Att ställa in säkerhet för System-Wide med DCOMCNFG

Om du ändrar systemomfattande säkerhetsinställningar påverkas alla COM-serverprogram som inte ställer in sin egen processomfattande säkerhet. Detta kan hindra sådana program från att fungera korrekt. Om du ändrar de systemomfattande säkerhetsinställningarna så att de påverkar säkerhetsinställningarna för ett visst COM-program bör du i stället ändra de processomfattande säkerhetsinställningarna för det specifika COM-programmet. Mer information om hur du ställer in processomfattande säkerhet finns i Ange processomfattande säkerhet.

När du vill att alla program på en dator som inte ger sin egen säkerhet ska dela samma standardsäkerhetsinställningar, ställer du in säkerhet på systemomfattande basis. Med Dcomcnfg.exe är det enkelt att ange standardvärden i registret som gäller för alla program på en dator.

Det är viktigt att förstå att om klienten eller servern uttryckligen anropar CoInitializeSecurity för att ange processomfattande säkerhet ignoreras standardinställningarna i registret och parametrarna för att CoInitializeSecurity används i stället för säkerhetsinställningarna för processen. Om du använder Dcomcnfg.exe för att ange säkerhetsinställningar för en viss process, åsidosättas standardinställningarna för datorn av inställningarna för processen.

När du aktiverar systemomfattande säkerhet måste du ange autentiseringsnivån till ett annat värde än Ingen och du måste ange start- och åtkomstbehörigheter. Du har möjlighet att ange standard personifieringsnivån och du kan även aktivera referensspårning. Följande avsnitt innehåller stegvisa procedurer:

• inställning System-Wide standardautentiseringsnivå
• Inställning System-Wide Startbehörigheter
• inställning System-Wide åtkomstbehörigheter
• Inställning System-Wide Personifieringsnivå
• Inställning System-Wide Referensspårning
• Aktivera och inaktivera DCOM-
• Relaterade ämnen

Ange System-Wide standardautentiseringsnivå

Autentiseringsnivån används för att tala om för COM på vilken nivå du vill att klienten ska autentiseras. Dessa nivåer erbjuder olika skyddsnivåer, från inget skydd till fullständig kryptering. Om du vill aktivera säkerhet för en dator måste du välja en annan autentiseringsnivå än Ingen. Du kan välja en sådan inställning med hjälp av Dcomcnfg.exegenom att utföra följande steg.

För att ställa in autentiseringsnivån på systemomfattande basis

1. Kör Dcomcnfg.exe.

2. Välj fliken Standardegenskaper.

3. I listrutan Default Authentication Level väljer du ett annat värde än (Ingen).

4. Om du vill ange fler egenskaper för datorn klickar du på knappen Använd för att tillämpa den nya autentiseringsnivån. Annars klickar du på OK för att tillämpa ändringarna och avsluta Dcomcnfg.exe.

Ange System-Wide startbehörigheter

De startbehörigheter som du anger med Dcomcnfg.exe fastställa en lista över användare, som var och en uttryckligen beviljas eller nekas behörighet att starta en server som inte tillhandahåller sina egna inställningar för startbehörighet. När du anger startbehörigheter kan du lägga till eller ta bort en eller flera användare eller grupper från den här listan. För varje användare som du lägger till måste du ange om användaren beviljas eller nekas startbehörighet.

Ange startbehörigheter för en dator

1. På egenskapssidan Standardsäkerhet i Dcomcnfg.exeväljer du knappen Redigera standard i området Standardstartbehörigheter.

2. Om du vill ta bort användare eller grupper väljer du den användare eller grupp som du vill ta bort och väljer knappen Ta bort. Den valda användaren eller gruppen visas inte längre i listrutan. När du har tagit bort användare och grupper väljer du OK.

3. Om du vill lägga till en användare eller grupp väljer du knappen Lägg till.

4. Om du känner till det fullständigt kvalificerade användarnamnet som du vill lägga till skriver du det i textrutan Lägg till namn. Om du inte känner till användarnamnet kan du läsa Ange processomfattande säkerhet med DCOMCNFG för att hitta den. När du har hittat användarnamnet väljer du användaren eller gruppen i listrutan Namn och väljer knappen Lägg till.

5. I listrutan Typ av åtkomst väljer du åtkomsttyp (antingen Tillåt start eller Neka start). Upprepa steg 4 om du vill lägga till andra användare som också har den valda åtkomsttypen. När du har lagt till användare för den valda åtkomsttypen väljer du knappen OK.

6. Om du vill lägga till användare som har en annan typ av åtkomst upprepar du steg 4 och 5. Annars väljer du OK för att tillämpa ändringarna.

Ange System-Wide åtkomstbehörigheter

Dcomcnfg.exe gör att du kan ange åtkomstbehörigheter för att styra listan över användare som beviljas eller nekas åtkomst till metoderna för de servrar som inte ger sina egna åtkomstbehörigheter. Du kan lägga till användare eller grupper i listan och ange om åtkomstbehörighet beviljas eller nekas. Du kan också ta bort användare från listan.

När du anger åtkomstbehörigheter måste du se till att SYSTEM ingår i listan över användare som beviljas åtkomst. Om du har beviljat åtkomstbehörigheter till Alla inkluderas SYSTEM implicit.

Processen med att ange åtkomstbehörigheter för en dator liknar inställningen startbehörigheter. Följande steg bör vidtas.

Ange åtkomstbehörigheter för en dator

1. På egenskapssidan Standardsäkerhet i Dcomcnfg.exeväljer du knappen Redigera standard i området Standardåtkomstbehörigheter.

2. Om du vill ta bort användare eller grupper väljer du den användare eller grupp som du vill ta bort och väljer knappen Ta bort. Den valda användaren eller gruppen visas inte längre i listrutan. När du har tagit bort användare och grupper väljer du OK.

3. Om du vill lägga till en användare eller grupp väljer du knappen Lägg till.

4. Om du känner till det fullständigt kvalificerade användarnamnet som du vill lägga till skriver du det i textrutan Lägg till namn. Om du inte känner till användarnamnet kan du läsa Ange processomfattande säkerhet med hjälp av DCOMCNFG för att hitta det. När du har hittat användarnamnet väljer du användaren eller gruppen i listrutan Namn och väljer knappen Lägg till.

5. I listrutan Typ av åtkomst väljer du åtkomsttypen (antingen Tillåt åtkomst eller Neka åtkomst). Om du vill lägga till andra användare som ska ha den valda åtkomsttypen upprepar du steg 4. När du har lagt till användare för den valda åtkomsttypen väljer du knappen OK.

6. Om du vill lägga till användare som har en annan typ av åtkomst upprepar du steg 4 och 5. Annars väljer du OK för att tillämpa ändringarna.

Ange System-Wide personifieringsnivå

Personifieringsnivån, som anges av klienten, avgör hur mycket auktoritet som ges till servern för att agera för klientens räkning. När klienten till exempel har angett sin personifieringsnivå som delegerad kan servern komma åt lokala resurser och fjärrresurser som klienten, och servern kan dölja över flera datorgränser om kamouflagefunktionen har angetts. Information om vilken personifieringsnivå du bör välja finns i Personifieringsnivåer och Maskering.

Om du anger standard personifieringsnivån för hela datorn anger COM vilken personifieringsnivå som ska användas när en viss klient på datorn inte anger någon personifieringsnivå programmatiskt med hjälp av CoInitializeSecurity eller CoSetProxyBlanket.

Ange personifieringsnivån för en dator

1. När Dcomcnfg.exe körs väljer du fliken Standardegenskaper.

2. I listrutan standard personifieringsnivå väljer du önskad personifieringsnivå.

3. Om du vill ange fler egenskaper för datorn väljer du knappen Använd för att tillämpa den nya personifieringsnivån. Annars väljer du OK för att tillämpa ändringarna och avsluta Dcomcnfg.exe.

Ange System-Wide referensspårning

När du aktiverar referensspårning ber du COM att göra ytterligare säkerhetskontroller och hålla reda på information som förhindrar att objekt släpps för tidigt. Tänk på att dessa ytterligare kontroller är dyra. Mer information om referensspårning finns i Referensspårning. Använd följande steg för att aktivera eller inaktivera referensspårning.

Ange referensspårning för en dator

1. När Dcomcnfg.exe körs väljer du fliken Standardegenskaper.

2. Om du vill aktivera (eller inaktivera) referensspårning markerar du (eller avmarkerar) kryssrutan Ange ytterligare säkerhet för referensspårning längst ned på sidan.

3. Om du vill ange fler egenskaper för datorn väljer du knappen Använd för att tillämpa den nya inställningen. Annars väljer du OK för att tillämpa ändringarna och avsluta Dcomcnfg.exe.

Aktivera och inaktivera DCOM

När en dator ingår i ett nätverk gör DCOM-trådprotokollet att COM-objekt på datorn kan kommunicera med COM-objekt på andra datorer. Du kan inaktivera DCOM för en viss dator, men om du gör det inaktiveras all kommunikation mellan objekt på datorn och objekt på andra datorer.

Att inaktivera DCOM på en dator har ingen effekt på lokala COM-objekt. COM söker fortfarande efter startbehörigheter som du har angett. Om inga startbehörigheter har angetts används standardstartbehörigheter. Även om du inaktiverar DCOM, om en användare har fysisk åtkomst till datorn, kan de starta en server på datorn om du inte anger startbehörigheter för att inte tillåta det.

Notera

Om du inaktiverar DCOM på en fjärrdator kommer du inte att kunna fjärråtkomst till datorn efteråt för att återaktivera DCOM. Om du vill återaktivera DCOM behöver du fysisk åtkomst till datorn.

 

Om du vill aktivera (eller inaktivera) DCOM manuellt för en dator

1. Kör Dcomcnfg.exe.

2. Välj fliken Standardegenskaper.

3. Markera (eller avmarkera) kryssrutan Aktivera distribuerad COM på den här datorn.

4. Om du vill ange fler egenskaper för datorn klickar du på knappen Använd för att aktivera (eller inaktivera) DCOM. Annars klickar du på OK för att tillämpa ändringarna och avsluta Dcomcnfg.exe.

Relaterade ämnen

Inställning av processomfattande säkerhets