Поделиться через


Настройка дескрипторов безопасности пространства имен

Приложения и скрипты C++, которые запускаются под учетной записью полного администратора, могут изменить дескриптор безопасности пространства имен.

Дескрипторы безопасности пространства имен

Каждое пространство имен WMI имеет дескриптор безопасности, что позволяет каждому пространству имен иметь уникальные параметры безопасности, определяющие, кто имеет доступ к данным и методам пространства имен. Дополнительные сведения о безопасности доступа WMI см. в разделе Доступ к защищаемым объектам WMI. Доступ к пространствам имен WMI описывает параметры безопасности по умолчанию для пространств имен WMI и аудита безопасности в WMI.

Разрешения учетной записи для каждого пространства имен WMI можно задать в репозитории WMI (CIM) следующим образом:

Следующие методы объекта __SystemSecurity, связанного с каждым пространством имен, позволяют читать или изменять безопасность в пространстве имен.

GetCallerAccessRights

Задает параметр права в виде битовой карты, с каждым битом, соответствующим праву доступа.

GetSD

Возвращает дескриптор безопасности для пространства имен, к которому подключен пользователь. Этот метод возвращает дескриптор безопасности в формате двоичного массива байтов. Если вы пишете скрипт, используйте метод GetSecurityDescriptor.

SetSD

Задает дескриптор безопасности (SD) для пространства имен, к которому подключен пользователь. Для этого метода требуется дескриптор безопасности в формате двоичного массива байтов. Если вы пишете скрипт, используйте метод SetSecurityDescriptor.

GetSecurityDescriptor

Возвращает дескриптор безопасности, регулирующий доступ к пространству имен WMI, связанному с экземпляром __SystemSecurity. Дескриптор безопасности возвращается как экземпляр__SecurityDescriptor.

SetSecurityDescriptor

Записывает обновленную версию дескриптора безопасности, которая управляет доступом к принтеру. Дескриптор безопасности представлен экземпляром __SecurityDescriptor.

Get9XUserList

Получает права удаленного доступа для списка отдельных пользователей на компьютерах с устаревшими версиями Windows, где управление доступом через дескрипторы безопасности Windows недоступно.

Set9XUserList

Задает права удаленного доступа для списка отдельных пользователей на компьютерах под управлением устаревших версий Windows, где управление доступом через дескрипторы безопасности Windows недоступно.

При написании скриптов используйте GetSecurityDescriptor и SetSecurityDescriptor. Методы класса Win32_SecurityDescriptorHelper можно использовать для изменения дескрипторов безопасности.

При программировании на C++можно управлять двоичным дескриптором безопасности с помощью языка определения дескриптора безопасности (SDDL) и методов преобразования ConvertSecurityDescriptorToStringSecurityDescriptor и ConvertStringSecurityDescriptorToSecurityDescriptor.

Помните, что начиная с Windows Vista управление учетными записями пользователей (UAC) влияет на доступ к данным WMI и что можно настроить с помощью управления WMI. Дополнительные сведения см. в разделе Контроль учетных записей пользователей иWMI.

Защита пространств имен WMI

константы безопасности WMI

Доступ к пространствам имен WMI

Объекты дескрипторов безопасности WMI