permis.sxp の使用方法の例

この例では、システムは MyDomain と呼ばれる Windows ドメインに含まれていると見なされます。 TrustedDomain は、MyDomain の信頼されたドメインと見なされます。

最初に作成される必要のある、使用されるアカウントには以下のものが含まれます。

• MyDomain の MyProductUsers グループ：

  MyDomain\MyProductUsers
  

• MyDomain の MyRestrictedUsers グループ：

  MyDomain\MyRestrictedUsers
  

• TrustedDomain の Unwanted ユーザ

  TrustedDomain\Unwanted
  

作成されるファイルおよびディレクトリは、以下のものが含まれます。

$(SxpRootDir1)\bin\ReadMe.txt
$(SxpRootDir1)\bin\NOTEPAD.EXE
$(SxpRootDir1)\MyLogfile.log
$(SxpRootDir1)\withoutextension

作成されるレジストリ キーおよび値は、以下のとおりです。

[HKEY_LOCAL_MACHINE\Software\MyCompany]
[HKEY_LOCAL_MACHINE\Software\MyCompany\MyProduct]
"Entry"="any"
[HKEY_LOCAL_MACHINE\Software\MyCompany\MyProduct\MySubkey]
"SubkeyEntry"=dword:00000000

手順 1： 現在のアクセス制御リストの置換

ローカルの管理者グループのメンバに製品のルート ディレクトリとそのサブディレクトリとファイルのすべてに対するフル アクセス権を付与します。 MyProductUsers グループのすべてのメンバに読み取り、書き込み、および実行権限を付与します。

ほかの権限はすべて削除されることに注意してください。

#Permis1#
Type=RDir
FileMask=*.*
Object=$(SxpRootDir1)
AddToACL=yes
Aace1=\Administrators,10000000
Aace2=MyDomain\MyProductUsers,E0000000

手順 2： 現在のアクセス制御リストへの追加

$(SxpRootDir1)\bin ディレクトリとその実行可能ファイルのすべてに対する読み取りおよび実行権限を、MyDomain\MyRestrictedUsers グループのメンバと TrustedDomain\Unwanted ユーザ以外のすべてのユーザに付与します。

拒否エントリは許可エントリよりも優先されることに注意してください。

#Permis2#
Type=Dir
Object=$(SxpRootDir1)\bin
FileMask=*.exe
AddToACL=yes
Aace1=\Everyone,A0000000
Dace1=MyDomain\MyRestrictedUsers
Dace2=TrustedDomain\Unwanted

手順 3： 現在のアクセス制御リストへの追加

$(SxpRootDir1)\MyLogfile.log ファイルに対するフル アクセスをすべてのユーザに付与します。 TrustedDomain\Unwanted ユーザのアクセスを拒否します。

#Permis3#
Type=File
Object=$(SxpRootDir1)\MyLogfile.log
AddToACL=yes
Aace1=\Everyone,10000000
Dace1=TrustedDomain\Unwanted

手順 4： 現在のアクセス制御リストの置換

HKEY_LOCAL_MACHINE\Software\MyCompany\MyProduct レジストリ キーとそのサブキーに対するフル アクセス権をローカル管理者グループのメンバとローカル システム アカウントに付与します。

ほかの権限はすべて削除されることに注意してください。

#Permis4#
Type=RKey
Object=HKEY_LOCAL_MACHINE\MyCompany\MyProduct
Aace1=\Administrators,10000000
Aace2=\Local System\,10000000

手順 5： 現在のアクセス制御リストへの追加

HKEY_LOCAL_MACHINE\Software\MyCompany\MyProduct\MySubkey レジストリ キーに対するプライマリ ドメイン（MyDomain）の Windows ドメイン ユーザ グループと信頼されたドメイン（TrustedDomain）のドメイン ユーザ グループの読み取りおよび書き込みアクセス権を付与します。 TrustedDomain\Unwanted ユーザのアクセスを拒否します。

ドメイン ユーザのような、Windows ドメイン関連の事前定義されたアカウントは、プライマリ ドメインでのみ使用できます。 たとえば、事前定義されたアカウントを使用して TrustedDomain のドメイン ユーザのグローバル グループに対する権限を設定することはできません。 ただし、ローカライズされた名前である TrustedDomain\domain users を代わりに使用できます。

#Permis5#
Type=Key
Object=HKEY_LOCAL_MACHINE\MyCompany\MyProduct\MySubkey
AddToACL=yes
Aace1=\MyDomain\Domain Users,C0000000
Aace2=TrustedDomain\Domain Users,C0000000
Dace1=TrustedDomain\Unwanted