Tabel LockPermissions
Tabel LockPermissions digunakan untuk mengamankan bagian individual aplikasi di lingkungan terkunci. Ini dapat digunakan dengan penginstalan file, kunci registri, dan folder yang dibuat.
Paket yang ditujukan untuk penginstalan di Windows Server 2008 R2 atau Windows 7 harus menggunakan Tabel MsiLockPermissionsEx daripada Tabel LockPermissions. Versi Penginstal Windows yang lebih lama dari Windows Installer 5.0 mengabaikan Tabel MsiLockPermissionsEx. Windows Installer 5.0 dapat menginstal paket yang berisi Tabel LockPermissions. Dimulai dengan Windows Installer 5.0, penginstalan paket yang berisi Tabel MsiLockPermissionsEx dan Tabel LockPermissions gagal dan mengembalikan pesan kesalahan Penginstal Windows 1941.
Tabel LockPermissions memiliki kolom berikut.
| Column | Tipe | Tombol | Dapat diubah ke null |
|---|---|---|---|
| LockObject | Pengidentifikasi | Y | N |
| Tabel | Teks | Y | N |
| Domain | Diformat | Y | Y |
| Pengguna | Diformat | Y | N |
| Izin | Bilangan Bulat Ganda | N | Y |
Kolom
-
LockObject
-
Kolom ini dan kolom Tabel bersama-sama menentukan file, direktori, atau kunci registri yang akan diamankan. Kolom LockObject adalah kunci asing yang menunjuk ke kunci utama tabel yang ditentukan oleh kolom Tabel.
-
Meja
-
Kolom ini dan kolom LockObject menentukan file, direktori, atau kunci registri yang akan diamankan. Di kolom Tabel, masukkan File, Registri, atau CreateFolder untuk menentukan LockObject yang tercantum dalam Tabel File, Tabel Registri, atau Buat TabelFolder.
-
Domain
-
Kolom yang mengidentifikasi domain pengguna yang izinnya akan diatur. Ini adalah nama komputer yang berdiri sendiri atau nama domain. Jenis data kolom diformat, dan Anda dapat menggunakan string [%USERDOMAIN] di bidang ini untuk mendapatkan nilai variabel lingkungan USERDOMAIN untuk domain saat ini. Untuk mendapatkan domain lain yang diperlukan menggunakan Tindakan Kustom. Untuk informasi selengkapnya, lihat Tabel Tindakan Kustom.
-
Pengguna
-
Kolom yang mengidentifikasi nama pengguna yang dilokalkan yang izinnya akan diatur. Nama ini harus terletak pada komputer atau domain. Penginstalan gagal jika mesin atau pengontrol domain tidak mengenali kombinasi domain dan pengguna atau jika pengidentifikasi keamanan pengguna (SID) tidak dapat diambil. Beberapa pengguna dapat ditentukan untuk satu LockObject.
Nama pengguna umum "Semua Orang" dan "Administrator" dapat dimasukkan dalam bahasa Inggris dan dipetakan ke SID terkenal. LocalSystem diberikan kontrol penuh di semua deskriptor keamanan yang dibuat melalui Tabel LockPermissions. Anda dapat menggunakan Properti ComputerName, Properti LogonUser, atau Properti USERNAME di bidang ini untuk mendapatkan pengguna saat ini. Tindakan kustom diperlukan untuk memasukkan nama yang dilokalkan dari pengguna atau grup lain.
Anda dapat menggunakan beberapa rekaman dengan entri LockObject dan Tabel yang identik (tetapi entri Pengguna yang berbeda) untuk menentukan daftar kontrol akses untuk beberapa pengguna.
-
Izin
-
Kolom yang mengidentifikasi deskripsi bilangan bulat hak istimewa sistem. Berikut ini memberikan nilai yang paling umum digunakan (daftar lengkap ada di Winnt.h).
Hak Istimewa Deskripsi GENERIC_ALL
0X10000000
268435456Membaca, menulis, dan menjalankan akses GENERIC_EXECUTE
0X20000000
536870912Jalankan akses GENERIC_WRITE
0X40000000
1073741824Akses tulis Anda tidak dapat menentukan GENERIC_READ di kolom Izin. Mencoba melakukannya akan gagal. Sebagai gantinya, Anda harus menentukan nilai seperti KEY_READ atau FILE_GENERIC_READ.
Null yang dimasukkan dalam kolom ini dicadangkan untuk digunakan di masa mendatang.
Keterangan
Tindakan InstallFiles, WriteRegistryValues, dan CreateFolders dalam tabel urutan memproses informasi dalam tabel ini. Untuk informasi tentang menggunakan tabel urutan, lihat Menggunakan Tabel Urutan.
Izin hanya dapat diatur dalam Tabel LockPermissions untuk pengguna yang sudah ada di komputer atau domain. Upaya untuk mengatur izin untuk pengguna yang tidak dikenal menyebabkan penginstalan gagal, bahkan jika akun pengguna tersebut dibuat selama penginstalan oleh tindakan kustom yang ditangguhkan.
Disarankan agar grup lokal administrator sistem disertakan dalam semua daftar kontrol akses (ACL). Ini memastikan bahwa administrator sistem dapat mengakses dan memelihara objek.
Setiap file, kunci registri, atau direktori yang tercantum dalam Tabel LockPermissions menerima deskriptor keamanan eksplisit, baik menggantikan objek yang ada atau tidak. Pemasang Windows mencoba mempertahankan keamanan pada objek yang sudah ada pada sistem. Jika objek tidak tercantum dalam Tabel LockPermissions, dan mengganti objek yang ada, penggantian mendapatkan pengaturan keamanan objek yang digantikannya.
Jika objek tidak tercantum dalam Tabel LockPermissions, dan tidak menggantikan objek yang ada, objek tidak menerima deskriptor keamanan eksplisit. Akses ke objek baru didasarkan pada atribut objek induk atau kontainernya. Jika objek tidak tercantum dalam tabel, dan mengganti objek tanpa deskriptor keamanan eksplisit, akses ke objek baru didasarkan pada atribut objek induk atau kontainernya.
Penginstal Windows mengatur properti UserSID ke pengidentifikasi keamanan (SID) atau pengguna yang menjalankan penginstalan.
Validasi