限制存取效能延伸模組 DLL

從 Windows Server 2003 開始，效能監視器使用者群組和效能記錄使用者群組已提供給效能 DLL 的開發人員和使用者，以及效能資料協助程式 (PDH) API 函式。 這些效能安全性群組是供系統管理員用來限制效能 DLL 對特定使用者清單所公開資訊的存取。

效能監視器 Users 群組旨在包含檢視計數器資料，且不使用效能記錄和警示服務記錄計數器資料的使用者。 效能記錄使用者群組應包含有權使用效能記錄和警示服務的使用者，以記錄本機或遠端伺服器上的計數器。 此群組的許可權也包括使用警示服務，以及在服務中執行程式，在本機或遠端系統上建立記錄檔。

請注意，這些效能安全性群組本身不是存取限制機制。 您必須將這些群組與 Windows 物件存取控制模型搭配使用，才能執行此動作。

大部分的應用程式會透過 IPC 機制與效能 DLL 通訊，通常是共用記憶體。 因此，您可以將效能安全性群組的成員新增至共用記憶體物件的安全性描述元，以限制對安全性群組成員的 DLL 存取。 這樣做時，您也必須將群組成員新增至效能 DLL 存取的系統物件安全性描述元，以提供計數器資料，例如記錄檔和資料夾。 如需將 ACL 新增至物件安全性描述元的詳細資訊，請參閱 修改物件的 ACL。

另一種方法可用來修改 IPC 系統物件安全性描述元的 ACL 資訊，就是使用安全性描述元定義語言指定效能安全性群組清單的成員， (SDDL) ，並呼叫 ConvertStringSecurityDescriptorToSecurityDescriptor 來建立安全性描述元。 此安全性描述元接著會附加至 IPC 系統物件。 下列顯示 SDDL 字串，其中包含 效能監視器 Users 群組、MU 和 Performance Log Users 群組 LU。

D:(A;OICI;GA;;;SY)(A;OICI;GA;;;BA)(A;OICI;FRFWFXSDRC;;;NS)(A;OICI;FRFWFXSDRC;;;LU)(A;OICI;FRFX;;;MU)