Procedura: concedere autorizzazioni per documenti e cartelle di lavoro archiviati in percorsi condivisi (System 2003)
Aggiornamento: novembre 2007
Si applica a |
|---|
Le informazioni contenute in questo argomento riguardano solo i progetti Visual Studio Tools per Office e le versioni di Microsoft Office specificati. Tipo di progetto
Versione Microsoft Office
Per ulteriori informazioni, vedere la classe Funzionalità disponibili in base ai tipi di progetto e applicazione. |
Se il documento di Microsoft Office 2003 è memorizzato in un percorso non protetto, ad esempio un sito di SharePoint o una condivisione di file accessibile in scrittura da più utenti, inclusi magari quelli malintenzionati, oppure non si conoscono con precisione gli utenti autorizzati a caricare contenuto, è possibile concedere le autorizzazioni solo ai documenti e alle cartelle di lavoro presenti in tale percorso, anziché a tutto il suo contenuto. A questo scopo, utilizzare la condizione di appartenenza dei documenti di Office e modificare i criteri di sicurezza per verificare questa condizione sui computer su cui la soluzione verrà eseguita. Per ulteriori informazioni sull'impostazione di criteri di sicurezza nei computer degli utenti finali, vedere Distribuzione dei criteri di sicurezza.
Se si utilizza la condizione di appartenenza dei documenti di Office, vengono considerati attendibili solo i documenti di Office. Agli assembly e ai file eseguibili non vengono pertanto concesse le autorizzazioni per l'esecuzione dalla condivisione.
È possibile utilizzare gli strumenti della riga di comando di Visual Studio o lo strumento .NET Framework 2.0 Configuration per creare gruppi di codice personalizzato. Di seguito sono illustrati entrambi i metodi. Tuttavia, lo strumento .NET Framework 2.0 Configuration non è incluso in Visual Studio 2008. È possibile scaricarlo come parte di .NET Framework 2.0 SDK dall'Area download Microsoft. Per un esempio, vedere .NET Framework 2.0 Software Development Kit (SDK) (x86) (informazioni in lingua inglese).
Creazione di un gruppo di codice personalizzato tramite gli strumenti della riga di comando di Visual Studio
Per creare un gruppo di codice personalizzato tramite gli strumenti della riga di comando
Aprire il prompt dei comandi di Visual Studio. Se nel computer non è installato Visual Studio, aprire un prompt dei comandi di Microsoft Windows e passare alla directory di Microsoft .NET Framework corrispondente alla versione utilizzata. Di seguito è riportato un esempio:
%systemroot%\Microsoft.NET\Framework\v2.0.50727Digitare i seguenti comandi, sostituendo i percorsi, i nomi e le descrizioni di esempio con quelle appropriate per l'ambiente:
gacutil -i "C:\Program Files\Microsoft Office\Office11\Addins\Msosec.dll" caspol -m -ag LocalIntranet_Zone -url \\ServerName\FolderName\* Nothing -n "My Data Folder" -d "Intermediate group for my documents" caspol -m -ag "My Data Folder" -custom "C:\Program Files\Microsoft Office\Office11\Addins\Msosec.xml" FullTrust -n "My Data Documents" -d "Grants FullTrust to all documents in my data folder".gif "Suggerimento:")
Suggerimento:Digitare i comandi manualmente. Operazioni di copia e incolla di comandi nel prompt dei comandi potrebbero determinare errori di mancato riconoscimento delle opzioni.
Creazione di un gruppo di codice personalizzato tramite lo strumento .NET Framework Configuration
Prima di utilizzare lo strumento NET Framework 2.0 Configuration, è necessario scaricare e installare .NET Framework 2.0 Software Development Kit (SDK) dall'Area download Microsoft.
Quando si utilizza lo strumento .NET Framework 2.0 Configuration, seguire i passaggi di base seguenti:
Aggiungere Msosec.dll alla Global Assembly Cache (GAC). Msosec.dll è l'assembly che implementa Microsoft.Office.Security.Policy.OfficeDocumentMembershipCondition, l'oggetto utilizzato per identificare i documenti e le cartelle di lavoro. L'assembly Msosec.dll è disponibile nella cartella ADDINS, nel percorso di installazione di Office. Il percorso predefinito è \Programmi\Microsoft Office\OFFICE11\ADDINS.
Creare un gruppo di codice con autorizzazioni limitate per il server o la cartella specifica, ad esempio le autorizzazioni Nothing o LocalIntranet_Zone.
Sotto il primo gruppo, creare un secondo gruppo per concedere l'attendibilità totale ai documenti di Office.
Nota:Se utilizzato nei criteri, Msosec avrà un impatto negativo sulle prestazioni di tutto il codice gestito del computer. Si consiglia di non aggiungere Msosec ai server o ad altri computer in cui non è richiesto.
Per aggiungere Msosec.dll all'Assembly Cache
Accedere al computer come amministratore.
Aprire Strumenti di amministrazione nel Pannello di controllo, quindi eseguire Microsoft .NET Framework 2.0 Configuration.
Espandere .NET Framework 2.0 Configuration nel nodo Directory principale console, quindi espandere Risorse del computer.
Fare clic con pulsante destro del mouse su Assembly Cache, quindi scegliere Aggiungi.
Individuare Msosec.dll nella cartella di installazione di Office. Di seguito è riportato un esempio:
C:\Programmi\Microsoft Office\Office11\Addins\Msosec.dll
Selezionare Msosec.dll, quindi fare clic su Apri per aggiungere il file all'Assembly Cache.
Per creare un gruppo di codice con autorizzazioni limitate per il server o la cartella
Espandere Gruppi di codice nel nodo Computer, quindi All_Code.
Fare clic con il pulsante destro del mouse su LocalIntranet_Zone e scegliere Nuovo.
Per eseguire questo passaggio, è necessario che il server faccia parte dell'area Intranet locale. In caso di aggiunta all'area Siti attendibili in Internet Explorer, invece, fare clic con il pulsante destro del mouse su Trusted_Zone.
Assegnare un nome al gruppo di codice. Per questo esempio, utilizzare Customer Data Folder.
Questo gruppo di codice non concede alcuna autorizzazione alla cartella, ma è solo un contenitore per il gruppo di codice successivo.
Fare clic su Avanti.
Selezionare URL nell'elenco Specificare il tipo di condizione per il gruppo di codice.
Nella casella di testo URL digitare il percorso della cartella condivisa.
L'asterisco alla fine è importante, poiché applica le autorizzazioni a tutti i file e le sottocartelle di questa cartella. Di seguito è riportato un esempio:
\\NomeServer\NomeCondivisione\*
Fare clic su Avanti.
Scegliere Nothing nell'elenco Usa set di autorizzazione esistente.
Il valore predefinito è FullTrust, ma è necessario sostituirlo con Nothing per evitare di concedere autorizzazioni complete a tutti i file presenti nel percorso specificato.
Fare clic su Avanti, quindi su Fine.
Per creare un gruppo di codice per concedere l'attendibilità totale ai documenti di Office
Fare clic con il pulsante destro del mouse sul nuovo gruppo di codice, in questo esempio denominato Customer Data Folder, quindi scegliere Nuovo.
Assegnare un nome al gruppo di codice. Per questo esempio, utilizzare Customer Data Documents.
Fare clic su Avanti.
Selezionare (personalizzato) nell'elenco Specificare il tipo di condizione per il gruppo di codice.
Fare clic su Importa, quindi individuare Msosec.xml nella cartella di installazione di Office. Di seguito è riportato un esempio:
C:\Programmi\Microsoft Office\Office11\Addins\Msosec.xml
Selezionare Msosec.xml, quindi fare clic su Apri per importare la condizione del codice XML personalizzato.
Fare clic su Avanti.
Selezionare FullTrust nell'elenco Usa set di autorizzazione esistente.
Fare clic su Avanti, quindi su Fine.
Per ulteriori informazioni sulla concessione dell'attendibilità, vedere Configurazione dei criteri di protezione mediante lo strumento .NET Framework Configuration (Mscorcfg.msc) e Configurazione dei criteri di protezione tramite lo Strumento criteri di protezione dall'accesso di codice (Caspol.exe).
Vedere anche
Attività
Procedura: aggiungere un assembly all'elenco di assembly dei criteri
Procedura: aggiungere assembly ai criteri di protezione tramite Caspol.exe
Concetti
Distribuzione protetta (System 2003)
Requisiti di sicurezza per l'esecuzione delle soluzioni Office (System 2003)
Procedura consigliata per la sicurezza nelle soluzioni Office (System 2003)