Поставщик служб CSP политики — ADMX_DCOM
Совет
Этот CSP содержит политики, поддерживаемые ADMX, для включения или отключения которых требуется специальный формат SyncML. Необходимо указать тип данных в SyncML как <Format>chr</Format>
. Дополнительные сведения см. в разделе Общие сведения о политиках на основе ADMX.
Полезные данные SyncML должны быть в кодировке XML; Для этой кодирования XML существуют различные сетевые кодировщики, которые можно использовать. Чтобы избежать кодирования полезных данных, можно использовать CDATA, если mdm поддерживает их. Дополнительные сведения см. в разделе Разделы CDATA.
DCOMActivationSecurityCheckAllowLocalList
Область применения | Выпуски | Применимая ОС |
---|---|---|
Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅ Windows 10 версии 2004 с KB5005101 [10.0.19041.1202] и более поздних версий ✅ Windows 10 версии 20H2 с KB5005101 [10.0.19042.1202] и более поздних версий ✅ Windows 10 версии 21H1 с KB5005101 [10.0.19043.1202] и более поздних версий ✅ Windows 11 версии 21H2 [10.0.22000] и более поздних версий |
./Device/Vendor/MSFT/Policy/Config/ADMX_DCOM/DCOMActivationSecurityCheckAllowLocalList
Позволяет указать, что администраторы локальных компьютеров могут дополнить список "Определение исключений проверки безопасности активации".
Если этот параметр политики включен и DCOM не находит явную запись для идентификатора приложения сервера DCOM (appid) в политике "Определение исключений проверки безопасности активации" (если включен), DCOM будет искать запись в локально настроенном списке.
Если этот параметр политики отключен, DCOM не будет отображаться в локально настроенном списке исключений проверки безопасности активации DCOM.
Если этот параметр политики не настроен, DCOM будет искать в локально настроенном списке исключений только в том случае, если политика "Определение исключений проверки безопасности активации" не настроена.
ЗАМЕТКА Этот параметр политики применяется ко всем сайтам в доверенных зонах.
Описание свойств инфраструктуры:
Имя свойства | Значение свойства |
---|---|
Формат |
chr (строка) |
Тип доступа | Добавить, удалить, получить, заменить |
Совет
Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.
Сопоставление ADMX:
Имя | Значение |
---|---|
Имя | DCOMActivationSecurityCheckAllowLocalList |
Понятное имя | Разрешить исключения для проверки безопасности локальной активации |
Location | Конфигурация компьютера |
Путь | Параметры совместимости системных > распределенных COM-приложений > |
Имя раздела реестра | Software\Policies\Microsoft\Windows NT\DCOM\AppCompat |
Имя значения реестра | AllowLocalActivationSecurityCheckExemptionList |
Имя файла ADMX | DCOM.admx |
DCOMActivationSecurityCheckExemptionList
Область применения | Выпуски | Применимая ОС |
---|---|---|
Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅ Windows 10 версии 2004 с KB5005101 [10.0.19041.1202] и более поздних версий ✅ Windows 10 версии 20H2 с KB5005101 [10.0.19042.1202] и более поздних версий ✅ Windows 10 версии 21H1 с KB5005101 [10.0.19043.1202] и более поздних версий ✅ Windows 11 версии 21H2 [10.0.22000] и более поздних версий |
./Device/Vendor/MSFT/Policy/Config/ADMX_DCOM/DCOMActivationSecurityCheckExemptionList
Позволяет просматривать и изменять список идентификаторов приложений сервера DCOM (appid), которые исключены из проверки безопасности активации DCOM. DCOM использует два таких списка: один настраивается с помощью групповой политики с помощью этого параметра политики, а другой — с помощью действий администраторов локальных компьютеров. DCOM игнорирует второй список при настройке этого параметра политики, если не включена политика "Разрешить исключения для проверки безопасности локальной активации".
Серверные идентификаторы DCOM, добавленные в эту политику, должны быть перечислены в формате фигурных скобок. Например: {b5dcb061-cefb-42e0-a1be-e6a6438133fe}
. При вводе несуществующего или неправильно отформатированного appid DCOM добавит его в список без проверки на наличие ошибок.
Если этот параметр политики включен, можно просмотреть и изменить список исключений проверки безопасности активации DCOM, определенных параметрами групповой политики. Если добавить appid в этот список и задать для нее значение 1, DCOM не будет применять проверку безопасности активации для этого сервера DCOM. Если добавить appid в этот список и задать для его значения значение 0, DCOM всегда будет выполнять проверку безопасности активации для этого сервера DCOM независимо от локальных параметров.
Если этот параметр политики отключен, список исключений appid, определенный групповой политикой, удаляется, и используется список исключений appid, определенный локальными администраторами компьютеров.
Если этот параметр политики не настроен, используется список исключений appid, определенный администраторами локальных компьютеров.
Примечание.
Проверка безопасности активации DCOM выполняется после запуска серверного процесса DCOM, но до отправки запроса на активацию объекта в серверный процесс. Эта проверка доступа выполняется для пользовательского дескриптора безопасности разрешений на запуск сервера DCOM, если он существует, или иным образом с настроенными значениями по умолчанию.
Если пользовательское разрешение на запуск сервера DCOM содержит явные записи DENY, это может означать, что активации объектов, которые ранее были успешно выполнены для указанных пользователей, после запуска процесса сервера DCOM теперь могут завершиться ошибкой. В этой ситуации следует повторно настроить настраиваемые параметры разрешений на запуск сервера DCOM для правильных параметров безопасности, но этот параметр политики может использоваться в краткосрочной перспективе в качестве помощи для развертывания совместимости приложений.
Серверы DCOM, добавленные в этот список исключений, освобождаются только в том случае, если их настраиваемые разрешения на запуск не содержат определенные записи LocalLaunch, RemoteLaunch, LocalActivate или RemoteActivate, предоставляя или запрещая какие-либо пользователи или группы. Кроме того, обратите внимание, что исключения для DCOM Server Appid, добавленные в этот список, будут применяться как к 32-разрядным, так и к 64-разрядным версиям сервера, если они имеются.
Примечание.
Этот параметр политики применяется ко всем сайтам в доверенных зонах.
Описание свойств инфраструктуры:
Имя свойства | Значение свойства |
---|---|
Формат |
chr (строка) |
Тип доступа | Добавить, удалить, получить, заменить |
Совет
Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.
Сопоставление ADMX:
Имя | Значение |
---|---|
Имя | DCOMActivationSecurityCheckExemptionList |
Понятное имя | Определение исключений проверки безопасности активации |
Location | Конфигурация компьютера |
Путь | Параметры совместимости системных > распределенных COM-приложений > |
Имя раздела реестра | Software\Policies\Microsoft\Windows NT\DCOM\AppCompat |
Имя значения реестра | ListBox_Support_ActivationSecurityCheckExemptionList |
Имя файла ADMX | DCOM.admx |