共用方式為

使用 DCOMCNFG 設定全進程安全性

  • 發行項

如果應用程式的安全性需求不同於電腦上的其他應用程式所需的安全性需求,您可能會想要啟用特定應用程式的安全性。 例如,您可能會決定針對需要低層級安全性的應用程式使用全系統設定,同時為特定應用程式設定較高層級的安全性。

不過,有時候不會使用套用至特定應用程式之登錄中的安全性設定。 例如,如果用戶端呼叫 CoSetProxyBlanket 來設定特定介面 Proxy 的安全性,則會覆寫您在登錄中設定的全進程設定Dcomcnfg.exe。 同樣地,如果客戶端或伺服器(或兩者)呼叫 CoInitializeSecurity 來設定進程的安全性,則會忽略登錄中的設定,並改用指定給 CoInitializeSecurity 的參數。

啟用應用程式的安全性時,可能需要修改數個設定。 其中包括驗證層級、位置、啟動許可權、訪問許可權和身分識別。 如需逐步程式,請參閱下列各項:

設定應用程式的驗證層級

若要啟用應用程式的安全性,您必須設定 [無] 以外的驗證層級。 驗證層級會告知 COM 需要多少驗證保護,而且範圍可以從第一次方法呼叫驗證用戶端到完全加密參數狀態。

設定應用程式的驗證層級

  1. 在 Dcomcnfg.exe 的 [ 應用程式 ] 屬性頁面上,選取應用程式,然後按下 [屬性 ] 按鈕(或按兩下選取的應用程式)。

  2. 在 [一般] 頁面上,從 [驗證層級] 列表框中選取 [無] 以外的驗證層級

  3. 如果您要設定此應用程式的其他屬性,請選擇 [ 套用 ] 按鈕以套用新的驗證層級。 如果您已完成此應用程式的設定屬性,而且您想要套用變更,請按兩下 [確定 ]。

設定應用程式的位置

您為應用程式設定的位置會決定應用程式執行所在的電腦。 您可以選擇在資料所在的電腦上、用來設定位置的電腦上,或是在指定的電腦上執行應用程式。

設定應用程式的位置

  1. 執行Dcomcnfg.exe后,從 [應用程式 ] 頁面選取應用程式,然後選擇 [屬性 ] 按鈕(或按兩下選取的應用程式)。

  2. 在 [ 位置] 頁面上,選取一或多個對應至您要應用程式執行位置的複選框。 如果您選取多個複選框,COM 會使用套用的第一個複選框。 如果在伺服器電腦上執行Dcomcnfg.exe,請一律選取 [在此計算機上執行應用程式]。

  3. 如果您要設定此應用程式的其他屬性,請選擇 [ 套用 ] 按鈕以套用新位置。 如果您要完成此應用程式的設定屬性,而且您想要套用變更,請選擇 [確定 ]。

設定應用程式的啟動許可權

透過Dcomcnfg.exe,您可以設定啟動許可權來控制已授與或拒絕啟動特定伺服器之許可權的使用者清單。 您可以將使用者或群組新增至清單,指定是否授與或拒絕訪問許可權。 您也可以從清單中移除使用者。

設定應用程式的啟動許可權

  1. 執行Dcomcnfg.exe后,從 [應用程式 ] 頁面選取應用程式,然後選擇 [屬性 ] 按鈕(或按兩下選取的應用程式)。

  2. 在 [ 安全性 ] 屬性頁面上,選取 [ 使用自定義啟動許可權] 選項按鈕,然後選擇相同區域中的 [編輯 ] 按鈕。

  3. 若要移除使用者或群組,請選取您想要移除的使用者或群組,然後選擇 [ 移除 ] 按鈕。 選取的使用者或群組將不再出現在清單框中。 當您完成移除使用者和群組之後,請選擇 [ 確定]。

  4. 如果您想要新增使用者或群組,請選擇 [ 新增 ] 按鈕。

  5. 如果您知道要新增的完整用戶名稱,請在 [ 新增名稱 ] 文本框中輸入它。 如果您不知道使用者名稱,您可以瀏覽使用者資料庫來尋找它(請參閱下方瀏覽使用者資料庫)。 當您找到使用者名稱時,請從 [名稱 ] 清單框中選取使用者或群組,然後選擇 [ 新增 ] 按鈕。

  6. 從 [ 存取 類型] 列表框中,選取存取類型( 允許啟動拒絕啟動)。 若要新增將具有所選取類型的其他使用者,請重複步驟 5。 當您完成為選取的存取類型新增使用者時,請選擇 [ 確定] 按鈕。

  7. 若要新增將具有不同存取類型的使用者,請重複步驟 5 和 6。 否則,請選擇 [ 確定 ] 以套用變更。

設定應用程式的訪問許可權

透過Dcomcnfg.exe,您可以藉由設定訪問許可權來管理授與或拒絕特定伺服器方法存取權的使用者清單。 您可以將使用者或群組新增至清單,指定是否授與或拒絕訪問許可權。 您也可以從清單中移除使用者。

設定存取權限時,您必須確定系統包含在授與存取權的使用者清單中。 如果您已將訪問許可權授與所有人,系統會隱含包含 SYSTEM。

為應用程式設定訪問許可權的程式類似於設定啟動許可權。 步驟如下。

設定應用程式的訪問許可權

  1. 執行Dcomcnfg.exe后,從 [應用程式 ] 頁面選取應用程式,然後選擇 [屬性 ] 按鈕(或按兩下選取的應用程式)。

  2. 在 [ 安全性 ] 屬性頁面上,選取 [ 使用自定義訪問許可權] 選項按鈕,然後選擇相同區域中的 [編輯 ] 按鈕。

  3. 若要移除使用者或群組,請選取您想要移除的使用者或群組,然後選擇 [ 移除 ] 按鈕。 選取的使用者或群組將不再出現在清單框中。 當您完成移除使用者和群組之後,請選擇 [ 確定]。

  4. 如果您想要新增使用者或群組,請選擇 [ 新增 ] 按鈕。

  5. 如果您知道要新增的完整用戶名稱,請在 [ 新增名稱 ] 文本框中輸入它。 如果您不知道使用者名稱,您可以瀏覽使用者資料庫來尋找它。 當您找到使用者名稱時,請從 [名稱 ] 清單框中選取使用者或群組,然後選擇 [ 新增 ] 按鈕。

  6. 從 [ 存取 類型] 列表框中,選取存取類型( 允許存取拒絕存取)。 若要新增將具有所選取類型的其他使用者,請重複步驟 5。 當您完成為選取的存取類型新增使用者時,請選擇 [ 確定] 按鈕。

  7. 若要新增將具有不同存取類型的使用者,請重複步驟 5 和 6。 否則,請選擇 [ 確定 ] 以套用變更。

設定應用程式的身分識別

應用程式的身分識別是用來執行應用程式的帳戶。 身分識別可以是目前登入的使用者(互動式使用者)、啟動伺服器、指定使用者或服務之用戶端程式的用戶帳戶。 您可以使用Dcomcnfg.exe為應用程式選擇其中一個身分識別。 如需決定要為應用程式設定之身分識別的協助,請參閱 應用程式身分識別。

設定應用程式的身分識別

  1. 執行Dcomcnfg.exe后,從 [應用程式 ] 頁面選取應用程式,然後選擇 [屬性 ] 按鈕(或按兩下選取的應用程式)。

  2. 在 [ 身分 識別] 屬性頁面上,選取您想要之身分識別的選項按鈕。 如果您選擇 [ 此使用者],則必須輸入使用者名稱、密碼和確認的密碼。

  3. 如果您要設定此應用程式的其他屬性,請選擇 [ 套用 ] 按鈕以套用新的身分識別。 如果您要完成此應用程式的設定屬性,而且您想要套用變更,請選擇 [確定 ]。

瀏覽用戶資料庫

當您需要尋找特定使用者的完整使用者名稱時,您會在 Dcomcnfg.exe 中瀏覽使用者資料庫。 例如,您可以瀏覽使用者資料庫,以找出您想要新增以取得存取權或啟動許可權的使用者。

瀏覽用戶資料庫

  1. 在 [ 清單名稱從 ] 列表框中,選取包含您要新增之使用者或群組的網域。

  2. 若要查看屬於所選網域的使用者,請選擇 [ 顯示使用者 ] 按鈕。

  3. 若要查看特定群組的成員,請在 [ 名稱 ] 清單框中選取群組,然後選擇 [ 顯示成員 ] 按鈕。

  4. 如果您找不到您想要新增的使用者或群組,請選擇 [搜尋 ] 按鈕,以顯示 [ 尋找帳戶 ] 對話方塊。 選取您要搜尋的網域(或選取 [全部搜尋]),輸入您要尋找的使用者名稱,然後選擇 [ 搜尋 ] 按鈕。

Dcomcnfg.exe和64位應用程式

在從 Windows XP 到 Windows Server 2008 的 x64 操作系統上,64 位版本的DCOMCNFG.EXE無法正確設定 32 位 DCOM 應用程式以進行遠端啟用。 此行為會導致原本要從遠端啟動的元件改為在本機啟動。 此行為不會發生在 Windows 7 和 Windows Server 2008 R2 和更新版本中。

因應措施是使用 32 位版本的 DCOMCNFG。 執行 32 位版本的 mmc.exe,並使用下列命令行載入 32 位版本的元件服務嵌入式管理單元。

C:\WINDOWS\SysWOW64>mmc comexp.msc /32

32 位版本的元件服務會正確註冊 32 位 DCOM 應用程式以進行遠端啟用。

設定全進程安全性