Поделиться через

Практическое руководство. Предоставление разрешений папкам и сборкам (Система 2003)

  • Статья

Обновлен: Ноябрь 2007

Применимость

Сведения в данном разделе относятся только к указанным проектам Visual Studio Tools for Office и версиям приложений Microsoft Office.

Тип проекта

  • Проекты уровня документа

  • Проекты уровня приложения

Версия Microsoft Office

  • Microsoft Office 2003

Дополнительные сведения см. в разделе Доступность функций по типам приложений и проектов.

Следующие процедуры предоставляют разрешения на уровне полного доверия сборке или папке в решении Visual Studio Tools for Office. Обычно разрешения предоставляются определенной сборке. Если имеется несколько сборок и есть уверенность в том, что расположение безопасно, можно предоставить полное доверие папке, в которой расположены сборки. Если предоставить доверие папке, то оно также предоставляется всем сборкам в этой папке и вложенным папкам.

Существует три способа предоставления разрешения папкам и сборкам в решениях Office:

  • С помощью свойства Доверять расположению сборок в Visual Studio. (полезно только при разработке).

    Свойство Доверять расположению сборок действует только при разработке; оно не оказывает влияния на конечных пользователей. Поэтому нельзя использовать этот метод для развертывания. Дополнительные сведения см. в разделе Свойства в инструментах Visual Studio для проектов Office.

  • С помощью средства настройки платформы Microsoft .NET Framework 2.0.

    Это средство предоставляет графический пользовательский интерфейс для работы с политиками безопасности. Это средство не включено в Visual Studio 2008; его можно загрузить вместе с пакетом .NET Framework 2.0 SDK из центра загрузки Майкрософт. Например, с веб-узла .NET Framework 2.0 Software Development Kit (SDK) (x86).

  • С помощью средства Управление доступом для кода (Caspol.exe).

    Это средство имеет интерфейс командной строки и служит для работы с политикой безопасности.

zdc263t0.alert_note(ru-ru,VS.90).gifПримечание.

Это основные шаги по настройке политики безопасности для разработки и проверки сборок. Не выполняйте эти шаги для предоставления доверия сборкам или каталогам, если нет уверенности в том, что они безопасны. Дополнительные сведения по настройке параметров политики безопасности см. в разделе Развертывание политики безопасности и Настройка групп кода с помощью инструмента настройки платформы .NET Framework (Mscorcfg.msc).

Использование свойства "Доверять расположению сборок"

При создании проекта полное доверие на основе расположения предоставляется по умолчанию. Если свойство Доверять расположению сборок изменилось, то можно повторно применить параметры по умолчанию.

Предоставление полного доверия сборкам проекта на компьютере разработчика

  1. В Visual Studio в обозревателе решений выберите узел проекта.

  2. В окне Свойства выберите пункт Доверять расположению сборок.

  3. Присвойте этому свойству значение true.

  4. В меню Построение выберите команду Построить решение.

Использование средства настройки платформы .NET Framework 2.0.

Чтобы установить это средство, загрузите и установите пакет .NET Framework 2.0 Software Development Kit (SDK) из центра загрузки Майкрософт.

Процедура, которой нужно следовать, зависит от расположения сборки или каталога:

  • На локальном компьютере.

  • На другом компьютере в сети (или на подключенном диске).

Предоставление полного доверия сборке или каталогу на локальном компьютере

  1. В панели управления откройте оснастку Администрирование.

  2. Запустите элемент Microsoft .NET Framework 2.0 Configuration.

    zdc263t0.alert_note(ru-ru,VS.90).gifПримечание.

    Появятся несколько похожих средств с именами, начинающимися на Microsoft .NET Framework. Удостоверьтесь, что используемое средство настройки соответствует версии среды выполнения.

  3. В узле дерева слева последовательно разверните узлы .NET Framework 2.0 Configuration, Мой компьютер, Политика безопасности среды выполнения, Пользователь, Группы кода, All_Code и VSTOProjects.

    zdc263t0.alert_note(ru-ru,VS.90).gifПримечание.

    Если проект Visual Studio Tools for Office не компилировался ранее, то каталог VSTOProjects отсутствует. Можно добавить новую группу кода в корневой узел All_Code, или скомпилировать проект Visual Studio Tools for Office, каталог VSTOProjects будет создан автоматически.

    Справа находится описание группы кода VSTOProjects, внизу страницы которого имеется раздел Задачи.

  4. В разделе Задачи, выберите пункт Добавить дочернюю группу кода.

    Запустится мастер Создание группы кода.

  5. Выберите Создать новую группу кода и введите имя и описание, которое поможет определить проект. Нажмите кнопку Далее.

  6. В списке Выберите тип условия для этой группы выберите пункт URL.

  7. В поле URL введите полный путь к сборке или путь к папке bin проекта, а затем звездочку (например, c:\путь\ExcelApplication1.dll c:\путь\ExcelApplication1\bin\*).

  8. Нажмите кнопку Далее.

    zdc263t0.alert_note(ru-ru,VS.90).gifПримечание.

    Если ввести путь к папке bin, то всем сборкам в этой папке и всем ее вложенным папкам предоставляется полное доверие на локальном компьютере. Убедитесь в том, что посторонние не будут иметь доступ к папкам, которым предоставлено полное доверие. Также следует убедиться в том, что никто не сможет поместить вредоносную сборку в такую папку, предоставив сборке полное доверие.
    zdc263t0.alert_caution(ru-ru,VS.90).gifВнимание!

    Не предоставляйте разрешения всему жесткому диску (например, C:\*) или общим папкам, таким как "Мои документы", так как таким образом можно случайно предоставить разрешения кэшированным сборкам из Интернет или из электронных сообщений. Предоставляйте разрешения только тем папкам проекта, которые содержат сборки, о которых известно, что они безопасны.

  9. Выберите пункт Использовать существующий набор разрешений, затем выберите из списка FullTrust.

  10. Нажмите кнопку Далее.

  11. Нажмите кнопку Готово.

Предоставление полного доверия сборке или папке на сетевом компьютере или подключенном диске

  1. В панели управления откройте средство Администрирование.

  2. Запустите элемент Microsoft .NET Framework 2.0 Configuration.

    zdc263t0.alert_note(ru-ru,VS.90).gifПримечание.

    Появятся несколько похожих средств с именами, начинающимися на Microsoft .NET Framework. Удостоверьтесь, что используемое средство настройки соответствует версии среды выполнения.

  3. В узле дерева слева последовательно разверните узлы .NET Framework 2.0 Configuration, Мой компьютер, Политика безопасности среды выполнения, Компьютер, Группы кода и All_Code.

    zdc263t0.alert_note(ru-ru,VS.90).gifПримечание.

    Чтобы предоставить полное доверие сборке или папке на сетевом компьютере, необходимо быть администратором, а доверие должно быть предоставлено на уровне компьютера, а не на уровне пользователя.

  4. Правой кнопкой мыши щелкните элемент LocalIntranet_Zone в элементе All_Code, затем выберите пункт Создать.

    Это предполагает, что используемый сервер входит в зону локальной интрасети. Если он был добавлен в зону надежных веб-узлов в обозревателе Internet Explorer, щелкните правой кнопкой мыши элемент Trusted_Zone. Если сборка находится на подключенном диске, необходимо использовать элемент LocalIntranet_Zone.

  5. Введите имя и описание, которое поможет идентифицировать проект. Нажмите кнопку Далее.

  6. В списке Выберите тип условия для этой группы выберите пункт URL.

  7. В окне URL введите полный путь к сборке или путь к папке bin проекта, а затем звездочку (например, "\\ИмяСервера\ИмяПапки\ExcelApplication1.dll" или "http://ИмяСервера/ИмяПапки/ExcelApplication1/bin/*").

  8. Нажмите кнопку Далее.

    zdc263t0.alert_note(ru-ru,VS.90).gifПримечание.

    Если ввести путь к папке bin, то всем сборкам в этой папке и всем ее вложенным папкам будет предоставлено полное доверие на локальном компьютере. Если нет уверенности в том, что папки безопасны, то такие широкие права могут представлять угрозу безопасности.

  9. Выберите пункт Использовать существующий набор разрешений, затем выберите из списка FullTrust.

  10. Нажмите кнопку Далее.

  11. Нажмите кнопку Готово.

Использование средства управления доступом для кода (Caspol.exe)

Полное доверие папке также можно предоставить из командной строки, используя средство управления доступом для кода (Caspol.exe). Дополнительные сведения о средстве Caspol.exe см. в разделе Средство настройки политики управления доступом для кода (Caspol.exe).

Можно предоставить доверие папке на локальном компьютере на уровне пользователя с обычными разрешениями пользователя. Чтобы предоставить доверие сетевому размещению, необходимо иметь права администратора и изменить политику безопасности на уровне компьютера. Уровень безопасности компьютера действует независимо от уровня безопасности пользователя. Уровень безопасности компьютера не предоставляет полного доверия зоне локальной интрасети, даже если на уровне безопасности пользователя такое доверие предоставляется. Уровни безопасности должны быть согласованы.

zdc263t0.alert_note(ru-ru,VS.90).gifСовет.

Вводите команды вручную. Копирование и вставка команд в командную строку может привести к ошибке "Неизвестный параметр".

Предоставление полного доверия локальной папке.

  • Введите следующую команду в командную строку Visual Studio.

    caspol -u -ag All_Code -url 
C:\<FolderName>\<FolderName>\* FullTrust -n "<Name>" -d
"<Description>"

Предоставление полного доверия сетевой папке

  • Введите следующую команду в командную строку Visual Studio.

    caspol -m -ag LocalIntranet_Zone -url 
\\<ServerName>\<FolderName>\* FullTrust -n "<Name>" -d 
"<Description>"

Дополнительные сведения см. в разделе Практическое руководство. Добавление групп кода с помощью Caspol.exe.

zdc263t0.alert_note(ru-ru,VS.90).gifПримечание.

Чтобы изменения вступили в силу после того, как политика развернута, все, кого касаются изменения, должны завершить и перезапустить все используемые в решении приложения Office. Если Microsoft Office Word является частью решения, пользователи должны также завершить и перезапустить Microsoft Office Outlook. Если пользователь открыл документ или книгу в обозревателе Internet Explorer, процесс все еще может выполняться. Проверьте диспетчер задач Windows, чтобы удостовериться, что экземпляры приложения Office не выполняются. Другие приложения, размещающие приложения Office, также могут мешать применению новых разрешений. Во время изменения политики безопасности пользователи должны завершить все приложения, размещенные или изолированные, которые используют Office.

См. также

Задачи

Практическое руководство. Удаление разрешений для папок и сборок (система 2003)

Основные понятия

Требования безопасности при выполнении решений Office (для системы 2003)

Рекомендации по безопасности для решений Office (система 2003)

Рекомендации по обеспечению безопасности для решений Office

Группы кода

Защита приложений

Другие ресурсы

Безопасность в решениях Office (система 2003)