Security Descriptor Objects

Security Descriptor Helperklasse

aanbevolen procedures voor beveiliging

WMI-beveiliging onderhouden

toegangsbeheer

toegang tot WMI-naamruimten