LockPermissions tábla
A LockPermissions tábla egy alkalmazás egyes részeinek védelmére szolgál zárolt környezetben. Fájlok, beállításkulcsok és létrehozott mappák telepítéséhez használható.
A Windows Server 2008 R2-ben vagy Windows 7-ben való telepítésre szánt csomagnak a LockPermissions tábla helyett az MsiLockPermissionsEx table kell használnia. A Windows Installer 5.0-nál korábbi verziói figyelmen kívül hagyják az MsiLockPermissionsEx táblát. A Windows Installer 5.0 telepítheti a LockPermissions táblát tartalmazó csomagot. A Windows Installer 5.0-tól kezdve az MsiLockPermissionsEx táblát és a LockPermissions táblát is tartalmazó csomag telepítése meghiúsul, és a Windows Installer 1941-ös hibaüzenetét adja vissza.
A LockPermissions tábla a következő oszlopokat tartalmazza.
| Oszlop | Típus | Kulcs | Nullázható |
|---|---|---|---|
| LockObject | azonosító | Y | N |
| Asztal | Szöveg | Y | N |
| Tartomány | formázott | Y | Y |
| Felhasználó | formázott | Y | N |
| Engedély | DoubleInteger | N | Y |
Oszlopok
-
LockObject
-
Ez az oszlop és a Tábla oszlop együttesen adja meg a védeni kívánt fájlt, könyvtárat vagy beállításkulcsot. A LockObject oszlop egy idegen kulcs, amely a Tábla oszlop által megadott tábla elsődleges kulcsára mutat.
-
táblázat
-
Ez az oszlop és a LockObject oszlop adja meg a védeni kívánt fájlt, könyvtárat vagy beállításkulcsot. A Tábla oszlopban adja meg a Fájl, a Beállításjegyzék vagy a CreateFolder kifejezést a Fájltábla, Beállításjegyzéktáblavagy CreateFolder tábla.
-
tartomány
-
Az az oszlop, amely annak a felhasználónak a tartományát azonosítja, amelyhez az engedélyeket be kell állítani. Ez egy különálló gép vagy tartománynév neve. Az oszlop adattípusa formázott, és ebben a mezőben a [%USERDOMAIN] sztring használatával lekérheti az aktuális tartomány USERDOMAIN környezeti változójának értékét. Ha bármilyen más tartományt szeretne lekérni, Egyéni műveletekkell használnia. További információkért tekintse meg az Egyéni művelettáblát.
-
felhasználó
-
Az az oszlop, amely annak a felhasználónak a honosított nevét azonosítja, amelyhez az engedélyeket be kell állítani. Ennek a névnek a számítógépen vagy a tartományban kell lennie. A telepítés meghiúsul, ha a gép vagy a tartományvezérlő nem ismeri fel a tartomány és a felhasználó kombinációját, vagy ha a felhasználó biztonsági azonosítója (SID) nem kérhető le. Egyetlen LockObjecthez több felhasználó is megadható.
A "Mindenki" és a "Rendszergazdák" gyakori felhasználónevek angol nyelven is megadhatóak, és jól ismert SID-kre vannak leképezve. A LocalSystem teljes körű vezérlést kap a LockPermissions táblán keresztül létrehozott összes biztonsági leíróban. A ComputerName tulajdonság, Bejelentkezési tulajdonság vagy FELHASZNÁLÓNÉV tulajdonság használatával lekérheti az aktuális felhasználót. Bármely más felhasználó vagy csoport honosított nevének megadásához egyéni művelet szükséges.
Több rekordot is használhat azonos LockObject- és táblabejegyzésekkel (de különböző felhasználói bejegyzésekkel) több felhasználó hozzáférés-vezérlési listáinak megadásához.
-
engedély
-
A rendszerjogjogok egész számának leírását azonosító oszlop. Az alábbiakban a leggyakrabban használt értékek szerepelnek (a Winnt.h teljes listája létezik).
Kiváltság Leírás GENERIC_ALL
0X10000000
268435456Hozzáférés olvasása, írása és végrehajtása GENERIC_EXECUTE
0X20000000
536870912Hozzáférés végrehajtása GENERIC_WRITE
0X40000000
1073741824Írási hozzáférés Az Engedély oszlopban nem adhat meg GENERIC_READ. A kísérlet sikertelen lesz. Ehelyett meg kell adnia egy értéket, például KEY_READ vagy FILE_GENERIC_READ.
Az oszlopban megadott null érték későbbi használatra van fenntartva.
Megjegyzések
A InstallFiles, WriteRegistryValuesés CreateFolders műveletek sorrendtáblákban feldolgozni a táblázatban szereplő információkat. A szekvenciatáblákhasználatáról a A szekvenciatáblák használatacímű témakörben olvashat.
Az engedély csak a számítógépen vagy tartományban már létező felhasználók számára állítható be a LockPermissions táblában. Ha egy ismeretlen felhasználó engedélyeit megkísérli beállítani, a telepítés sikertelen lesz, még akkor is, ha a felhasználói fiókot egy elhalasztott egyéni művelet hozza létre a telepítés során.
Javasoljuk, hogy a rendszergazda helyi csoportját minden hozzáférés-vezérlési lista (ACL) tartalmazza. Ez biztosítja, hogy a rendszergazda hozzáférhessen és karbantartsa az objektumokat.
A LockPermissions táblában felsorolt minden fájl, beállításkulcs vagy könyvtár explicit biztonsági leírót kap, függetlenül attól, hogy lecserél egy meglévő objektumot. A Windows Installer megpróbálja megőrizni a rendszeren már létező objektumok biztonságát. Ha egy objektum nem szerepel a LockPermissions táblában, és lecserél egy meglévő objektumot, a csere megkapja a lecserélt objektum biztonsági beállításait.
Ha egy objektum nem szerepel a LockPermissions táblában, és nem cserél le egy meglévő objektumot, nem kap explicit biztonsági leírót. Az új objektumhoz való hozzáférés a szülő- vagy tárolóobjektum attribútumán alapul. Ha egy objektum nem szerepel a táblázatban, és explicit biztonsági leíró nélkül cserél le egy objektumot, az új objektumhoz való hozzáférés a szülő- vagy tárolóobjektum attribútumán alapul.
A Windows Installer a UserSID tulajdonságot a biztonsági azonosítóra (SID) vagy a telepítést futtató felhasználóra állítja.
Érvényesítés