Bagikan melalui

Membatasi Akses ke DLL Ekstensi Performa

  • Artikel

Dimulai dengan Windows Server 2003, grup Pengguna Monitor Performa dan grup Pengguna Log Performa tersedia untuk pengembang dan pengguna DLL performa dan fungsi API Performance Data Helper (PDH). Grup keamanan performa ini dimaksudkan untuk digunakan oleh administrator sistem dalam membatasi akses ke informasi yang diekspos oleh DLL performa ke daftar pengguna tertentu.

Grup Pengguna Monitor Performa dimaksudkan untuk menyertakan pengguna yang melihat data penghitung dan tidak mencatat data penghitung menggunakan layanan Log Performa dan Pemberitahuan. Grup Pengguna Log Performa harus menyertakan pengguna yang memiliki izin untuk menggunakan layanan Log Performa dan Pemberitahuan untuk mencatat penghitung di server lokal atau jarak jauh. Hak istimewa grup ini juga termasuk membuat file log pada sistem lokal atau jarak jauh, menggunakan layanan pemberitahuan, dan menjalankan program sebagai bagian dari layanan.

Perhatikan bahwa kelompok keamanan performa ini bukan dengan sendirinya mekanisme pembatasan akses. Anda harus menggunakan grup ini dengan model kontrol akses objek Windows untuk melakukan ini.

Sebagian besar aplikasi berkomunikasi dengan DLL performa melalui mekanisme IPC, biasanya memori bersama. Oleh karena itu, Anda dapat menambahkan anggota grup keamanan performa ke pendeskripsi keamanan objek memori bersama untuk membatasi akses ke DLL ke anggota grup keamanan tersebut. Saat melakukan ini, Anda juga harus menambahkan anggota grup ke pendeskripsi keamanan objek sistem yang diakses DLL performa untuk menyediakan data penghitung, misalnya, file log dan folder. Untuk informasi lebih rinci tentang menambahkan ACL ke deskriptor keamanan objek, lihat Memodifikasi ACL Objek.

Metode lain yang dapat Anda gunakan untuk memodifikasi informasi ACL dari deskriptor keamanan objek sistem IPC adalah menentukan anggota daftar grup keamanan performa dengan Bahasa Definisi Deskriptor Keamanan (SDDL) dan memanggil ConvertStringSecurityDescriptorToSecurityDescriptor untuk membuat deskriptor keamanan. Deskriptor keamanan ini kemudian dilampirkan ke objek sistem IPC. Berikut ini memperlihatkan string SDDL yang menyertakan grup Pengguna Monitor Performa, MU, dan grup Pengguna Log Performa, LU.

D:(A;OICI;GA;;;SY)(A;OICI;GA;;;BA)(A;OICI;FRFWFXSDRC;;;NS)(A;OICI;FRFWFXSDRC;;;LU)(A;OICI;FRFX;;;MU)