In den Permisn-Abschnitten werden die Zugriffsrechte für ein Objekt festgelegt. Jedes Objekt wird durch die Einträge "Type", "Object" und (optional) "FileMask" angegeben.
Jeder Permisn-Abschnitt kann folgende Einträge enthalten:
|
Type=Typ |
|
|
Object=Objekt |
|
|
FileMask=Dateimaske |
optional |
|
AddToACL=Wert |
optional |
|
Aace1=Kontoname_1,Zugriffsmaske_1 |
optional |
|
: |
|
|
Aacen=Kontoname_n,Zugriffsmaske_n |
optional |
|
Dace1=Kontoname_1 |
optional |
|
: |
|
|
Dacen=Kontoname_n |
optional |
|
|
|
Gibt den Typ des Objekts an. type kann einen der folgenden Werte haben:
|
Datei |
Eine Datei |
|
Verz. |
Ein Verzeichnis mit Dateien |
|
RDir |
Ein Verzeichnis mit Dateien und Indexen |
|
Schlüssel |
Ein Schlüssel |
|
RKey |
Ein Schlüssel und Unterschlüssel |
Gibt das Objekt einschließlich des Pfadnamens an. Der Typ des Objekts bestimmt die Struktur des Objekts. Die Typen und zugeordnete Strukturen werden nach den folgenden Kriterien aufgelistet:
|
Datei |
Ein Dateipfad |
|
Verz. |
Ein Verzeichnispfad |
|
RDir |
Ein Verzeichnispfad |
|
Schlüssel |
Eine Hauptschlüssel\Schlüssel-Struktur |
|
RKey |
Eine Hauptschlüssel\Schlüssel-Struktur |
Gibt eine Dateimaske an. Alle Dateien, die dieser Dateimaske entsprechen, erhalten die Zugriffsrechte. Die Dateimaske kann nur angegeben werden, wenn der Objekttyp "Dir" oder "RDir" lautet. Sie können nur Dateierweiterungen angeben, z. B. *.doc. Es können keine Pfadangaben gemacht werden.
Gibt an, wie mit der aktuellen Zugriffskontrollliste (ACL) verfahren werden soll.
Die Zugriffssteuerungselemente (AAce und Dace) sollten der Zugriffssteuerungsliste des Objekts hinzugefügt werden.
Die Zugriffssteuerungselemente (AAce und Dace) sollten die Zugriffssteuerungsliste des Objekts ersetzen.
Legt das Zugriffsrecht (Zulässige ACE) für den Kontonamen fest, der in der Zeile für die angegebene Zugriffsmaske angegeben ist.
Verweigert den Zugriff (Verweigerte ACE) für den Kontonamen, der in der Zeile angegeben ist. Beachten Sie, dass verweigerte Einträge Vorrang haben vor zugelassenen Einträgen. Verwenden Sie sie mit Vorsicht!
Gibt den Namen des Benutzers oder der Gruppe an.
Der Kontoname kann durch ein Domänenpräfix, z. B. "Domäne\Konto" qualifiziert werden. "Domäne" steht für den Namen der Windows-Domäne, zu der dieses System gehört, oder einer vertrauenswürdigen Domäne.
Wenn Kontoname nicht qualifiziert ist, wird es dem lokalen Konto desselben Namens zugeordnet. Wenn dieses lokale Konto nicht vorhanden ist, wird Kontoname dem Domänenkonto oder einem vertrauenswürdigen Domänenkonto desselben Namens zugeordnet.
Beispiele:
|
MyAccount |
Der vorhandene Kontoname |
|
EigenesSystem |
Der Name des lokalen Systems |
|
EigeneDomäne |
Das System ist Teil dieser Windows-Domäne |
Wenn MyAccount ein im lokalen System definiertes Konto ist, wird die Zugriffssteuerung für dieses Konto festgelegt. Wenn EigenesKonto kein Konto des lokalen Systems ist, sondern ein Konto von EigeneDomäne, wird das Zugriffsrecht für "EigeneDomäne\EigenesKonto" festgelegt.
Es gibt mehrere bekannte Sicherheitskennungen, die vordefinierten Konten zugeordnet werden, unabhängig davon, wie sie lokalisiert sind.
In einem System in amerikanischem Englisch heißt das Konto der lokalen Administratorengruppe "Administrators", während es in einem deutschen System "Administratoren" genannt wird.
Diese Konten können unabhängig von ihrer Lokalisierung wie folgt angegeben werden:
Wird für ein vordefiniertes, Windows-domänen‑spezifisches Konto verwendet. "EigeneDomäne" ist die Windows-Domäne, zu der das System gehört. Der Domänen-bezogene RIDAlias kann einen der unter Liste der RIDAlias-Werte aufgeführten Werte haben. Es ist möglicherweise nur ein Teil dieser Konten auf einem einzelnen System vorhanden.
Wird für ein vordefiniertes integriertes Konto oder ein spezielles Konto verwendet. SIDAlias kann einen der unter Liste der SIDAlias-Werte aufgeführten Werte haben.
Tipp: Sie können beim Definieren eines Kontos Parameter verwenden. Definieren Sie zum Beispiel den Parameter "PrimaryDomain" wie folgt:
PrimaryDomain=&HKLM\software\microsoft\windows nt\CurrentVersion\Winlogon\CachePrimaryDomain
Wird in das vordefinierte globale Domänenbenutzerkonto der Windows-Domäne aufgelöst, zu der der Zielcomputer gehört.
Wird in das vordefinierte lokale Administratorkonto des Zielcomputers aufgelöst.
Gibt den Zugriff im Hexadezimalformat an (acht Positionen). Die kritischen Werte für die Zugriffsmasken sind:
|
10000000 |
Vollständiger Zugriff |
|
20000000 |
Ausführungszugriff |
|
40000000 |
Schreibzugriff |
|
80000000 |
Lesezugriff |
|
00010000 |
Berechtigung zum Löschen |
|
00020000 |
Berechtigung, die Zugriffssteuerungsliste (ACL) zu lesen |
|
00040000 |
Berechtigung, die Zugriffssteuerungsliste (ACL) zu lesen und in sie zu schreiben |
|
00080000 |
Berechtigung zum Ändern des Eigentümernamens |
C0000000 gibt zum Beispiel Lese- und Schreibzugriff an.
Gibt den Namen des Schlüssels im Format "SubKey1\ ...\SubKeyn" an
Gibt die von Windows NT-basierten Betriebssystemen vordefinierten Hauptschlüssel an. Sie können die folgenden Root-Schlüssel zuweisen:
| Copyright © 2014 CA Technologies. Alle Rechte vorbehalten. |
|