Поделиться через

Настройка безопасности Process-Wide с помощью DCOMCNFG

Может потребоваться включить безопасность для конкретного приложения, если у приложения есть требования безопасности, отличные от требований, необходимых другим приложениям на компьютере. Например, вы можете использовать системные параметры для приложений, которым требуется низкий уровень безопасности при настройке более высокого уровня безопасности для конкретного приложения.

Однако параметры безопасности в реестре, применяемые к конкретному приложению, иногда не используются. Например, параметры на уровне процесса, заданные в реестре с помощью Dcomcnfg.exe, будут переопределены, если клиент вызывает CoSetProxyBlanket, чтобы задать безопасность для конкретного прокси-сервера интерфейса. Аналогично, если клиент или сервер (или оба) вызывают CoInitializeSecurity для установки безопасности процесса, то параметры, указанные в реестре, будут игнорироваться, и вместо этого будут использоваться параметры, заданные для CoInitializeSecurity.

При включении безопасности для приложения может потребоваться изменить несколько параметров. К ним относятся уровень проверки подлинности, расположение, разрешения запуска, разрешения доступа и удостоверение. Пошаговые процедуры см. в следующих статьях:

Настройка уровня проверки подлинности для приложения

Чтобы включить безопасность для приложения, необходимо задать уровень проверки подлинности, отличный от None. Уровень проверки подлинности сообщает COM о том, сколько требуется защита проверки подлинности, и он может варьироваться от проверки подлинности клиента при первом вызове метода до полного шифрования состояний параметров.

Установка уровня проверки подлинности приложения

  1. На вкладке свойств Приложений в Dcomcnfg.exeвыберите приложение и нажмите кнопку Свойства (или дважды щелкните выбранное приложение).

  2. На странице общего выберите уровень проверки подлинности, отличный от (Нет), в списке уровня проверки подлинности .

  3. Если вы настроите другие свойства для этого приложения, нажмите кнопку "Применить", чтобы применить новый уровень проверки подлинности. Нажмите кнопку ОК, если вы завершили настройку свойств этого приложения и хотите применить изменения.

Настройка местоположения для приложения

Расположение, заданное для приложения, определяет компьютер, на котором будет работать приложение. Вы можете запустить приложение на компьютере, где находятся данные, на компьютере, используемом для задания расположения или на указанном компьютере.

Настройка расположения приложения

  1. При выполнении Dcomcnfg.exe выберите приложение на странице Приложения и нажмите кнопку Свойства (или дважды щелкните выбранное приложение).

  2. На странице расположения установите один или несколько флажков, соответствующие местоположениям, где должно выполняться приложение. Если установить несколько флажок, COM использует первый, который применяется. Если Dcomcnfg.exe выполняется на серверном компьютере, всегда выберите Запустить Приложение На Этом Компьютере.

  3. Если вы будете задавать другие свойства для этого приложения, нажмите кнопку "Применить", чтобы применить новое местоположение. Нажмите кнопку ОК, если вы завершили настройку свойств для этого приложения, и вы хотите применить изменения.

Настройка разрешений запуска для приложения

С помощью Dcomcnfg.exeможно задать разрешения на запуск для управления списком пользователей, которым предоставлено или запрещено разрешение на запуск определенного сервера. Вы можете добавить пользователей или группы в список, указав, предоставляется ли разрешение на доступ или запрещается. Вы также можете удалить пользователей из списка.

Установка разрешений на запуск приложения

  1. При работающем Dcomcnfg.exe выберите приложение на странице Приложения и нажмите кнопку Свойства (или дважды щелкните выбранное приложение).

  2. На странице свойств Security выберите кнопку Использовать настраиваемые разрешения запуска и нажмите кнопку "Изменить" в той же области.

  3. Чтобы удалить пользователей или группы, выберите пользователя или группу, которую вы хотите удалить, и нажмите кнопку "Удалить ". Выбранный пользователь или группа больше не появится в списке. После удаления пользователей и групп нажмите кнопку ОК.

  4. Если вы хотите добавить пользователей или группы, нажмите кнопку Добавить.

  5. Если вы знаете полностью квалифицированное имя пользователя, которое вы хотите добавить, введите его в текстовое поле Добавить имена. Если имя пользователя не известно, вы можете просмотреть базу данных пользователя, чтобы найти ее (см. статью "Просмотр пользовательской базы данных ниже"). Когда вы найдете имя пользователя, выберите пользователя или группу в списке Имена и нажмите кнопку Добавить.

  6. В списке тип доступа выберите тип доступа (разрешить запуск или запретить запуск). Чтобы добавить других пользователей с выбранным типом доступа, повторите шаг 5. После завершения добавления пользователей для выбранного типа доступа нажмите кнопку ОК.

  7. Чтобы добавить пользователей с другим типом доступа, повторите шаги 5 и 6. В противном случае нажмите кнопку ОК, чтобы применить изменения.

Настройка разрешений доступа для приложения

С помощью Dcomcnfg.exeвы можете управлять списком пользователей, которым предоставлен или запрещен доступ к методам определенного сервера, задав разрешения на доступ. Вы можете добавить пользователей или группы в список, указав, предоставляется ли разрешение на доступ или запрещается. Вы также можете удалить пользователей из списка.

При настройке разрешений доступа необходимо убедиться, что СИСТЕМА включена в список пользователей, которым предоставлен доступ. Если у вас есть разрешения на доступ ко всем пользователям, система включается неявно.

Процесс настройки разрешений доступа для приложения аналогичен настройке разрешений запуска. Ниже приведены шаги.

Установка разрешений доступа для приложения

  1. При запуске Dcomcnfg.exe выберите приложение на странице Приложения и нажмите кнопку Свойства (или дважды щелкните на выбранном приложении).

  2. На странице свойств Security выберите параметр "Использовать разрешения пользовательского доступа" и нажмите кнопку "Изменить" в той же области.

  3. Чтобы удалить пользователей или группы, выберите пользователя или группу, которую вы хотите удалить, и нажмите кнопку "Удалить ". Выбранный пользователь или группа больше не появится в списке. После удаления пользователей и групп нажмите кнопку ОК.

  4. Если вы хотите добавить пользователя или группу, нажмите кнопку Добавить.

  5. Если вы знаете полное имя пользователя, которое хотите добавить, введите его в текстовом поле Добавить Имя. Если имя пользователя не известно, можно просмотреть базу данных пользователя, чтобы найти ее. Когда вы нашли имя пользователя, выберите пользователя или группу из списка Имена и нажмите кнопку Добавить.

  6. В списке Тип доступа выберите тип доступа (Разрешить доступ или Запретить доступ). Чтобы добавить других пользователей с выбранным типом доступа, повторите шаг 5. После завершения добавления пользователей для выбранного типа доступа нажмите кнопку ОК.

  7. Чтобы добавить пользователей с другим типом доступа, повторите шаги 5 и 6. В противном случае нажмите кнопку ОК, чтобы применить изменения.

Настройка идентификации для приложения

Учетная запись, используемая для запуска приложения, является удостоверением приложения. Это может быть удостоверение пользователя, вошедшего в систему (интерактивного пользователя), учетной записи пользователя клиентского процесса, запускающего сервер, указанного пользователя или службы. Вы можете использовать Dcomcnfg.exe для выбора одной из этих идентификаций для приложения. Для получения помощи по выбору удостоверения для вашего приложения см. в разделе Удостоверение приложения.

Настройка удостоверения для приложения

  1. При выполнении Dcomcnfg.exe выберите приложение на странице Приложения и нажмите кнопку Свойства (или дважды щелкните выбранное приложение).

  2. На странице свойств Identity выберите переключатель для выбора нужного удостоверения. Если выбрать этот пользователь, необходимо ввести имя пользователя, пароль и подтвержденный пароль.

  3. Если вы будете настраивать другие свойства этого приложения, нажмите кнопку Применить, чтобы применить новое удостоверение. Нажмите кнопку ОК, если вы завершили настройку свойств для этого приложения, и вы хотите применить изменения.

Просмотр пользовательской базы данных

Вы будете просматривать базу данных пользователей в Dcomcnfg.exe, когда необходимо найти полное имя пользователя для конкретного пользователя. Например, можно просмотреть базу данных пользователей, чтобы найти пользователя, который требуется добавить для доступа или запуска разрешений.

Просмотреть базу данных пользователей

  1. В списке "Имена из" выберите домен, содержащий пользователя или группу, которую вы хотите добавить.

  2. Чтобы просмотреть пользователей, принадлежащих выбранному домену, нажмите кнопку Показать пользователей.

  3. Чтобы просмотреть участников определенной группы, выберите группу в списке "Имена" и нажмите кнопку "Показать участников".

  4. Если вы не можете найти пользователя или группу, которую вы хотите добавить, нажмите кнопку "Поиск", которая открывает диалоговое окно поиск учетной записи. Выберите домен, который вы хотите найти (или выберите поиск всех), введите имя пользователя, которое нужно найти, и нажмите кнопку поиска.

Dcomcnfg.exe и 64-разрядные приложения

В операционных системах x64 из Windows XP в Windows Server 2008 64-разрядная версия DCOMCNFG.EXE неправильно настраивает 32-разрядные приложения DCOM для удаленной активации. Это поведение приводит к тому, что компоненты, которые должны быть активированы удаленно, вместо этого активируются локально. Это поведение не происходит в Windows 7 и Windows Server 2008 R2 и более поздних версиях.

Обходной путь — использовать 32-разрядную версию DCOMCNFG. Запустите 32-разрядную версию mmc.exe и загрузите 32-разрядную версию оснастки «Службы компонентов», используя следующую командную строку.

C:\WINDOWS\SysWOW64>mmc comexp.msc /32

32-разрядная версия служб компонентов правильно регистрирует 32-разрядные приложения DCOM для удаленной активации.

настройка Process-Wide безопасности

 

 

  • Last updated on