Správa pomocí atributů skupiny kódu
.gif "Důležitá poznámka") Důležité |
|---|
V rozhraní .NET Framework verze 4 se modul CLR (Common Language Runtime) vzdaluje od poskytování zásad zabezpečení pro počítače.Microsoft doporučuje použití zásad omezení softwaru systému Windows jako náhradu za zásady zabezpečení modulu CLR.Informace v tomto tématu se vztahují na rozhraní .NET Framework verze 3.5 a starší; nevztahují se na verze 4.0 a novější.Další informace o této a dalších změnách naleznete v tématu Změny zabezpečení v rozhraní .NET Framework 4. |
Předpokládejme, že jste správce rozlehlé sítě, který je odpovědný za správu zásad zabezpečení pro řadu pracovních stanic. V typické podnikové doméně má správce sítě administrativní oprávnění na každý server a každého klienta. Není však neobvyklé, že jednotliví uživatelé mají oprávnění správce na jedné pracovní stanici. V důsledku toho má správce sítě administrativní oprávnění na úrovni zásad organizace a správce pracovní stanice má administrativní oprávnění na úrovni zásad počítače. V takovém případě to vypadá, že správce sítě má větší kontrolu nad zásadami, protože zásady organizace jsou vyhodnoceny jako první a zásadám počítače není povoleno zmírnit rozhodnutí zabezpečení, které udělal správce na úrovni organizace. Nicméně správce na úrovni počítač může stále zpřísnit zabezpečení, potenciálně tak přerušovat důvěryhodné aplikace, které by jinak měly povoleno běžet. Z tohoto důvodu může vyšší úroveň zásad pro vyloučení z vyhodnocování vybrat rozhodnutí zásad nižší úrovně.
Toto můžete provést použitím atributu LevelFinal nebo Exclusive na skupiny kódu pomocí použití jednoho z nástrojů zásad zabezpečení.
Atribut koncové úrovně
Když aplikujete na skupinu kódu atribut LevelFinal, tak vylučujete libovolnou úroveň zásad z vyhodnocování pod aktuální úrovní. Například pokud na úrovni organizace aplikujete atribut LevelFinal na skupinu kódu místní intranet, tak jakákoliv skupina kódu na úrovni počítače nebude vyhodnocena, dokonce i v případě, že správce na úrovni počítače provedl změny. Aplikování atributu LevelFinal zaručuje, že sestavení asociované se skupinou kódu označenou tímto atributem nikdy neobdrží menší oprávnění z důvodu rozhodnutí, které učiní správce nižší úrovně zásad. Informace o nastavení atributu LevelFinal u výchozí nebo vlastní skupiny kódu naleznete v tématu Konfigurační nástroj rozhraní .NET framework (Mscorcfg.msc) nebo Nástroj pro zásady zabezpečení přístupu kódu (Caspol.exe).
Výhradní atribut
Když na skupinu kódu aplikujete atribut Exclusive, tak zabraňujete jiným skupinám kódu ve stejné úrovni zásad v tom, aby byly posuzovány, když modul runtime vypočítává oprávnění pro sestavení, které jsou ve výhradní skupině kódu. Úrovně zásad nad a pod aktuální úrovní jsou stále vyhodnocovány, ačkoliv. Tento atribut umožňuje jedné konkrétní skupině kódu provést výhradní rozhodnutí pro aktuální úroveň zásad týkající se toho, jaká oprávnění jsou udělena sestavením, která odpovídají této skupině. To je užitečné v případě, když chcete konkrétnímu sestavení udělit konkrétní sadu oprávnění bez povolování oprávnění z jiných odpovídajících skupin na stejné úrovni zásad.
Všimněte si, že sestavení není povoleno spuštění, pokud patří do více než jedné skupiny kódu označené jako výhradní. Proto používejte atribut Exclusive opatrně, když spravujete vlastní zásady zabezpečení. Informace o nastavení atributu Exclusive u předdefinované nebo vlastní skupiny kódu naleznete v tématu Konfigurační nástroj rozhraní .NET framework (Mscorcfg.msc) nebo Nástroj pro zásady zabezpečení přístupu kódu (Caspol.exe).