Establecer la herencia de la seguridad del espacio de nombres
Puede controlar si un espacio de nombres secundario hereda el descriptor de seguridad del espacio de nombres principal.
Los espacios de nombres de WMI tienen descriptores de seguridad que controlan quién puede acceder al espacio de nombres y a los datos del espacio de nombres. Cada descriptor de seguridad tiene una lista de control de acceso discrecional (DACL) y una lista de control de acceso de seguridad (SACL). Estas listas contienen entradas de control de acceso (ACE).
Dependiendo de las constantes de marca ACE del espacio de nombres que se establecen, todos los espacios de nombres secundarios de ese espacio de nombres pueden heredar los permisos que se aplican a un espacio de nombres. Un espacio de nombres secundario hereda el descriptor de seguridad de su espacio de nombres principal cuando se crea el espacio de nombres secundario si la marca CONTAINER_INHERIT_ACE está en el descriptor de seguridad del espacio de nombres principal. Si se establece CONTAINER_INHERIT_ACE|NO_PROPOGATE_INHERIT_ACE, solo el espacio de nombres secundario hereda el descriptor de seguridad, no los espacios de nombres de tercer nivel. Los espacios de nombres secundarios pueden invalidar los permisos de seguridad de sus elementos principales llamando a métodos de la clase __SystemSecurity para escribir un nuevo descriptor de seguridad. No se puede cambiar la configuración de seguridad predeterminada. Para obtener más información, consulte Establecer descriptores de seguridad del espacio de nombres. Para obtener más información sobre las DACL, consulte Listas de control de acceso (ACL) y Constantes de tipo ACE de espacio de nombres.
Tenga en cuenta que no se pueden cambiar los permisos predeterminados. Además, establecer la marca SE_DACL_PROTECTED mientras se establece el descriptor de seguridad (SD) no se usa para agregar un SD especializado a un espacio de nombres secundario. Para invalidar un SD heredado, simplemente establezca uno nuevo. Para heredar ese SD a un espacio de nombres secundario, pase la marca CONTAINER_INHERIT_ACE en el descriptor de seguridad del espacio de nombres. Para heredar solo al elemento secundario y no a los descendientes, pase CONTAINER_INHERIT_ACE|NO_PROPOGATE_INHERIT_ACE
.
Temas relacionados