Настройка безопасности на уровне процесса с помощью DCOMCNFG
Может потребоваться включить безопасность для конкретного приложения, если у приложения есть требования безопасности, отличные от требований, необходимых другим приложениям на компьютере. Например, вы можете использовать системные параметры для приложений, которым требуется низкий уровень безопасности при настройке более высокого уровня безопасности для конкретного приложения.
Однако параметры безопасности в реестре, применяемые к конкретному приложению, иногда не используются. Например, параметры на уровне процесса, заданные в реестре с помощью Dcomcnfg.exe, будут переопределены, если клиент вызывает CoSetProxyBlanket , чтобы задать безопасность для конкретного прокси-сервера интерфейса. Аналогичным образом, если клиент или сервер (или оба) вызовите CoInitializeSecurity для установки безопасности для процесса, параметры в реестре будут игнорироваться, а параметры, указанные в CoInitializeSecurity , будут использоваться вместо этого.
При включении безопасности для приложения может потребоваться изменить несколько параметров. К ним относятся уровень проверки подлинности, расположение, разрешения запуска, разрешения доступа и удостоверение. Пошаговые процедуры см. в следующих статьях:
- Настройка уровня проверки подлинности для приложения
- Задание расположения приложения
- Настройка разрешений запуска для приложения
- Настройка разрешений доступа для приложения
- Настройка удостоверения для приложения
- Просмотр пользовательской базы данных
- Dcomcnfg.exe и 64-разрядные приложения
- Связанные статьи
Настройка уровня проверки подлинности для приложения
Чтобы включить безопасность для приложения, необходимо задать уровень проверки подлинности, отличный от None. Уровень проверки подлинности сообщает COM о том, сколько требуется защита проверки подлинности, и он может варьироваться от проверки подлинности клиента при первом вызове метода до полного шифрования состояний параметров.
Настройка уровня проверки подлинности приложения
На странице свойств "Приложения" в Dcomcnfg.exe выберите приложение и нажмите кнопку "Свойства" (или дважды щелкните выбранное приложение).
На странице "Общие" выберите уровень проверки подлинности, отличный от (Нет) в списке "Уровень проверки подлинности".
Если для этого приложения будут заданы другие свойства, нажмите кнопку "Применить ", чтобы применить новый уровень проверки подлинности. Нажмите кнопку ОК , если вы завершите настройку свойств этого приложения, и вы хотите применить изменения.
Задание расположения приложения
Расположение, заданное для приложения, определяет компьютер, на котором будет работать приложение. Вы можете запустить приложение на компьютере, где находятся данные, на компьютере, используемом для задания расположения или на указанном компьютере.
Настройка расположения приложения
При выполнении Dcomcnfg.exe выберите приложение на странице "Приложения " и нажмите кнопку "Свойства " (или дважды щелкните выбранное приложение).
На странице "Расположение" выберите один или несколько полей проверка, соответствующие расположениям, в которых должно выполняться приложение. Если выбрать несколько проверка поле, COM использует первый, который применяется. Если Dcomcnfg.exe выполняется на серверном компьютере, всегда выберите запуск приложения на этом компьютере.
Если для этого приложения будут заданы другие свойства, нажмите кнопку "Применить ", чтобы применить новое расположение. Нажмите кнопку "ОК ", если вы завершили настройку свойств для этого приложения, и вы хотите применить изменения.
Настройка разрешений запуска для приложения
С помощью Dcomcnfg.exe можно задать разрешения на запуск для управления списком пользователей, которым предоставлено или запрещено разрешение на запуск определенного сервера. Вы можете добавить пользователей или группы в список, указав, предоставляется ли разрешение на доступ или запрещается. Вы также можете удалить пользователей из списка.
Настройка разрешений запуска для приложения
При выполнении Dcomcnfg.exe выберите приложение на странице "Приложения " и нажмите кнопку "Свойства " (или дважды щелкните выбранное приложение).
На странице свойств "Безопасность" нажмите кнопку "Использовать настраиваемые разрешения запуска" и нажмите кнопку "Изменить" в той же области.
Чтобы удалить пользователей или группы, выберите пользователя или группу, которую вы хотите удалить, и нажмите кнопку "Удалить ". Выбранный пользователь или группа больше не появится в списке. Завершив удаление пользователей и групп, нажмите кнопку "ОК".
Если вы хотите добавить пользователей или группы, нажмите кнопку "Добавить ".
Если вы знаете полное имя пользователя, которое вы хотите добавить, введите его в текстовое поле "Добавить имена ". Если имя пользователя не известно, вы можете просмотреть базу данных пользователя, чтобы найти ее (см. статью "Просмотр пользовательской базы данных ниже"). При расположении имени пользователя выберите пользователя или группу в списке "Имена" и нажмите кнопку "Добавить ".
В списке "Тип доступа" выберите тип доступа ( разрешить запуск или запретить запуск). Чтобы добавить других пользователей с выбранным типом доступа, повторите шаг 5. После завершения добавления пользователей для выбранного типа доступа нажмите кнопку "ОК ".
Чтобы добавить пользователей с другим типом доступа, повторите шаги 5 и 6. В противном случае нажмите кнопку "ОК ", чтобы применить изменения.
Настройка разрешений доступа для приложения
С помощью Dcomcnfg.exe можно управлять списком пользователей, которым предоставлен или запрещен доступ к методам определенного сервера, задав разрешения на доступ. Вы можете добавить пользователей или группы в список, указав, предоставляется ли разрешение на доступ или запрещается. Вы также можете удалить пользователей из списка.
При настройке разрешений доступа необходимо убедиться, что СИСТЕМА включена в список пользователей, которым предоставлен доступ. Если у вас есть разрешения на доступ ко всем пользователям, система включается неявно.
Процесс настройки разрешений доступа для приложения аналогичен настройке разрешений запуска. Ниже приведены шаги.
Настройка разрешений доступа для приложения
При выполнении Dcomcnfg.exe выберите приложение на странице "Приложения " и нажмите кнопку "Свойства " (или дважды щелкните выбранное приложение).
На странице свойств "Безопасность" нажмите кнопку "Использовать разрешения пользовательского доступа" и нажмите кнопку "Изменить" в той же области.
Чтобы удалить пользователей или группы, выберите пользователя или группу, которую вы хотите удалить, и нажмите кнопку "Удалить ". Выбранный пользователь или группа больше не появится в списке. Завершив удаление пользователей и групп, нажмите кнопку "ОК".
Если вы хотите добавить пользователя или группу, нажмите кнопку "Добавить ".
Если вы знаете полное имя пользователя, которое вы хотите добавить, введите его в текстовое поле "Добавить имена ". Если имя пользователя не известно, можно просмотреть базу данных пользователя, чтобы найти ее. При расположении имени пользователя выберите пользователя или группу в списке "Имена" и нажмите кнопку "Добавить ".
В списке "Тип доступа" выберите тип доступа ( разрешить доступ или запретить доступ). Чтобы добавить других пользователей с выбранным типом доступа, повторите шаг 5. После завершения добавления пользователей для выбранного типа доступа нажмите кнопку "ОК ".
Чтобы добавить пользователей с другим типом доступа, повторите шаги 5 и 6. В противном случае нажмите кнопку "ОК ", чтобы применить изменения.
Настройка удостоверения для приложения
Удостоверение приложения — это учетная запись, используемая для запуска приложения. Это может быть удостоверение пользователя, вошедшего в систему (интерактивного пользователя), учетной записи пользователя клиентского процесса, запускающего сервер, указанного пользователя или службы. Вы можете использовать Dcomcnfg.exe для выбора одного из этих удостоверений для приложения. Сведения о выборе удостоверений, установленных для приложения, см. в разделе "Удостоверение приложения".
Установка удостоверения для приложения
При выполнении Dcomcnfg.exe выберите приложение на странице "Приложения " и нажмите кнопку "Свойства " (или дважды щелкните выбранное приложение).
На странице свойств identity нажмите кнопку параметра для нужного удостоверения. При выборе этого пользователя необходимо ввести имя пользователя, пароль и подтвержденный пароль.
Если для этого приложения будут заданы другие свойства, нажмите кнопку "Применить ", чтобы применить новое удостоверение. Нажмите кнопку "ОК ", если вы завершили настройку свойств для этого приложения, и вы хотите применить изменения.
Просмотр пользовательской базы данных
Вы будете просматривать базу данных пользователей в Dcomcnfg.exe, когда необходимо найти полное имя пользователя для конкретного пользователя. Например, можно просмотреть базу данных пользователей, чтобы найти пользователя, который требуется добавить для доступа или запуска разрешений.
Просмотр пользовательской базы данных
В списке "Имена списков" выберите домен, содержащий пользователя или группу, которую вы хотите добавить.
Чтобы просмотреть пользователей, принадлежащих выбранному домену, нажмите кнопку "Показать пользователей ".
Чтобы просмотреть члены определенной группы, выберите группу в списке "Имена " и нажмите кнопку "Показать участники ".
Если вы не можете найти пользователя или группу, которую вы хотите добавить, нажмите кнопку "Поиск ", которая открывает диалоговое окно "Найти учетную запись ". Выберите домен, для которого нужно выполнить поиск (или выберите "Найти все"), введите имя пользователя, которое вы хотите найти, и нажмите кнопку "Поиск ".
Dcomcnfg.exe и 64-разрядные приложения
В операционных системах x64 из Windows XP в Windows Server 2008 64-разрядная версия DCOMCNFG.EXE неправильно настраивает 32-разрядные приложения DCOM для удаленной активации. Это поведение приводит к тому, что компоненты, которые должны быть активированы удаленно, вместо этого активируются локально. Это поведение не происходит в Windows 7 и Windows Server 2008 R2 и более поздних версиях.
Обходной путь — использовать 32-разрядную версию DCOMCNFG. Запустите 32-разрядную версию mmc.exe и загрузите 32-разрядную версию оснастки "Службы компонентов" с помощью следующей командной строки.
C:\WINDOWS\SysWOW64>mmc comexp.msc /32
32-разрядная версия служб компонентов правильно регистрирует 32-разрядные приложения DCOM для удаленной активации.
См. также