Berechnen des zulässigen Berechtigungssatzes
.gif "Wichtiger Hinweis") Wichtig |
|---|
In .NET Framework, Version 4 ist es nicht mehr die Aufgabe der CLR (Common Language Runtime), Sicherheitsrichtlinien für Computer bereitzustellen.Microsoft empfiehlt die Verwendung von Windows-Richtlinien für die Softwareeinschränkung anstelle der CLR-Sicherheitsrichtlinie.Die Informationen in diesem Thema gelten für .NET Framework, Version 3.5 oder früher, nicht für Version 4 oder höher.Weitere Informationen über diese und andere Änderungen finden Sie unter Änderungen der Sicherheit in .NET Framework 4. |
Die Common Language Runtime berechnet den zulässigen Berechtigungssatz für Anwendungsdomänen und Assemblys durch einen Durchlauf der Codegruppenhierarchien für die zutreffenden Richtlinienebenen. Für Anwendungsdomänen sind dies die Organisations-, Computer- und Benutzerrichtlinienebene. Für Assemblys sind dies die Organisations-, Computer-, Benutzer- und Anwendungsdomänen-Richtlinienebene.
Die Laufzeit berechnet den zulässigen Berechtigungssatz mithilfe des folgenden Prozesses:
Für jede zutreffende Richtlinienebene bestimmt die Laufzeit mithilfe von durch Beweise bereitgestellten Identitätsinformationen, welchen Gruppen der Code angehört. Wenn Code Member eine Gruppe ist, wird diese Gruppe als Übereinstimmung bezeichnet.
Die Suche nach einer Übereinstimmung beginnt oben in der Codegruppenhierarchie, d. h. in der Codegruppe, die sämtlichen Code enthält. Die Laufzeit durchsucht die Hierarchieebenen, einschließlich untergeordneter Gruppen, wenn in einer übergeordneten Gruppe eine Übereinstimmung gefunden wurde.
Wenn alle Übereinstimmungen in der Hierarchie gefunden wurden, werden die Berechtigungen, die den einzelnen übereinstimmenden Codegruppen zugeordnet sind, zu einer Gesamtmenge zusammengefasst und bilden den von dieser Richtlinienebene zugelassenen Berechtigungssatz.
Die Laufzeit berechnet den zulässigen Berechtigungssatz auf andere Weise, wenn der Codegruppe das Exclusive-Attribut oder das LevelFinal-Attribut zugewiesen wird. Weitere Informationen finden Sie unter Codegruppenattribute.
Anschließend durchsucht die Laufzeit die Hierarchie erneut und teilt die Berechtigungssätze nach den einzelnen Richtlinienebenen auf, um den zulässigen Berechtigungssatz für die Anwendungsdomäne oder die Assembly zu berechnen. Der resultierende Berechtigungssatz enthält nur die Berechtigungen, die von allen Richtlinienebenen zugelassen werden.
In der folgenden Abbildung ist eine Codegruppenhierarchie dargestellt, in der Microsoft® Money ein Member von vier Codegruppen ist: Gesamter Code, Microsoft (der Hersteller), Intranet (die Zone) und Microsoft Money (der Name). Der zulässige Berechtigungssatz für eine angegebene Richtlinienebene (Computer, Benutzer oder Anwendungsdomäne) ist die Gesamtmenge der benannten Berechtigungssätze, die jeder dieser Codegruppen zugeordnet sind.
Codegruppenhierarchie
.gif "Codegruppenhierarchie")