限制對效能延伸模組 DLL 的存取

從 Windows Server 2003 開始，性能監視器使用者群組和效能記錄使用者群組可供效能 DLL 和效能資料協助程式 （PDH） API 函式的開發人員和使用者使用。 這些效能安全組是供系統管理員用來限制對效能 DLL 公開給特定使用者清單的資訊存取。

性能監視器使用者群組的目的是要包含檢視計數器數據的使用者，而且不會使用效能記錄和警示服務來記錄計數器數據。 效能記錄使用者群組應包含有權使用效能記錄和警示服務的使用者，以記錄本機或遠端伺服器上的計數器。 此群組的許可權也包括使用警示服務，以及在服務中執行程式，在本機或遠端系統上建立記錄檔。

請注意，這些效能安全組本身不是存取限制機制。 您必須搭配 Windows 物件存取控制模型使用這些群組來執行此動作。

大部分的應用程式會透過 IPC 機制與效能 DLL 通訊，通常是共用記憶體。 因此，您可以將效能安全組的成員新增至共用記憶體對象的安全性描述元，以將 DLL 的存取限制為安全組的成員。 這樣做時，您也必須將群組成員新增至效能 DLL 存取的系統物件安全性描述元，以提供計數器數據，例如記錄檔和資料夾。 如需將 ACL 新增至物件安全性描述元的詳細資訊，請參閱 修改物件的 ACL。

另一個可用來修改 IPC 系統對象安全性描述元之 ACL 資訊的方法，是使用安全性描述元定義語言 （SDDL） 指定效能安全組清單的成員，並呼叫 ConvertStringSecurityDescriptorToSecurityDescriptor 來建立安全性描述元。 接著，這個安全性描述元會附加至 IPC 系統物件。 下列顯示 SDDL 字串，其中包含性能監視器使用者群組、MU 和性能記錄使用者群組 LU。

D:(A;OICI;GA;;;SY)(A;OICI;GA;;;BA)(A;OICI;FRFWFXSDRC;;;NS)(A;OICI;FRFWFXSDRC;;;LU)(A;OICI;FRFX;;;MU)