Een beveiligingsdescriptor opgeven uit een INF-bestand

U kunt de mogelijkheid van een proces voor toegang tot beveiligbare objecten beheren of systeembeheertaken uitvoeren. Een beveiligbaar object is een object dat een beveiligingsdescriptor kan hebben. Alle benoemde objecten zijn beveiligbaar. Sommige niet-benoemde objecten, zoals proces- en threadobjecten, kunnen ook beveiligingsdescriptors bevatten. Zie Access Controlvoor meer informatie over het beheren van de toegang tot beveiligbare objecten.

Beveiligingsdescriptors bevatten de beveiligingsgegevens die zijn gekoppeld aan beveiligbare objecten. Voor de meeste beveiligbare objecten kunt u de beveiligingsdescriptor van een object opgeven in de functieaanroep waarmee het object wordt gemaakt. U kunt bijvoorbeeld een beveiligingsdescriptor opgeven in de functies CreateFile en CreateProcess.

Als u een beveiligingsdescriptor wilt instellen vanuit een INF-bestand, voegt u direct na de sectie waarin het bestand, de registersleutel of het onderdeel is geïnstalleerd, een inF-schrijver geschreven beveiligingssectie toe. De sectie Beveiliging moet één regel bevatten met de tekenreeksbeveiligingsdescriptor die erop is geschreven met behulp van de indeling voor Security Descriptor Strings. De regel moet ook tussen aanhalingstekens staan.

Met het volgende INF-bestandsfragment wordt bijvoorbeeld een registersleutel gemaakt waartoe alleen beheerders en het systeem toegang hebben. Houd er rekening mee dat voor dit voorbeeld beheerdersbevoegdheden zijn vereist.

[DDInstall]
AddReg=mydevice.reg
 
[mydevice.reg]
include Registry information here
 
[mydevice.reg.Security]
"D:P(A;CI;GA;;;BA)(A;CI;GA;;;SY)"

In dit geval is de betekenis van de tekenreeks dat beheerders volledig beheer hebben, het systeem volledig beheer heeft en toegang kan worden overgenomen voor alle subsleutels. Zie Security Descriptor Definition Languagevoor meer informatie.