Dostęp do zabezpieczanych obiektów usługi WMI

Usługa WMI opiera się na standardowych deskryptorach zabezpieczeń systemu Windows do kontrolowania i ochrony dostępu do zabezpieczanych obiektów, takich jak przestrzenie nazw usługi WMI, drukarki, usługi i aplikacje DCOM. Aby uzyskać więcej informacji, zobacz Access to WMI Namespaces.

W tej sekcji omówiono następujące tematy:

• deskryptory zabezpieczeń i identyfikatory SID
• kontroli dostępu
• zmienianie zabezpieczeń dostępu
• Tematy pokrewne

Deskryptory zabezpieczeń i identyfikatory SID

Usługa WMI utrzymuje zabezpieczenia dostępu, porównując token dostępu użytkownika, który próbuje uzyskać dostęp do zabezpieczanego obiektu za pomocą deskryptora zabezpieczeń obiektu.

Po utworzeniu użytkownika lub grupy w systemie konto otrzymuje identyfikator zabezpieczeń (SID) Sid gwarantuje, że konto utworzone o tej samej nazwie co wcześniej usunięte konto nie dziedziczy poprzednich ustawień zabezpieczeń. Token dostępu jest tworzony przez połączenie identyfikatora SID, listy grup, których użytkownik jest członkiem, oraz listy uprawnień włączonych lub wyłączonych. Te tokeny są przypisywane do wszystkich procesów i wątków należących do użytkownika.

Kontrola dostępu

Gdy użytkownik chce użyć zabezpieczonego obiektu, token dostępu jest porównywany z uznaniową listą kontroli dostępu (DACL) w deskryptorze zabezpieczeń obiektu. Lista DACL zawiera uprawnienia o nazwie wpisy kontroli dostępu (ACE). listy kontroli dostępu systemu (SACL) zrobić to samo, co listy kontroli dostępu systemu, ale mogą generować zdarzenia inspekcji zabezpieczeń. Począwszy od systemu Windows Vista, usługa WMI może tworzyć wpisy inspekcji w dzienniku zabezpieczeń systemu Windows. Aby uzyskać więcej informacji na temat inspekcji w usłudze WMI, zobacz Access to WMI Namespaces.

Zarówno lista DACL, jak i SACL składają się z listy kontroli dostępu, które opisują, którzy użytkownicy mają określone prawa dostępu, w tym zapis w repozytorium WMI, dostęp zdalny i wykonywanie oraz uprawnienia logowania. Usługa WMI przechowuje te listy ACL w repozytorium WMI.

AcEs przechowują trzy typy poziomów dostępu lub udzielaj/odmawiania praw: zezwalaj, odmawiaj listy DACL i inspekcji systemu (w przypadku SACLs). Odmowa kontroli dostępu poprzedza zezwalaj na acEs w daCL lub SACL. Podczas sprawdzania praw dostępu użytkownika usługa WMI jest uruchamiana kolejno za pośrednictwem listy kontroli dostępu do momentu znalezienia zezwolenia ACE stosowanego do żądania tokenu dostępu. Pozostałe ACL nie są sprawdzane po tym punkcie. Jeśli nie znaleziono odpowiedniego zezwolenia na ACE, dostęp zostanie odrzucony. Aby uzyskać więcej informacji, zobacz Order of ACEs in a DACL and Creating a DACL.

Zmienianie zabezpieczeń dostępu

Przy użyciu odpowiednich uprawnień można zmienić zabezpieczenia zabezpieczanego obiektu za pomocą skryptu lub aplikacji. Ustawienia zabezpieczeń w przestrzeniach nazw usługi WMI można również zmienić przy użyciu kontrolki WMI lub dodając ciąg języka SDDL (Security Descriptor Definition Language) w plikuManaged Object Format (MOF), który definiuje klasy dla przestrzeni nazw. Aby uzyskać więcej informacji, zobacz Access to WMI Namespaces, Securing WMI Namespacesi Changing Access Security on Securable Objects.

Tematy pokrewne

obiektów deskryptora zabezpieczeń usługi WMI

Stałe zabezpieczeń usługi WMI

kontrola konta użytkownika i WMI

obiektów deskryptora zabezpieczeń usługi WMI

dostęp do przestrzeni nazw usługi WMI