存取 WMI 安全性實體物件
WMI 依賴標準 Windows 安全性描述元 來控制和保護對安全性實體物件的存取,例如 WMI 命名空間、印表機、服務和 DCOM 應用程式。 如需詳細資訊,請參閱 WMI 命名空間的存取。
本節將討論下列主題:
安全性描述項和 SID
WMI 藉由比較嘗試存取安全性實體物件的使用者 存取權杖 與物件的安全性描述元,來維護存取安全性。
在系統上建立使用者或群組時,系統會將 帳戶的安全性識別碼 (SID) 此 SID 可確保建立的帳戶名稱與先前刪除的帳戶相同,不會繼承先前的安全性設定。 存取權杖的建立方式是結合 SID、使用者所屬群組的清單,以及啟用或停用的許可權清單。 這些權杖會指派給使用者擁有的所有進程和執行緒。
存取控制
當使用者想要使用安全物件時,存取權杖會與物件上安全性描述元中的 選擇性存取控制清單 (DACL) 進行比較。 DACL 包含稱為 存取控制專案的許可權, (ACE) 。 系統存取控制清單 (SACL) 執行與 DACL 相同的動作,但可以產生安全性稽核事件。 從 Windows Vista 開始,WMI 可以在Windows 安全性記錄中建立稽核專案。 如需 WMI 中稽核的詳細資訊,請參閱 WMI 命名空間的存取。
DACL 和 SACL 都包含描述哪些使用者具有特定存取權限的 ACE 清單,包括寫入 WMI 存放庫、遠端存取和執行,以及登入許可權。 WMI 會將這些 ACL 儲存在 WMI 存放庫中。
ACE 會保留三種類型的存取層級或授與/拒絕許可權:允許、拒絕 DACL,以及 SCL 的系統稽核 () 。 拒絕 ACE 之前允許 DACL 或 SACL 中的 ACE。 檢查使用者存取權限時,WMI 會透過存取控制清單連續執行,直到找到適用于要求存取權杖的允許 ACE 為止。 此時不會檢查其餘 ACE。 如果找不到適當的允許 ACE,則會拒絕存取。 如需詳細資訊,請參閱 DACL 中的 ACE 順序 和 建立 DACL。
變更存取安全性
使用適當的許可權,您可以使用腳本或應用程式來變更安全性實體物件的安全性。 您也可以使用 WMI 控制項變更 WMI 命名空間的安全性設定,或在 Managed 物件格式 中新增安全性描述元定義語言 (SDDL) 字串 , (MOF) 檔案,以定義命名空間的類別。 如需詳細資訊,請參閱 存取 WMI 命名空間、 保護 WMI 命名空間,以及 變更安全性實體物件的存取安全性。
相關主題