Bei diesem Beispiel wird angenommen, dass das System Teil der Windows-Domäne "EigeneDomäne" ist. TrustedDomain wird von MyDomain als vertrauenswürdige Domäne angesehen.
Zuerst müssen folgende Konten erstellt werden:
MyDomain\MyProductUsers
MyDomain\MyRestrictedUsers
TrustedDomain\Unwanted
Folgende Dateien und Verzeichnisse müssen erstellt werden:
$(SxpRootDir1)\bin\ReadMe.txt $(SxpRootDir1)\bin\NOTEPAD.EXE $(SxpRootDir1)\MyLogfile.log $(SxpRootDir1)\withoutextension
Folgende Registrierungsschlüssel und Werte müssen erstellt werden:
[HKEY_LOCAL_MACHINE\Software\MyCompany] [HKEY_LOCAL_MACHINE\Software\MyCompany\MyProduct] "Entry"="any" [HKEY_LOCAL_MACHINE\Software\MyCompany\MyProduct\MySubkey] "SubkeyEntry"=dword:00000000
Schritt 1: Aktuelle Zugriffskontrollliste ersetzen:
Gewähren Sie Mitgliedern der lokalen Administratorgruppe vollständigen Zugriff auf das Stammverzeichnis des Produkts sowie auf alle Unterverzeichnisse und Dateien. Gewähren Sie Mitgliedern der Gruppe "EigeneProduktbenutzer" Lese-, Schreib- und Ausführungszugriff.
Beachten Sie, dass alle anderen Berechtigungen entfernt werden.
#Permis1# Type=RDir FileMask=*.* Object=$(SxpRootDir1) AddToACL=yes Aace1=\Administratoren,10000000 Aace2=MyDomain\MyProductUsers,E0000000
Schritt 2: Aktuelle Zugriffskontrollliste ergänzen:
Gewähren Sie allen Benutzern außer den Mitgliedern der Gruppe "EigeneDomäne\EigeneEingeschränkteBenutzer" und dem Benutzer "VertrauenswürdigeDomäne\Unerwünscht" Lese- und Ausführungszugriff auf das Verzeichnis "$(SxpRootDir1)\bin" und alle darin befindlichen ausführbaren Dateien.
Beachten Sie, dass Verweigern-Einträge Vorrang haben vor Zulassen-Einträgen.
#Permis2# Type=Dir Object=$(SxpRootDir1)\bin FileMask=*.exe AddToACL=yes Aace1=\Jeder,A0000000 Dace1=MyDomain\MyRestrictedUsers Dace2=TrustedDomain\Unwanted
Schritt 3: Aktuelle Zugriffskontrollliste ergänzen:
Gewähren Sie allen Benutzern vollständigen Zugriff auf die Protokolldatei "$(SxpRootDir1)\EigeneProtokolldatei.log". Verweigern Sie dem Benutzer "VertrauenswürdigeDomäne\Unerwünscht" den Zugriff.
#Permis3# Type=File Object=$(SxpRootDir1)\MyLogfile.log AddToACL=yes Aace1=\Jeder,10000000 Dace1=TrustedDomain\Unwanted
Schritt 4: Aktuelle Zugriffskontrollliste ersetzen:
Gewähren Sie den Mitgliedern der lokalen Administratorgruppe und dem lokalen Systemkonto vollständigen Zugriff auf den Registrierungsschlüssel "HKEY_LOCAL_MACHINE\Software\EigenesUnternehmen\EigenesProdukt" und alle zugehörigen Unterschlüssel.
Beachten Sie, dass alle anderen Berechtigungen entfernt werden.
#Permis4# Type=RKey Object=HKEY_LOCAL_MACHINE\MyCompany\MyProduct Aace1=\Administratoren,10000000 Aace2=\Local System\,10000000
Schritt 5: Aktuelle Zugriffskontrollliste ergänzen:
Gewähren Sie den Mitgliedern der Windows-Domänenbenutzergruppe der primären Domäne (EigeneDomäne) und der Domänenbenutzergruppe der vertrauenswürdigen Domäne (VertrauenswürdigeDomäne) Lese- und Schreibzugriff auf den Registrierungsschlüssel "HKEY_LOCAL_MACHINE\Software\EigenesUnternehmen\EigenesProdukt\EigenerUnterschlüssel". Verweigern Sie dem Benutzer "VertrauenswürdigeDomäne\Unerwünscht" den Zugriff.
Ein zur Windows-Domäne gehöriges vordefiniertes Konto, wie z. B. "Domänenbenutzer", kann nur in der primären Domäne verwendet werden. Es ist beispielsweise nicht möglich, unter Verwendung des vordefinierten Kontos Berechtigungen für die globale Gruppe der Domänenbenutzer von "VertrauenswürdigeDomäne" festzulegen. Sie können jedoch stattdessen den lokalisierten Namen "VertrauenswürdigeDomäne\Domänenbenutzer" verwenden.
#Permis5# Type=Key Object=HKEY_LOCAL_MACHINE\MyCompany\MyProduct\MySubkey AddToACL=yes Aace1=\EigeneDomäne\Domänenbenutzer,C0000000 Aace2=TrustedDomain\Domain Users,C0000000 Dace1=TrustedDomain\Unwanted
| Copyright © 2014 CA Technologies. Alle Rechte vorbehalten. |
|