Nastavení zabezpečení Process-Wide pomocí DCOMCNFG

Pro konkrétní aplikaci můžete chtít povolit zabezpečení, pokud má aplikace požadavky na zabezpečení, které se liší od požadavků jiných aplikací v počítači. Můžete se například rozhodnout, že pro vaše aplikace použijete systémová nastavení, která vyžadují nízkou úroveň zabezpečení a zároveň nastavíte vyšší úroveň zabezpečení pro konkrétní aplikaci.

Nastavení zabezpečení v registru, které platí pro konkrétní aplikaci, se ale někdy nepoužívá. Například nastavení pro celý proces, která jste nastavili v registru pomocí Dcomcnfg.exe, se přepíše, pokud klient volá CoSetProxyBlanket nastavit zabezpečení pro konkrétní proxy rozhraní. Podobně platí, že pokud klient nebo server (nebo obojí) volá CoInitializeSecurity nastavit zabezpečení procesu, nastavení v registru bude ignorováno a parametry zadané pro CoInitializeSecurity budou použity místo toho.

Při povolování zabezpečení pro aplikaci může být potřeba upravit několik nastavení. Patří sem úroveň ověřování, umístění, oprávnění ke spuštění, přístupová oprávnění a identita. Podrobné postupy najdete v následujících tématech:

Nastavení úrovně ověřování pro aplikaci

Pokud chcete povolit zabezpečení pro aplikaci, musíte nastavit jinou úroveň ověřování než Žádná. Úroveň ověřování říká modelu COM, kolik ochrany ověřování je vyžadováno, a může být v rozsahu od ověřování klienta při prvním volání metody k úplnému šifrování stavů parametrů.

Nastavení úrovně ověřování aplikace

  1. Na stránce vlastností Aplikace v Dcomcnfg.exevyberte aplikaci a klikněte na tlačítko Vlastnosti (nebo poklikejte na vybranou aplikaci).

  2. Na stránce Obecné vyberte jinou úroveň ověřování než (Žádné) ze seznamu Úroveň ověřování.

  3. Pokud pro tuto aplikaci nastavíte další vlastnosti, zvolte tlačítko Použít a použijte novou úroveň ověřování. Klepněte na tlačítko OK pokud jste dokončili nastavení vlastností pro tuto aplikaci a chcete použít změny.

Nastavení umístění pro aplikaci

Umístění, které nastavíte pro aplikaci, určuje počítač, na kterém bude aplikace spuštěna. Aplikaci můžete spustit na počítači, na kterém se nacházejí data, na počítači, který používáte k nastavení umístění nebo v zadaném počítači.

Nastavení umístění aplikace

  1. Při spuštění Dcomcnfg.exe vyberte aplikaci na stránce Aplikace a zvolte tlačítko Vlastnosti (nebo poklikejte na vybranou aplikaci).

  2. Na stránce Umístění zaškrtněte jedno nebo více zaškrtávacích políček odpovídajících umístěním, ve kterých má aplikace běžet. Pokud zaškrtnete více než jedno políčko, použije objekt COM první, který se použije. Pokud Dcomcnfg.exe běží na serverovém počítači, vždy vyberte Spustit aplikaci na tomto počítači.

  3. Pokud pro tuto aplikaci nastavíte další vlastnosti, zvolte tlačítko Použít a použijte nové umístění. Zvolte OK, pokud jste dokončili nastavení vlastností pro tuto aplikaci a chcete změny použít.

Nastavení oprávnění ke spuštění pro aplikaci

Pomocí Dcomcnfg.exemůžete nastavit oprávnění ke spuštění pro řízení seznamu uživatelů, kteří mají udělená nebo odepřená oprávnění ke spuštění konkrétního serveru. Do seznamu můžete přidat uživatele nebo skupiny a určit, jestli se uděluje nebo zakazuje přístupová oprávnění. Ze seznamu můžete také odebrat uživatele.

Nastavení oprávnění ke spuštění pro aplikaci

  1. Při spuštění Dcomcnfg.exe vyberte aplikaci na stránce Aplikace a zvolte tlačítko Vlastnosti (nebo poklikejte na vybranou aplikaci).

  2. Na stránce vlastností Zabezpečení vyberte tlačítko Použít vlastní oprávnění ke spuštění a zvolte tlačítko Upravit ve stejné oblasti.

  3. Pokud chcete odebrat uživatele nebo skupiny, vyberte uživatele nebo skupinu, které chcete odebrat, a zvolte tlačítko Odebrat. Vybraný uživatel nebo skupina se už v seznamu nezobrazí. Po dokončení odebírání uživatelů a skupin zvolte OK.

  4. Pokud chcete přidat uživatele nebo skupiny, zvolte tlačítko Přidat.

  5. Pokud znáte plně kvalifikované uživatelské jméno, které chcete přidat, zadejte ho do textového pole Přidat jména. Pokud uživatelské jméno neznáte, můžete ji vyhledat v uživatelské databázi (viz Procházení uživatelské databáze níže). Po nalezení uživatelského jména vyberte uživatele nebo skupinu ze seznamu Jména a zvolte tlačítko Přidat.

  6. V seznamu Typ přístupu vyberte typ přístupu (Povolit spuštění nebo Odepřít spuštění). Pokud chcete přidat další uživatele, kteří budou mít vybraný typ přístupu, opakujte krok 5. Po dokončení přidávání uživatelů pro vybraný typ přístupu zvolte tlačítko OK.

  7. Pokud chcete přidat uživatele, kteří budou mít jiný typ přístupu, opakujte kroky 5 a 6. V opačném případě zvolte OK, aby se změny použily.

Nastavení přístupových oprávnění pro aplikaci

Pomocí Dcomcnfg.exemůžete spravovat seznam uživatelů, kteří mají udělený nebo odepřený přístup k metodám konkrétního serveru, nastavením přístupových oprávnění. Do seznamu můžete přidat uživatele nebo skupiny a určit, jestli se uděluje nebo zakazuje přístupová oprávnění. Ze seznamu můžete také odebrat uživatele.

Při nastavování přístupových oprávnění je nutné zajistit, aby systém byl součástí seznamu uživatelů, kteří mají udělený přístup. Pokud jste udělili přístupová oprávnění všem, je funkce SYSTEM zahrnuta implicitně.

Proces nastavení přístupových oprávnění pro aplikaci je podobný nastavení oprávnění ke spuštění. Postup je následující.

Nastavení přístupových oprávnění pro aplikaci

  1. Při spuštění Dcomcnfg.exe vyberte aplikaci na stránce Aplikace a zvolte tlačítko Vlastnosti (nebo poklikejte na vybranou aplikaci).

  2. Na stránce vlastností Zabezpečení vyberte možnost Použít vlastní přístupová oprávnění a potom ve stejné oblasti klikněte na tlačítko Upravit.

  3. Pokud chcete odebrat uživatele nebo skupiny, vyberte uživatele nebo skupinu, které chcete odebrat, a zvolte tlačítko Odebrat. Vybraný uživatel nebo skupina se už v seznamu nezobrazí. Po dokončení odebírání uživatelů a skupin zvolte OK.

  4. Pokud chcete přidat uživatele nebo skupinu, zvolte tlačítko Přidat.

  5. Pokud znáte plně kvalifikované uživatelské jméno, které chcete přidat, zadejte ho do textového pole Přidat jména. Pokud uživatelské jméno neznáte, můžete ji vyhledat v uživatelské databázi. Jakmile najdete uživatelské jméno, vyberte uživatele nebo skupinu ze seznamu Jména a zvolte tlačítko Přidat.

  6. V seznamu Typ přístupu vyberte typ přístupu (Povolit přístup nebo Odepřít přístup). Pokud chcete přidat další uživatele, kteří budou mít vybraný typ přístupu, opakujte krok 5. Po dokončení přidávání uživatelů pro vybraný typ přístupu zvolte tlačítko OK.

  7. Pokud chcete přidat uživatele, kteří budou mít jiný typ přístupu, opakujte kroky 5 a 6. V opačném případě zvolte OK, aby se změny použily.

Nastavení identity pro aplikaci

Identita aplikace je účet, který se používá ke spuštění aplikace. Identitou může být uživatel, který je aktuálně přihlášený (interaktivní uživatel), uživatelský účet procesu klienta, který spustil server, zadaný uživatel nebo služba. K výběru jedné z těchto identit pro aplikaci můžete použít Dcomcnfg.exe. Nápovědu k rozhodování, která identita se má pro vaši aplikaci nastavit, najdete v tématu Identita aplikace.

Nastavit identitu pro aplikaci

  1. Při spuštění Dcomcnfg.exe vyberte aplikaci na stránce Aplikace a zvolte tlačítko Vlastnosti (nebo poklikejte na vybranou aplikaci).

  2. Na stránce vlastností Identita vyberte tlačítko možnosti pro požadovanou identitu. Pokud zvolíte Tento uživatel, musíte zadat uživatelské jméno, heslo a potvrzené heslo.

  3. Pokud pro tuto aplikaci nastavíte další vlastnosti, zvolte tlačítko Použít a použijte novou identitu. Zvolte OK, pokud jste dokončili nastavení vlastností pro tuto aplikaci a chcete změny použít.

Procházení uživatelské databáze

Uživatelskou databázi byste procházeli v Dcomcnfg.exe, když potřebujete najít plně kvalifikované uživatelské jméno pro konkrétního uživatele. Můžete například procházet uživatelskou databázi a vyhledat uživatele, kterého chcete přidat pro přístup nebo oprávnění ke spuštění.

Procházet uživatelskou databázi

  1. V seznamu Seznam názvů z vyberte doménu obsahující uživatele nebo skupinu, kterou chcete přidat.

  2. Pokud chcete zobrazit uživatele, kteří patří do vybrané domény, zvolte tlačítko Zobrazit uživatele.

  3. Pokud chcete zobrazit členy konkrétní skupiny, vyberte skupinu v seznamu Názvy a zvolte tlačítko Zobrazit členy.

  4. Pokud nemůžete najít uživatele nebo skupinu, které chcete přidat, zvolte tlačítko Hledat, které zobrazí dialogové okno Najít účet. Vyberte doménu, kterou chcete hledat (nebo vyberte Hledat ve všech), zadejte uživatelské jméno, které chcete vyhledat, a zvolte tlačítko Hledat.

Dcomcnfg.exe a 64bitové aplikace

Na 64bitových operačních systémech od Windows XP po Windows Server 2008 nenakonfiguruje 64bitová verze DCOMCNFG.EXE správně 32bitové aplikace DCOM pro vzdálenou aktivaci. Toto chování způsobuje, že se komponenty, které mají být aktivované vzdáleně, místo toho aktivují místně. K tomuto chování nedochází v systémech Windows 7 a Windows Server 2008 R2 a vyšších verzích.

Alternativním řešením je použít 32bitovou verzi DCOMCNFG. Spusťte 32bitovou verzi mmc.exe a načtěte 32bitovou verzi modulu snap-in Component Services pomocí následujícího příkazu.

C:\WINDOWS\SysWOW64>mmc comexp.msc /32

32bitová verze služeb komponent správně registruje 32bitové aplikace DCOM pro vzdálenou aktivaci.

Nastavení Process-Wide zabezpečení

 

 

  • Last updated on