Указание дескриптора безопасности из INF-файла

Вы можете управлять возможностью процесса получать доступ к защищаемым объектам или выполнять задачи системного администрирования. Защищаемый объект — это объект, который может иметь дескриптор безопасности. Все именованные объекты являются защищаемыми. Некоторые неименованные объекты, такие как объекты процессов и потоков, также могут иметь дескрипторы безопасности. Дополнительные сведения об управлении доступом к защищаемым объектам см. в разделе контроль доступа.

Дескрипторы безопасности содержат сведения о безопасности, связанные с защищаемыми объектами. Для большинства защищаемых объектов можно указать дескриптор безопасности объекта в вызове функции, который создает объект . Например, можно указать дескриптор безопасности в функциях CreateFile и CreateProcess .

Чтобы задать дескриптор безопасности из INF-файла, добавьте раздел Безопасность, созданный в средстве записи INF, сразу после раздела, который устанавливает файл, раздел реестра или компонент. Раздел Безопасность должен содержать одну строку со строковым дескриптором безопасности, написанным в формате строк дескриптора безопасности. Строка также должна быть заключена в кавычки (").

Например, следующий фрагмент INF-файла создаст раздел реестра, к которому имеют доступ только администраторы и система. Обратите внимание, что для этого примера требуются права администратора.

[DDInstall]
AddReg=mydevice.reg
 
[mydevice.reg]
include Registry information here
 
[mydevice.reg.Security]
"D:P(A;CI;GA;;;BA)(A;CI;GA;;;SY)"

В этом случае значение строки заключается в том, что администраторы имеют полный контроль, система имеет полный контроль, а доступ наследуется для всех подразделов. Дополнительные сведения см. в разделе Язык определения дескриптора безопасности.