原則 CSP - ADMX_DCOM
提示
此 CSP 包含 ADMX 支持的原則,需要特殊 SyncML 格式才能啟用或停用。 您必須在 SyncML 中將資料型態指定為 <Format>chr</Format>。 如需詳細資訊,請 參閱瞭解 ADMX 支持的原則。
SyncML 的承載必須是 XML 編碼;針對此 XML 編碼,您可以使用各種在線編碼器。 若要避免編碼承載,如果您的 MDM 支援 CDATA,您可以使用 CDATA。 如需詳細資訊,請參閱 CDATA 區段。
DCOMActivationSecurityCheckAllowLocalList
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 2004 [10.0.19041.1202] 和更新版本 ✅Windows 10,版本 2009 [10.0.19042.1202] 和更新版本 ✅Windows 10 版本 21H1 [10.0.19043.1202] 和更新版本 ✅Windows 11 版本 21H2 [10.0.22000] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/ADMX_DCOM/DCOMActivationSecurityCheckAllowLocalList
可讓您指定本機計算機系統管理員可以補充 [定義啟用安全性檢查豁免] 清單。
如果您啟用此原則設定,且 DCOM 在啟用) 時,在 [定義啟用安全性檢查豁免] 原則 (中, (app) id 找不到 DCOM 伺服器應用程式識別碼的明確專案,DCOM 將會在本機設定的清單中尋找專案。
如果您停用此原則設定,DCOM 將不會查看本機設定的DCOM啟用安全性檢查豁免清單。
如果您未設定此原則設定,DCOM 只會在未設定[定義啟用安全性檢查豁免] 原則的情況下,查看本機設定的豁免清單。
注意 此原則設定適用於信任區域中的所有網站。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
提示
這是 ADMX 支持的原則,而且需要 SyncML 格式才能進行設定。 如需 SyncML 格式的範例,請參閱 啟用原則。
ADMX 對應:
| 名稱 | 值 |
|---|---|
| 名稱 | DCOMActivationSecurityCheckAllowLocalList |
| 易記名稱 | 允許本機啟用安全性檢查豁免 |
| 位置 | [電腦設定] |
| 路徑 | 系統 > 分散式 COM > 應用程式相容性設定 |
| 登錄機碼名稱 | Software\Policies\Microsoft\Windows NT\DCOM\AppCompat |
| 登錄值名稱 | AllowLocalActivationSecurityCheckExemptionList |
| ADMX 檔案名稱 | DCOM.admx |
DCOMActivationSecurityCheckExemptionList
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 2004 [10.0.19041.1202] 和更新版本 ✅Windows 10,版本 2009 [10.0.19042.1202] 和更新版本 ✅Windows 10 版本 21H1 [10.0.19043.1202] 和更新版本 ✅Windows 11 版本 21H2 [10.0.22000] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/ADMX_DCOM/DCOMActivationSecurityCheckExemptionList
可讓您檢視及變更DCOM伺服器應用程式識別碼清單, (免於DCOM啟用安全性檢查的 appids) 。 DCOM 會使用兩個這類清單,一個透過此原則設定 群組原則 設定,另一個透過本機計算機系統管理員的動作設定。 DCOM 會在設定此原則設定時忽略第二個清單,除非已啟用 [允許本機啟用安全性檢查豁免] 原則。
新增至此原則的 DCOM 伺服器 appid 必須以大括弧格式列出。 例如: {b5dcb061-cefb-42e0-a1be-e6a6438133fe}。 如果您輸入不存在或格式不正確的 appid DCOM,則會將其新增至清單,而不會檢查是否有錯誤。
如果啟用此原則設定,您可以檢視及變更 群組原則 設定所定義的DCOM啟用安全性檢查豁免清單。 如果您將 appid 新增至此清單,並將其值設定為 1,DCOM 將不會強制執行該 DCOM 伺服器的啟用安全性檢查。 如果您將 appid 新增至此清單,並將其值設定為 0,則不論本機設定為何,DCOM 一律會強制執行該 DCOM 伺服器的啟用安全性檢查。
如果您停用此原則設定,則會刪除 群組原則 定義的 appid 豁免清單,並使用本機電腦系統管理員所定義的清單。
如果您未設定此原則設定,則會使用本機計算機系統管理員所定義的 appid 豁免清單。
注意
DCOM 啟用安全性檢查會在 DCOM 伺服器進程啟動之後,但在物件啟用要求分派至伺服器進程之前完成。 如果 DCOM 伺服器的自訂啟動許可權安全描述符存在,或是針對設定的預設值執行此存取檢查。
如果 DCOM 伺服器的自定義啟動許可權包含明確的 DENY 專案,這可能表示在 DCOM 伺服器進程啟動並執行之後,這類指定使用者先前成功的物件啟用現在可能會失敗。 在此情況下,適當的動作是針對正確的安全性設定重新設定DCOM伺服器的自定義啟動許可權設定,但此原則設定可在短期使用作為應用程式相容性部署輔助功能。
新增至此豁免清單的 DCOM 伺服器只有在其自定義啟動許可權未包含任何使用者或群組的特定 LocalLaunch、RemoteLaunch、LocalActivate 或 RemoteActivate 授與或拒絕專案時,才會豁免。 另請注意,如果存在,新增至此清單的DCOM Server Appid豁免將同時套用至伺服器的32位和64位版本。
注意
此原則設定適用於信任區域中的所有網站。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
提示
這是 ADMX 支持的原則,而且需要 SyncML 格式才能進行設定。 如需 SyncML 格式的範例,請參閱 啟用原則。
ADMX 對應:
| 名稱 | 值 |
|---|---|
| 名稱 | DCOMActivationSecurityCheckExemptionList |
| 易記名稱 | 定義啟用安全性檢查豁免 |
| 位置 | [電腦設定] |
| 路徑 | 系統 > 分散式 COM > 應用程式相容性設定 |
| 登錄機碼名稱 | Software\Policies\Microsoft\Windows NT\DCOM\AppCompat |
| 登錄值名稱 | ListBox_Support_ActivationSecurityCheckExemptionList |
| ADMX 檔案名稱 | DCOM.admx |
相關文章
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應