Ändern der Zugriffssicherheit für schutzfähige Objekte

Drucker, Dienste, Registrierungsschlüssel, DCOM-Anwendungen und WMI-Namespaces sind sicherungsfähige Objekte. Der Zugriff auf sicherungsfähige Objekte wird durch Sicherheitsbeschreibungen geschützt, die die Benutzer angeben, die Zugriff haben. Ab Windows Vista verfügen viele sicherungsfähige Objekte über Methoden zum Abrufen oder Festlegen der Sicherheitsbeschreibung. Mit den entsprechenden Berechtigungen können Sie Sicherheitsbeschreibungen für sicherungsfähige Objekte lesen oder ändern. Mit diesen Methoden können Sie steuern, welche Benutzerkonten oder Gruppen Zugriff auf einen Drucker, Dienst, WMI-Namespace oder ein anderes Objekt haben. Weitere Informationen zu Sicherheitsbeschreibungen und deren Verwendung in WMI finden Sie unter Zugriff auf WMI-sicherungsfähige Objekte.

In diesem Themenbereich werden die folgenden Abschnitte behandelt:

Objekte und Sicherheitsbeschreibungsmethoden

Die folgende Liste enthält die Methoden, die sicherungsfähige Objekte benötigen, damit Sie die Sicherheitsbeschreibung lesen oder ändern können:

Hinweis

Wenn keine neue Security Access Control List (SACL) in einem Aufruf einer Methode SetSecurityDescriptor angegeben wird, wird die SACL der Sicherheitsbeschreibung für das sicherungsfähige Zielobjekt auf NULL festgelegt, sodass die vorherige SACL-Einstellung nicht beibehalten wird.

 

Konvertieren zwischen Sicherheitsbeschreibungsformaten

Sicherheitsbeschreibungen sind komplexe binäre Bytearrays, die normalerweise in C++ erstellt und geändert werden müssen. Nachdem Sie eine der Get-Methoden zum Abrufen der Sicherheitsbeschreibung verwendet haben, stellt die Klasse Win32_SecurityDescriptorHelper Methoden bereit, die Sicherheitsbeschreibungen entweder in SDDL (Security Descriptor Definition Language) oder in Win32_SecurityDescriptor-Instanzen konvertieren.

Sie können die Access Control Lists (ACL) einfacher in Instanzen Win32_SecurityDescriptor oder in SDDL bearbeiten. Weitere Informationen zur Struktur und Verwendung von Sicherheitsdeskriptoren in WMI finden Sie unter WMI-Sicherheitsbeschreibungsobjekte.

Verwenden Sie in C++ oder C# Konvertierungsfunktionen, um binäre Sicherheitsdeskriptoren in SDDL (Security Descriptor Definition Language) zu konvertieren. Verwenden Sie zum Ändern von Sicherheitsbeschreibungswerten in C++-Anwendungen ConvertSecurityDescriptorToStringSecurityDescriptor und ConvertStringSecurityDescriptorToSecurityDescriptor.

Sicherheitsprobleme

Es wird empfohlen, Änderungen an Sicherheitsbeschreibungen mit großer Vorsicht durchzuführen, damit die Sicherheit des Objekts nicht gefährdet wird. Beachten Sie, dass sich die Reihenfolge der Zugriffssteuerungseinträge (Access Control Entries, ACEs) in einer DACL (Discretionary Access Control List) auf die Zugriffssicherheit auswirken kann. Weitere Informationen finden Sie unter Reihenfolge von ACEs in einer DACL.

WMI-Sicherheitsbeschreibungsobjekte

Sicherheitsbeschreibungshilfsklasse

Best Practices for the Security APIs (Bewährte Methoden für die Sicherheits-APIs)

Aufrechterhalten der WMI-Sicherheit

Zugriffssteuerung

Zugriff auf WMI-Namespaces