共用方式為

使用 DCOMCNFG 設定全系統安全性

  • 發行項

變更全系統的安全性設定會影響未設定其全進程安全性的所有 COM 伺服器應用程式。 這可能會防止這類應用程式正常運作。 如果您要變更全系統的安全性設定,以影響特定 COM 應用程式的安全性設定,則您應該改為變更該特定 COM 應用程式的全進程安全性設定。 如需設定全進程安全性的詳細資訊,請參閱 設定全進程安全性

當您想要一部沒有提供自己安全性的計算機上的所有應用程式共用相同的預設安全性設定時,您會以全系統為基礎設定安全性。 使用 Dcomcnfg.exe可讓您輕鬆地在登錄中設定套用至計算機上所有應用程式的預設值。

請務必瞭解,如果用戶端或伺服器明確呼叫 CoInitializeSecurity 來設定全進程安全性,則會忽略登錄中的預設設定,而 CoInitializeSecurity 的參數將會改為用於進程的安全性設定。 此外,如果您使用Dcomcnfg.exe來指定特定進程的安全性設定,則進程設定會覆寫預設計算機設定。

啟用全系統安全性時,您必須將驗證層級設定為 None 以外的值,而且您必須設定啟動和訪問許可權。 您可以選擇設定預設模擬層級,也可以啟用參考追蹤。 下列主題提供逐步程式:

設定全系統的預設驗證層級

驗證層級可用來告訴 COM 您希望客戶端驗證的層級。 這些層級提供各種層級的保護,從無保護到完整加密。 若要啟用計算機的安全性,您必須選擇 [無] 以外的驗證層級。 您可以完成下列步驟,使用Dcomcnfg.exe來選擇這類設定。

若要以全系統為基礎設定驗證層級

  1. 執行 Dcomcnfg.exe。

  2. 選擇 [ 預設屬性] 索引標籤。

  3. 從 [預設驗證層級] 列表框中,選擇 [無] 以外的值。

  4. 如果您要為計算機設定更多屬性,請按兩下 [ 套用 ] 按鈕以套用新的驗證層級。 否則,按兩下 [ 確定 ] 以套用變更並結束Dcomcnfg.exe。

設定全系統啟動許可權

您使用 Dcomcnfg.exe設定的啟動許可權會決定一份使用者清單,其中每一項都會明確授與或拒絕啟動任何未提供其啟動許可權設定的伺服器。 設定啟動許可權時,您可以從此清單中新增或移除一或多個使用者或群組。 針對您新增的每個使用者,您必須指定使用者是否被授與或拒絕啟動許可權。

設定電腦的啟動許可權

  1. 在 Dcomcnfg.exe 的 [預設安全性] 屬性頁面上,選擇 [預設啟動許可權] 區域中的 [編輯預設] 按鈕。

  2. 若要移除使用者或群組,請選取您想要移除的使用者或群組,然後選擇 [ 移除 ] 按鈕。 選取的使用者或群組將不再出現在清單框中。 當您完成移除使用者和群組之後,請選擇 [ 確定]。

  3. 如果您想要新增使用者或群組,請選擇 [ 新增 ] 按鈕。

  4. 如果您知道要新增的完整用戶名稱,請在 [ 新增名稱 ] 文本框中輸入它。 如果您不知道使用者名稱,請參閱 使用 DCOMCNFG 設定全進程安全性來尋找它。 當您找到使用者名稱時,請從 [名稱 ] 清單框中選取使用者或群組,然後選擇 [ 新增 ] 按鈕。

  5. 從 [ 存取 類型] 列表框中,選取存取類型( 允許啟動拒絕啟動)。 若要新增也將具有所選取類型的其他使用者,請重複步驟 4。 當您完成為選取的存取類型新增使用者時,請選擇 [ 確定] 按鈕。

  6. 若要新增具有不同存取類型的使用者,請重複步驟 4 和 5。 否則,請選擇 [ 確定 ] 以套用變更。

設定全系統訪問許可權

Dcomcnfg.exe可讓您設定訪問許可權,以控制授與或拒絕存取那些未提供自己訪問許可權之伺服器方法的用戶清單。 您可以將使用者或群組新增至清單,指定是否授與或拒絕訪問許可權。 您也可以從清單中移除使用者。

設定存取權限時,您必須確定系統包含在授與存取權的使用者清單中。 如果您已將訪問許可權授與所有人,系統會隱含包含 SYSTEM。

設定電腦訪問許可權的程式類似於設定啟動許可權。 應採取下列步驟。

設定計算機的訪問許可權

  1. 在 Dcomcnfg.exe 的 [預設安全性] 屬性頁面上,選擇 [預設存取權限] 區域中的 [編輯預設] 按鈕。

  2. 若要移除使用者或群組,請選取您想要移除的使用者或群組,然後選擇 [ 移除 ] 按鈕。 選取的使用者或群組將不再出現在清單框中。 當您完成移除使用者和群組之後,請選擇 [ 確定]。

  3. 如果您想要新增使用者或群組,請選擇 [ 新增 ] 按鈕。

  4. 如果您知道要新增的完整用戶名稱,請在 [ 新增名稱 ] 文本框中輸入它。 如果您不知道使用者名稱,請參閱 使用 DCOMCNFG 設定全進程安全性來尋找它。 當您找到使用者名稱時,請從 [名稱 ] 清單框中選取使用者或群組,然後選擇 [ 新增 ] 按鈕。

  5. 從 [ 存取 類型] 列表框中,選取存取類型( 允許存取拒絕存取)。 若要新增將具有所選取類型的其他使用者,請重複步驟 4。 當您完成為選取的存取類型新增使用者時,請選擇 [ 確定] 按鈕。

  6. 若要新增具有不同存取類型的使用者,請重複步驟 4 和 5。 否則,請選擇 [ 確定 ] 以套用變更。

設定全系統模擬層級

用戶端所設定的模擬層級會決定提供給伺服器的授權數量,以代表用戶端採取行動。 例如,當用戶端設定其模擬層級來委派時,伺服器可以存取本機和遠端資源做為用戶端,如果設定了遮蓋功能,伺服器就可以遮蓋多個計算機界限。 若要協助判斷您應該選擇的模擬層級,請參閱 模擬層級蓋。

設定整個計算機的預設模擬層級會告訴 COM 當電腦上的特定用戶端未使用 CoInitializeSecurity CoSetProxyBlanket 以程式設計方式指定模擬層級時,要使用的模擬層級。

設定計算機的模擬層級

  1. 執行Dcomcnfg.exe后,選擇 [ 預設屬性] 索引標籤。

  2. 從 [ 預設模擬層級 ] 列表框中,選擇您想要的模擬層級。

  3. 如果您要為電腦設定更多屬性,請選擇 [ 套用 ] 按鈕以套用新的模擬層級。 否則,請選擇 [ 確定 ] 以套用變更並結束Dcomcnfg.exe。

設定全系統參考追蹤

當您啟用參考追蹤時,您會要求 COM 進行額外的安全性檢查,並追蹤會讓物件太早釋放的資訊。 請記住,這些額外的檢查成本很高。 如需參考追蹤的詳細資訊,請參閱 參考追蹤。 使用下列步驟來啟用或停用參考追蹤。

設定計算機的參考追蹤

  1. 執行Dcomcnfg.exe后,選擇 [ 預設屬性] 索引標籤。

  2. 若要啟用 (或停用) 參考追蹤,請選取 [或清除] 頁面底部附近的 [提供參考追蹤 的額外安全性] 複選框。

  3. 如果您要為電腦設定更多屬性,請選擇 [ 套用 ] 按鈕以套用新的設定。 否則,請選擇 [ 確定 ] 以套用變更並結束Dcomcnfg.exe。

啟用和停用DCOM

當計算機是網路的一部分時,DCOM 有線通訊協定可讓該電腦上的 COM 物件與其他電腦上的 COM 物件通訊。 您可以停用特定計算機的 DCOM,但這樣做會停用該電腦上物件與其他計算機上對象之間的所有通訊。

在電腦上停用 DCOM 不會影響本機 COM 物件。 COM 仍然會尋找您已指定的啟動許可權。 如果未指定啟動許可權,則會使用預設啟動許可權。 即使您停用 DCOM,如果使用者有計算機的實體存取權,除非設定啟動許可權不允許,否則他們仍可在計算機上啟動伺服器。

注意

如果您在遠端電腦上停用 DCOM,您之後將無法遠端存取該電腦,以重新啟用 DCOM。 若要重新啟用 DCOM,您將需要該電腦的實體存取權。

 

若要為計算機手動啟用 (或停用) DCOM

  1. 執行 Dcomcnfg.exe。

  2. 選擇 [ 預設內容] 索引 標籤。

  3. 選取 [或清除] [ 在此計算機上 啟用分散式 COM] 複選框。

  4. 如果您要為電腦設定更多屬性,請按兩下 [ 套用 ] 按鈕以啟用 (或停用) DCOM。 否則,按兩下 [ 確定 ] 以套用變更並結束Dcomcnfg.exe。

設定全進程安全性