WMI セキュリティ記述子オブジェクト

WMI には、セキュリティ記述子を読み取り、操作して、セキュリティ保護可能なオブジェクトにアクセスできるユーザーを特定できるオブジェクトとメソッドがあります。

• セキュリティ記述子の役割
• Access Control と WMI セキュリティ オブジェクト
• Win32_SecurityDescriptor オブジェクト
• DACL と SACL
• Win32_ACE、Win32_Trustee、Win32_SID
• 例: プリンターにアクセスできるユーザーの確認
• 関連トピック

セキュリティ記述子の役割

セキュリティ記述子は、ファイル、レジストリ キー、WMI 名前空間、プリンター、サービス、共有など、セキュリティ保護可能なオブジェクトのセキュリティ属性を定義します。 セキュリティ記述子には、オブジェクトの所有者グループとプライマリ グループに関する情報が含まれています。 プロバイダーは、リソース セキュリティ記述子と要求元ユーザーの ID を比較し、ユーザーが要求しているリソースにアクセスする権限があるかどうかを判断できます。 詳細については、「WMI セキュリティ保護可能オブジェクトへのアクセス」を参照してください。

GetSD などの一部の WMI メソッドは、バイナリ バイト配列形式でセキュリティ記述子を返します。 Windows Vista 以降、Win32_SecurityDescriptorHelper クラスのメソッドを使用して、バイナリ セキュリティ記述子を、Win32_SecurityDescriptor のインスタンスに変換して、より簡単に操作できるようになりました。 詳細については、「セキュリティ保護可能なオブジェクトのアクセス セキュリティの変更」を参照してください。

Access Control と WMI セキュリティ オブジェクト

WMI セキュリティ オブジェクトのリストを次に示します。

• Win32_SecurityDescriptor
• Win32_ACE
• Win32_Trustee
• Win32_SID

次の図に、WMI セキュリティ オブジェクト間のリレーションシップを示します。

アクセス セキュリティの役割の詳細については、セキュリティのベスト プラクティスと、Access Control に関するページ、「WMI セキュリティの維持」を参照してください。

Win32_SecurityDescriptor オブジェクト

次の表に、Win32_SecurityDescriptor クラス プロパティを示します。

DACL と SACL

随意アクセス制御リスト (DACL) とシステム アクセス制御リスト (SACL) の Win32_ACE オブジェクトの配列により、ユーザーまたはグループとそのアクセス権の間にリンクが作成されます。

DACL プロパティにアクセス制御エントリ (ACE) が含まれていない場合、アクセス権は付与されず、オブジェクトへのアクセスは拒否されます。

Win32_ACE、Win32_Trustee、Win32_SID

Win32_ACE オブジェクトには、ユーザーまたはグループを識別する Win32_Trustee クラスのインスタンスと、ユーザーまたはグループが実行できるアクションを指定するビットマスクである AccessMask プロパティが含まれます。 たとえば、ユーザーまたはグループには、ファイルを読み取る権限は付与されますが、ファイルへの書き込みは許可されません。 Win32_ACE オブジェクトには、アクセス許可か拒否を示す ACE も含まれています。

Win32_Trustee によって表される各ユーザー アカウントまたはグループには、アカウントを一意に識別し、アカウントのアクセス特権を指定するセキュリティ識別子 (SID) があります。 SID データの指定方法は、オペレーティング システムによって異なります。 詳細については、「セキュリティ保護可能なオブジェクトのアクセス セキュリティの変更」を参照してください。

次の図は、1 つの Win32_ACE インスタンスの内容を示しています。

例: プリンターにアクセスできるユーザーの確認

次の VBScript のコード例は、プリンター セキュリティ記述子の使用方法を示しています。 スクリプトにより、Win32_Printer クラスの GetSecurityDescriptor メソッドが呼び出されて記述子を取得し、セキュリティ記述子に随意アクセス制御リスト (DACL) が存在するかどうかが判断されます。 DACL がある場合、スクリプトによって DACL からアクセス制御エントリ (ACE) の一覧が取得されます。 各 ACE は、Win32_ACE のインスタンスによって表されます。 スクリプトにより、すべての ACE がチェックされ、ユーザーの名前が取得され、ユーザーがプリンターにアクセスできるかどうかが判断されます。 ユーザーは、Win32_ACE インスタンスに埋め込まれた Win32_Trustee のインスタンスで表されます。

SE_DACL_PRESENT = &h4
ACCESS_ALLOWED_ACE_TYPE = &h0
ACCESS_DENIED_ACE_TYPE  = &h1

strComputer = "."
Set objWMIService = GetObject("winmgmts:" _
    & "{impersonationLevel=impersonate, (Security)}!\\" & strComputer & "\root\cimv2")

Set colInstalledPrinters =  objWMIService.ExecQuery _
    ("Select * from Win32_Printer")

For Each objPrinter in colInstalledPrinters
   Wscript.Echo "Name: " & objPrinter.Name 
' Get security descriptor for printer
    Return = objPrinter.GetSecurityDescriptor( objSD )
    If ( return <> 0 ) Then
 WScript.Echo "Could not get security descriptor: " & Return
 wscript.Quit Return
    End If
' Extract the security descriptor flags
    intControlFlags = objSD.ControlFlags
    If intControlFlags AND SE_DACL_PRESENT Then
' Get the ACE entries from security descriptor
        colACEs = objSD.DACL
    For Each objACE in colACEs
' Get all the trustees and determine which have access to printer
        WScript.Echo objACE.Trustee.Domain & "\" & objACE.Trustee.Name
        If objACE.AceType = ACCESS_ALLOWED_ACE_TYPE Then
            WScript.Echo vbTab & "User has access to printer"
        ElseIf objACE.AceType = ACCESS_DENIED_ACE_TYPE Then
            WScript.Echo vbTab & "User does not have access to the printer"
        End If
    Next
    Else
    WScript.Echo "No DACL found in security descriptor"
End If
Next

関連トピック

セキュリティ保護可能なオブジェクトのアクセス セキュリティの変更

セキュリティ記述子ヘルパー クラス

セキュリティ推奨事項

WMI セキュリティの維持

アクセス制御

WMI 名前空間へのアクセス