Поделиться через


Планирование категоризации объектов COM для Office 2010

 

Применимо к: Office 2010

Последнее изменение раздела: 2015-03-09

Для управления поведением определенных объектов COM в Microsoft Office 2010 следует использовать категоризацию объектов COM. Объектами COM могут являться элементы ActiveX, объекты OLE, серверы Excel RealTimeData (RTD), а также поставщики источников данных для веб-компонентов Office (OWC). Например, можно создать список разрешенных объектов, который будет разрешать загрузку только определенных объектов COM, или переопределить бит аннулирования Internet Explorer.

В этой статье:

  • Сведения о категоризации объектов COM

  • Настройка параметров групповой политики для категоризации объектов COM

  • Добавление категоризации объектов COM в реестре

Сведения о категоризации объектов COM

Office 2010 вначале проверяет, настроены ли параметры групповой политики для категоризации объектов COM. Если параметры предусматривают использование категоризации объектов COM, то Office 2010 проверяет правильность категоризации указанных объектов COM в реестре.

Чтобы включить категоризацию объектов COM в организации, необходимо вначале определить оптимальный способ настройки параметров безопасности групповой политики в соответствии с потребностями бизнеса. Затем следует добавить идентификатор категории для соответствующих объектов COM в реестре.

Настройка параметров безопасности групповой политики для категоризации объектов COM

Существует четыре параметра групповой политики для категоризации объектов COM:

  • Проверять поставщики источников данных OWC

  • Проверить серверы RTD Excel

  • Проверять объекты OLE

  • Проверять объекты ActiveX

Параметры Проверять поставщики источников данных OWC и Проверить серверы RTD Excel можно включить или отключить. При включении этих параметров Office 2010 будет загружать только корректно категоризованные объекты COM.

Параметры Проверять объекты OLE и Проверять объекты ActiveX содержат дополнительные варианты работы при выборе значения Включено. Эти параметры перечислены в следующей таблице.

Параметр

Описание

Не проверять

Office загружает объекты OLE/ActiveX без предварительной проверки корректности категоризации.

Переопределить список битов аннулирования Internet Explorer (поведение по умолчанию)

Office использует список категорий для переопределения проверки битов аннулирования Internet Explorer.

Только список разрешений

Office загружает только активные и корректно категоризованные объекты Active X.

Параметр Переопределить список битов аннулирования Internet Explorer позволяет перечислить элементы управления OLE или ActiveX, загрузка которых будет разрешена в Office 2010 при корректной категоризации даже в том случае, если они содержатся в списке битов аннулирования Internet Explorer. Используйте этот элемент управления, чтобы разрешить загрузку в Internet Explorer объекта COM, помеченного как небезопасный, но заведомо безопасного для загрузки в Microsoft Office. Office также проверяет, включен ли бит аннулирования Office COM. Дополнительные сведения о бите аннулирования Office COM см. в разделе Планирование параметров безопасности для элементов управления ActiveX для Office 2010. Если бит аннулирования Office COM включен, а альтернативного идентификатора CLSID (бита Phoenix) не существует, то объект COM не будет загружен. Дополнительные сведения о поведении битов аннулирования см. в разделе Как отключить запуск элемента управления ActiveX в обозревателе Internet Explorer (https://go.microsoft.com/fwlink/?linkid=183124\&clcid=0x419).

Используйте параметр Только список разрешений, чтобы создать список разрешений безопасности, разрешающий загрузку только определенных элементов управления и запрещающий остальные объекты OLE или ActiveX, не входящие в список.

После включения любых параметров категоризации объектов COM в групповой политике необходимо добавить категоризацию объектов в реестр.

Добавление категоризации объектов COM в реестр

Каждому параметру групповой политики в реестре соответствует категоризация объекта COM. Эти соответствия перечислены в следующей таблице.

Параметр групповой политики

Идентификатор категории (CATID)

Проверять поставщики источников данных OWC

{A67A20DD-16B0-4831-9A66-045408E51786}

Проверить серверы RTD Excel

{8F3844F5-0AF6-45C6-99C9-04BF54F620DA}

Проверять объекты OLE

{F3E0281E-C257-444E-87E7-F3DC29B62BBD}

Проверять объекты ActiveX

{4FED769C-D8DB-44EA-99EA-65135757C156}

Если параметр групповой политики не имеет значение Отключено или Включено | Не проверять, то для указанных объектов COM необходимо добавить идентификатор CATID. Для этого следует добавить в реестр ключ Implemented Categories в идентификатор CLSID объекта COM. Затем добавляется подраздел, содержащий идентификатор CATID раздела Implemented Categories.

Например, при создании белого списка, разрешающего для использования в Office только объект OLE Microsoft Graph Chart, следует вначале найти идентификатор CLSID этого объекта COM в следующем расположении реестра:

HKEY_CLASSES_ROOT\CLSID

Идентификатор CLSID для объекта Microsoft Graph Chart равен {00020803-0000-0000-C000-000000000046}. Затем необходимо проверить, существует ли раздел Implemented Categories и создать его в случае его отсутствия. В этом примере используется путь

HKEY_CLASSES_ROOT\CLSID\{00020803-0000-0000-C000-000000000046}\Implemented Categories

Затем необходимо добавить новый подраздел для идентификатора CATID, соответствующего параметру групповой политики "Проверить объекты OLE" раздела Implemented Categories. В этом примере используется следующее значение и путь:

HKEY_CLASSES_ROOT\CLSID\{00020803-0000-0000-C000-000000000046}\Implemented Categories\{F3E0281E-C257-444E-87E7-F3DC29B62BBD}

Примечание

Последние сведения о параметрах политики см. в книге Microsoft Excel 2010 Office2010GroupPolicyAndOCTSettings_Reference.xls, которую можно найти в разделе Файлы, включенные в данную загрузку страницы загрузки Файлы административных шаблонов Office 2010 (ADM, ADMX, ADML) и центр развертывания Office (Возможно, на английском языке) (https://go.microsoft.com/fwlink/?linkid=189316&clcid=0x419) (Возможно, на английском языке).