存取 WMI 安全性實體物件
WMI 依賴標準 Windows 安全性描述元 來控制和保護對 WMI 命名空間、印表機、服務和 DCOM 應用程式等安全性實體物件的存取。 如需詳細資訊,請參閱 存取 WMI 命名空間。
本節將討論下列主題:
安全性描述元和 SID
WMI 藉由比較嘗試存取安全性實體對象的使用者 存取令牌 與對象的安全性描述元,藉此維護存取安全性。
在系統上建立使用者或群組時,系統會提供帳戶 安全性標識碼 (SID) SID 可確保以與先前刪除帳戶相同的名稱建立的帳戶不會繼承先前的安全性設定。 存取令牌的建立方式是結合 SID、使用者所屬群組的清單,以及啟用或停用的許可權清單。 這些令牌會指派給使用者所擁有的所有進程和線程。
存取控制
當使用者想要使用安全物件時,存取令牌會與物件上的安全性描述元中 選擇性訪問控制清單 (DACL) 進行比較。 DACL 包含稱為 訪問控制專案 (ACE)的許可權。 系統訪問控制清單 (SACL) 執行與 DACL 相同的動作,但可能會產生安全性稽核事件。 從 Windows Vista 開始,WMI 可以在 Windows 安全性記錄中製作稽核專案。 如需 WMI 中稽核的詳細資訊,請參閱 WMI 命名空間的存取。
DACL 和 SACL 都包含描述哪些使用者具有特定存取權限的 ACE 清單,包括寫入 WMI 存放庫、遠端存取和執行,以及登入許可權。 WMI 會將這些 ACL 儲存在 WMI 存放庫中。
ACE 保留三種類型的存取層級或授與/拒絕許可權:允許、拒絕 DACL 和系統稽核(適用於 SCL)。 拒絕 ACE 之前允許 DACL 或 SACL 中的 ACE。 檢查使用者訪問許可權時,WMI 會透過訪問控制清單連續執行,直到它找到套用至要求存取令牌的允許 ACE 為止。 此點之後不會檢查其餘 ACE。 如果找不到適當的允許 ACE,則會拒絕存取。 如需詳細資訊,請參閱 DACL 中的 ACE 順序和 建立 DACL。
變更存取安全性
使用適當的許可權,您可以使用腳本或應用程式來變更安全性實體物件上的安全性。 您也可以使用 WMI 控制件,或在 Managed 物件格式 (MOF) 檔案中新增定義命名空間類別的 安全性描述元定義語言 (SDDL) 字串,來變更 WMI 命名空間的安全性設定。 如需詳細資訊,請參閱 存取 WMI 命名空間、保護 WMI 命名空間,以及 變更安全性安全性。
相關主題