Udostępnij za pośrednictwem

Konfigurowanie dziedziczenia zabezpieczeń przestrzeni nazw

  • Artykuł

Można kontrolować, czy podrzędna przestrzeń nazw dziedziczy deskryptor zabezpieczeń nadrzędnej przestrzeni nazw.

Przestrzenie nazw usługi WMI mają deskryptory zabezpieczeń, które kontrolują, kto może uzyskać dostęp do przestrzeni nazw i danych przestrzeni nazw. Każdy deskryptor zabezpieczeń ma uznaniową listę kontroli dostępu (DACL) i systemową listę kontroli dostępu (SACL). Te listy zawierają wpisy kontroli dostępu (ACE).

W zależności od stałe flagi ACE przestrzeni nazw, które są ustawione, uprawnienia stosowane do przestrzeni nazw mogą być dziedziczone przez wszystkie podrzędne przestrzeni nazw tej przestrzeni nazw. Podrzędna przestrzeń nazw dziedziczy deskryptor zabezpieczeń swojej nadrzędnej przestrzeni nazw w momencie utworzenia, jeśli flaga CONTAINER_INHERIT_ACE jest obecna w deskryptorze zabezpieczeń tej przestrzeni nadrzędnej. Jeśli CONTAINER_INHERIT_ACE|NO_PROPOGATE_INHERIT_ACE jest ustawiona, tylko podrzędna przestrzeń nazw dziedziczy deskryptor zabezpieczeń, a nie przestrzenie nazw wnuków. Podrzędne przestrzenie nazw mogą zastąpić uprawnienia zabezpieczeń swojego nadrzędnego elementu, wywołując metody klasy __SystemSecurity, aby zapisać nowy deskryptor zabezpieczeń. Nie można zmienić domyślnych ustawień zabezpieczeń. Aby uzyskać więcej informacji, zobacz Setting Namespace Security Descriptors. Aby uzyskać więcej informacji na temat list kontroli dostępu, zobacz listy kontroli dostępu (ACL) i konstanty typu ACE przestrzeni nazw.

Należy pamiętać, że nie można zmienić uprawnień domyślnych. Ponadto ustawienie flagi SE_DACL_PROTECTED podczas konfigurowania deskryptora zabezpieczeń (SD) nie jest stosowane do dodawania wyspecjalizowanego SD do podrzędnej przestrzeni nazw. Aby zastąpić dziedziczony SD, wystarczy ustawić nowy. Aby dziedziczyć ten standard SD do podrzędnej przestrzeni nazw, przekaż flagę CONTAINER_INHERIT_ACE w deskryptorze zabezpieczeń przestrzeni nazw. Aby dziedziczyć tylko dziecko, a nie potomków, przekaż CONTAINER_INHERIT_ACE|NO_PROPOGATE_INHERIT_ACE

.

Konfigurowanie deskryptorów zabezpieczeń przestrzeni nazw

__SystemSecurity