LockPermissions Tablosu
LockPermissions Tablosu, kilitli bir ortamda bir uygulamanın tek tek bölümlerinin güvenliğini sağlamak için kullanılır. Dosyaların, kayıt defteri anahtarlarının ve oluşturulan klasörlerin yüklenmesiyle kullanılabilir.
Windows Server 2008 R2 veya Windows 7'de yüklemeye yönelik bir paket, LockPermissions Tablosu yerine MsiLockPermissionsEx Tablo kullanmalıdır. Windows Installer 5.0'dan önceki Windows Installer sürümleri MsiLockPermissionsEx Tablosunu yoksayar. Windows Installer 5.0, LockPermissions Tablosunu içeren bir paket yükleyebilir. Windows Installer 5.0'dan başlayarak, hem MsiLockPermissionsEx Tablosunu hem de LockPermissions Tablosunu içeren bir paketin yüklenmesi başarısız olur ve Windows Installer hata iletisi 1941'i döndürür.
LockPermissions Tablosunda aşağıdaki sütunlar bulunur.
| Sütun | Tür | Anahtar | Nullable |
|---|---|---|---|
| LockObject | Tanımlayıcı | Y | N |
| Masa | metin | Y | N |
| Alan | Biçimlendirilmiş | Y | Y |
| Kullanıcı | Biçimlendirilmiş | Y | N |
| İzin | DoubleInteger | N | Y |
-
LockObject
-
Bu sütun ve Tablo sütunu birlikte güvenli hale getirilecek dosyayı, dizini veya kayıt defteri anahtarını belirtir. LockObject sütunu, Tablo sütunu tarafından belirtilen tablonun birincil anahtarına işaret eden yabancı bir anahtardır.
-
Tablosu
-
Bu sütun ve LockObject sütunu, güvenli hale getirilecek dosyayı, dizini veya kayıt defteri anahtarını belirtir. Tablo sütununa Dosya, Kayıt Defteri veya CreateFolder girerek Dosya Tablosu, Kayıt Defteri Tablosuiçinde listelenen bir LockObject belirtin veya CreateFolder Table .
-
Etki Alanı
-
İzinlerin ayarlanacağı kullanıcının etki alanını tanımlayan sütun. Bu, tek başına bir makinenin veya etki alanı adının adıdır. Sütun veri türü Biçimlendirilmiş' dir ve geçerli etki alanının USERDOMAIN ortam değişkeninin değerini almak için bu alandaki [%USERDOMAIN] dizesini kullanabilirsiniz. Başka bir etki alanı almak için Özel Eylemlerkullanılması gerekir. Daha fazla bilgi için bkz. Özel Eylem Tablosu.
-
Kullanıcı
-
İzinlerin ayarlanacağı kullanıcının yerelleştirilmiş adını tanımlayan sütun. Bu ad makinede veya etki alanında bulunmalıdır. Makine veya etki alanı denetleyicisi etki alanı ve kullanıcı bileşimini tanımıyorsa veya kullanıcının güvenlik tanımlayıcısı (SID) alınamıyorsa yükleme başarısız olur. Tek bir LockObject için birden çok kullanıcı belirtilebilir.
"Herkes" ve "Yöneticiler" ortak kullanıcı adları İngilizce olarak girilebilir ve iyi bilinen SID'lerle eşlenir. LocalSystem'a LockPermissions Tablosu aracılığıyla oluşturulan tüm güvenlik tanımlayıcılarında tam denetim verilir. Geçerli kullanıcıyı almak için bu alandaki ComputerName ÖzelliğiLogonUser Özelliği veya USERNAME Özelliği kullanabilirsiniz. Başka bir kullanıcı veya grubun yerelleştirilmiş adını girmek için özel bir eylem gereklidir.
Birden çok kullanıcının erişim denetim listelerini belirtmek için aynı LockObject ve Tablo girdilerine (ancak farklı Kullanıcı girdilerine) sahip birden çok kayıt kullanabilirsiniz.
-
İzni
-
Sistem ayrıcalıklarının tamsayı açıklamasını tanımlayan sütun. Aşağıdakiler en yaygın kullanılan değerleri verir (Winnt.h'de tam bir liste vardır).
Ayrıcalık Açıklama GENERIC_ALL
0X10000000
268435456Okuma, yazma ve yürütme erişimi GENERIC_EXECUTE
0X20000000
536870912Erişimi yürütme GENERIC_WRITE
0X40000000
1073741824Yazma erişimi İzin sütununda GENERIC_READ belirtemezsiniz. Bunu yapmaya çalışmak başarısız olur. Bunun yerine, KEY_READ veya FILE_GENERIC_READ gibi bir değer belirtmeniz gerekir.
Bu sütuna girilen null, gelecekte kullanılmak üzere ayrılmıştır.
InstallFiles, WriteRegistryValuesve bu tablodaki bilgileri işlemeksıralı tablolardaki CreateFolders eylemleri. sıralı tabloları kullanma hakkında bilgi için bkz. Sıralı Tablo Kullanma.
İzin yalnızca bilgisayarda veya etki alanında zaten var olan kullanıcılar için LockPermissions Tablosunda ayarlanabilir. Bilinmeyen bir kullanıcı için izinleri ayarlama girişimi, bu kullanıcı hesabı ertelenen bir özel eylem tarafından yükleme sırasında oluşturulsa bile yüklemenin başarısız olmasına neden olur.
Sistem yöneticisinin yerel grubunun tüm erişim denetim listelerine (ACL) eklenmesi önerilir. Bu, sistem yöneticisinin nesnelere erişmesini ve bunları koruyabilmesini sağlar.
LockPermissions Tablosunda listelenen her dosya, kayıt defteri anahtarı veya dizin, var olan bir nesnenin yerini alıp almadığına bakılmaksızın açık bir güvenlik tanımlayıcısı alır. Windows Installer, sistemde zaten var olan nesnelerdeki güvenliği korumaya çalışır. Bir nesne LockPermissions Tablosunda listelenmiyorsa ve varolan bir nesnenin yerini alıyorsa, değiştirme, değiştirdiği nesnenin güvenlik ayarlarını alır.
Bir nesne LockPermissions Tablosunda listelenmiyorsa ve mevcut bir nesnenin yerini almazsa, açık bir güvenlik tanımlayıcısı almaz. Yeni nesneye erişim, üst veya kapsayıcı nesnesinin özniteliklerini temel alır. Bir nesne tabloda listelenmiyorsa ve bir nesneyi açık güvenlik tanımlayıcısı olmadan değiştirirse, yeni nesneye erişim, üst veya kapsayıcı nesnesinin özniteliklerini temel alır.
Windows Installer, UserSID özelliğini güvenlik tanımlayıcısına (SID) veya yüklemeyi çalıştıran kullanıcıya ayarlar.
ICE03
ICE06
ICE46
ICE55