Exportieren (0) Drucken
Alle erweitern

SemaphoreSecurity-Klasse

Aktualisiert: November 2007

Stellt die Windows-Zugriffssteuerungssicherheit für ein benanntes Semaphor dar. Diese Klasse kann nicht geerbt werden.

Namespace:  System.Security.AccessControl
Assembly:  System (in System.dll)

[ComVisibleAttribute(false)]
public sealed class SemaphoreSecurity : NativeObjectSecurity
/** @attribute ComVisibleAttribute(false) */
public final class SemaphoreSecurity extends NativeObjectSecurity
public final class SemaphoreSecurity extends NativeObjectSecurity

Ein SemaphoreSecurity-Objekt gibt Zugriffsrechte für ein benanntes Systemsemaphor an. Darüber hinaus wird angegeben, wie Zugriffsversuche überwacht werden. Zugriffsrechte auf das Semaphor werden als Regeln ausgedrückt, wobei jede Zugriffsregel durch ein SemaphoreAccessRule-Objekt dargestellt wird. Jede Überwachungsregel wird durch ein SemaphoreAuditRule-Objekt dargestellt.

Dadurch wird das zugrunde liegende Sicherheitssystem von Windows gespiegelt, in dem alle sicherungsfähigen Objekte maximal über jeweils eine freigegebene Zugriffssteuerungsliste (DACL – Discretionary Access Control List) verfügen, die den Zugriff auf das gesicherte Objekt steuert, sowie maximal eine Systemzugriffssteuerungsliste (SACL – System Access Control List), die angibt, welche Zugriffsversuche überwacht werden. Bei DACL und SACL handelt es sich um geordnete Listen von ACEs (Access Control Entries, Zugriffssteuerungseinträge), die den Zugriff und die Überwachung für Benutzer und Gruppen angeben. Ein SemaphoreAccessRule-Objekt oder SemaphoreAuditRule-Objekt kann u. U. mehrere ACEs darstellen.

3x2s84c2.alert_note(de-de,VS.90).gifHinweis:

Ein Semaphore-Objekt kann ein lokales Semaphor oder ein benanntes Systemsemaphor darstellen. Windows-Zugriffssteuerungssicherheit ist nur für benannte Systemsemaphore von Bedeutung.

Die Klassen SemaphoreSecurity, SemaphoreAccessRule und SemaphoreAuditRule blenden die Implementierungsdetails von ACLs und ACEs aus. Mithilfe dieser Klassen können Sie die siebzehn verschiedenen ACE-Typen und die komplexen Aufgaben bei der ordnungsgemäßen Verwaltung der Vererbung und der Weitergabe von Zugriffsrechten ignorieren. Diese Objekte sollen darüber hinaus auch die folgenden häufigen Zugriffssteuerungsfehler verhindern:

  • Das Erstellen einer Sicherheitsbeschreibung mit einer NULL-DACL. Mithilfe eines NULL-Verweises auf eine DACL können beliebige Benutzer einem Objekt Zugriffsregeln hinzufügen. Dadurch werden Denial-of-Service-Angriff ermöglicht. Ein neues SemaphoreSecurity-Objekt beginnt immer mit einer leeren DACL, wodurch allen Benutzern der Zugriff verweigert wird.

  • Das Verstoßen gegen die kanonische Reihenfolge der ACEs. Wenn die ACE-Liste in der DACL keine kanonische Reihenfolge aufweist, erhalten Benutzer möglicherweise unbeabsichtigt Zugriff auf das gesicherte Objekt. Verweigerte Zugriffsrechte müssen z. B. immer vor gewährten Zugriffsrechten angeordnet werden. Für SemaphoreSecurity-Objekte wird die korrekte Reihenfolge intern beibehalten.

  • Das Bearbeiten von Sicherheitsbeschreibungsflags, das nur vom Ressourcen-Manager gesteuert werden soll.

  • Das Erstellen ungültiger Kombinationen von ACE-Flags.

  • Das Bearbeiten von geerbten ACEs. Vererbung und Weitergabe werden vom Ressourcen-Manager als Reaktion auf die von Ihnen vorgenommenen Änderungen an den Zugriffs- und Überwachungsregeln behandelt.

  • Das Einfügen von bedeutungslosen ACEs in ACLs.

Die einzigen von .NET-Sicherheitsobjekten nicht unterstützten Funktionen sind gefährliche Aktivitäten. Diese sollten von den meisten Anwendungsprogrammierern vermieden werden. Als gefährliche Aktivitäten gelten u. a.:

  • Aufgaben auf niedriger Ebene, die normalerweise vom Ressourcen-Manager ausgeführt werden.

  • Das Hinzufügen oder Entfernen von Zugriffssteuerungseinträgen ohne Beibehaltung der kanonischen Reihenfolge.

Um die Windows-Zugriffssteuerungssicherheit für ein benanntes Semaphor zu ändern, rufen Sie mithilfe der Semaphore.GetAccessControl-Methode das SemaphoreSecurity-Objekt ab. Ändern Sie das Sicherheitsobjekt durch Hinzufügen und Entfernen von Regeln, und fügen Sie es dann mithilfe der Semaphore.SetAccessControl-Methode erneut an.

3x2s84c2.alert_caution(de-de,VS.90).gifWichtiger Hinweis:

Änderungen an einem SemaphoreSecurity-Objekt wirken sich erst dann auf die Zugriffsebenen des benannten Semaphors aus, wenn die Semaphore.SetAccessControl-Methode aufgerufen wird, um dem benannten Semaphor das geänderte Sicherheitsobjekt zuzuweisen.

Sie können die Zugriffssteuerungssicherheit aus einem Semaphor in ein anderes kopieren, indem Sie mithilfe der Semaphore.GetAccessControl-Methode ein SemaphoreSecurity-Objekt abrufen, das die Zugriffs- und Überwachungsregeln für das erste Semaphor darstellt. Verwenden Sie anschließend die Semaphore.SetAccessControl-Methode oder einen Konstruktor, der ein SemaphoreSecurity-Objekt akzeptiert, um dem zweiten Semaphor diese Regeln zuzuweisen.

Benutzer, die SDDL (Security Descriptor Definition Language) verwenden, können mithilfe der SetSecurityDescriptorSddlForm-Methode Zugriffsregeln für ein benanntes Semaphor festlegen und mithilfe der GetSecurityDescriptorSddlForm-Methode eine Zeichenfolge abrufen, die die Zugriffsregeln im SDDL-Format darstellt. Dies wird nicht für Neuentwicklungen empfohlen.

3x2s84c2.alert_note(de-de,VS.90).gifHinweis:

Sicherheit wird für Synchronisierungsobjekte für Windows 98 oder Windows Millennium Edition nicht unterstützt.

Im folgenden Codebeispiel wird die Aufteilung in Allow-Regeln und in Deny-Regeln veranschaulicht. Außerdem wird die Kombination von Rechten in kompatiblen Regeln dargestellt. Im Beispiel wird ein SemaphoreSecurity-Objekt erstellt. Außerdem werden Regeln hinzugefügt, die dem aktuellen Benutzer eine Reihe von Rechten gewähren und verweigern, und das erhaltene Regelpaar wird angezeigt. Anschließend werden dem aktuellen Benutzer im Beispiel neue Rechte gewährt und das Ergebnis wird angezeigt, das die Zusammenführung der neuen Rechte mit der vorhandenen Allow-Regel darstellt.

3x2s84c2.alert_note(de-de,VS.90).gifHinweis:

In diesem Beispiel wird das Sicherheitsobjekt nicht an ein Semaphore-Objekt angefügt. Beispiele, in denen Sicherheitsobjekte angefügt werden, finden Sie unter Semaphore.GetAccessControl und Semaphore.SetAccessControl.

using System;
using System.Threading;
using System.Security.AccessControl;
using System.Security.Principal;

public class Example
{
    public static void Main()
    {
        // Create a string representing the current user.
        string user = Environment.UserDomainName + "\\" + 
            Environment.UserName;

        // Create a security object that grants no access.
        SemaphoreSecurity mSec = new SemaphoreSecurity();

        // Add a rule that grants the current user the 
        // right to enter or release the semaphore.
        SemaphoreAccessRule rule = new SemaphoreAccessRule(user, 
            SemaphoreRights.Synchronize | SemaphoreRights.Modify, 
            AccessControlType.Allow);
        mSec.AddAccessRule(rule);

        // Add a rule that denies the current user the 
        // right to change permissions on the semaphore.
        rule = new SemaphoreAccessRule(user, 
            SemaphoreRights.ChangePermissions, 
            AccessControlType.Deny);
        mSec.AddAccessRule(rule);

        // Display the rules in the security object.
        ShowSecurity(mSec);

        // Add a rule that allows the current user the 
        // right to read permissions on the semaphore. This rule
        // is merged with the existing Allow rule.
        rule = new SemaphoreAccessRule(user, 
            SemaphoreRights.ReadPermissions, 
            AccessControlType.Allow);
        mSec.AddAccessRule(rule);

        ShowSecurity(mSec);
    }

    private static void ShowSecurity(SemaphoreSecurity security)
    {
        Console.WriteLine("\r\nCurrent access rules:\r\n");

        foreach(SemaphoreAccessRule ar in 
            security.GetAccessRules(true, true, typeof(NTAccount)))
        {
            Console.WriteLine("        User: {0}", ar.IdentityReference);
            Console.WriteLine("        Type: {0}", ar.AccessControlType);
            Console.WriteLine("      Rights: {0}", ar.SemaphoreRights);
            Console.WriteLine();
        }
    }
}

/*This code example produces output similar to following:

Current access rules:

        User: TestDomain\TestUser
        Type: Deny
      Rights: ChangePermissions

        User: TestDomain\TestUser
        Type: Allow
      Rights: Modify, Synchronize


Current access rules:

        User: TestDomain\TestUser
        Type: Deny
      Rights: ChangePermissions

        User: TestDomain\TestUser
        Type: Allow
      Rights: Modify, ReadPermissions, Synchronize
 */


Alle öffentlichen static (Shared in Visual Basic)-Member dieses Typs sind threadsicher. Bei Instanzmembern ist die Threadsicherheit nicht gewährleistet.

Windows Vista, Windows XP SP2, Windows XP Media Center Edition, Windows XP Professional x64 Edition, Windows XP Starter Edition, Windows Server 2003, Windows Server 2000 SP4, Windows Millennium Edition, Windows 98

.NET Framework und .NET Compact Framework unterstützen nicht alle Versionen sämtlicher Plattformen. Eine Liste der unterstützten Versionen finden Sie unter Systemanforderungen für .NET Framework.

.NET Framework

Unterstützt in: 3.5, 3.0, 2.0

Community-Beiträge

HINZUFÜGEN
Microsoft führt eine Onlineumfrage durch, um Ihre Meinung zur MSDN-Website zu erfahren. Wenn Sie sich zur Teilnahme entscheiden, wird Ihnen die Onlineumfrage angezeigt, sobald Sie die MSDN-Website verlassen.

Möchten Sie an der Umfrage teilnehmen?
Anzeigen:
© 2015 Microsoft