Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Das Ändern der systemweiten Sicherheitseinstellungen wirkt sich auf alle COM-Serveranwendungen aus, die keine eigene prozessweite Sicherheit festlegen. Dies kann verhindern, dass solche Anwendungen ordnungsgemäß funktionieren. Wenn Sie die systemweiten Sicherheitseinstellungen so ändern, dass sie sich auf die Sicherheitseinstellungen für eine bestimmte COM-Anwendung auswirken, sollten Sie stattdessen die prozessweiten Sicherheitseinstellungen für diese bestimmte COM-Anwendung ändern. Weitere Informationen zum Festlegen der prozessweiten Sicherheit finden Sie unter "Prozessweite Sicherheit festlegen".
Wenn Sie möchten, dass alle Anwendungen auf einem Computer, die keine eigene Sicherheit bereitstellen, dieselben Standardsicherheitseinstellungen gemeinsam nutzen, würden Sie sicherheit auf systemweiter Basis festlegen. Die Verwendung von Dcomcnfg.exe erleichtert das Festlegen von Standardwerten in der Registrierung, die für alle Anwendungen auf einem Computer gelten.
Es ist wichtig zu verstehen, dass, wenn der Client oder Server CoInitializeSecurity explizit aufruft, um prozessweite Sicherheit festzulegen, die Standardeinstellungen in der Registrierung ignoriert werden und die Parameter für CoInitializeSecurity stattdessen für die Sicherheitseinstellungen für den Prozess verwendet werden. Wenn Sie auch Dcomcnfg.exe verwenden, um Sicherheitseinstellungen für einen bestimmten Prozess anzugeben, werden die Standardcomputereinstellungen durch die Einstellungen für den Prozess außer Kraft gesetzt.
Wenn Sie die systemweite Sicherheit aktivieren, müssen Sie die Authentifizierungsebene auf einen anderen Wert als "None" festlegen, und Sie müssen Start- und Zugriffsberechtigungen festlegen. Sie haben die Möglichkeit, die Standard-Impersonierungsebene festzulegen und auch die Referenznachverfolgung zu aktivieren. Die folgenden Themen enthalten schrittweise Verfahren:
- Festlegen System-Wide Standardauthentifizierungsebene
- Festlegen von systemweiten Startberechtigungen
- Systemweite Zugriffsberechtigungen festlegen
- Festlegen der systemweiten Impersonierungsebene
- Systemweite Referenzverfolgung festlegen
- Aktivieren und Deaktivieren von DCOM
- Verwandte Themen
Festlegen System-Wide Standardauthentifizierungsebene
Die Authentifizierungsebene wird verwendet, um COM mitzuteilen, auf welcher Ebene Sie den Client authentifizieren möchten. Diese Ebenen bieten verschiedene Schutzebenen, von keinem Schutz bis hin zur vollständigen Verschlüsselung. Um die Sicherheit für einen Computer zu aktivieren, müssen Sie eine andere Authentifizierungsstufe als "Keine" auswählen. Sie können eine solche Einstellung mit Dcomcnfg.exeauswählen, indem Sie die folgenden Schritte ausführen.
So legen Sie die Authentifizierungsebene auf systemweiter Basis fest
Führen Sie "Dcomcnfg.exe" aus.
Wählen Sie die Registerkarte "Standardeigenschaften " aus.
Wählen Sie im Listenfeld "Standardauthentifizierungsebene " einen anderen Wert als (Keine) aus.
Wenn Sie weitere Eigenschaften für den Computer definieren möchten, klicken Sie auf die Schaltfläche "Übernehmen", um die neue Authentifizierungsstufe anzuwenden. Klicken Sie andernfalls auf "OK ", um die Änderungen anzuwenden und Dcomcnfg.exezu beenden.
Festlegen von systemweiten Startberechtigungen
Die Startberechtigungen, die Sie mit Dcomcnfg.exe festlegen, bestimmen eine Liste von Benutzern, denen jeweils explizit die Berechtigung erteilt oder verweigert wird, einen Server zu starten, der keine eigenen Startberechtigungseinstellungen hat. Beim Festlegen von Startberechtigungen können Sie einen oder mehrere Benutzer oder Gruppen aus dieser Liste hinzufügen oder entfernen. Für jeden Benutzer, den Sie hinzufügen, müssen Sie angeben, ob dem Benutzer die Startberechtigung erteilt oder verweigert wird.
So legen Sie Startberechtigungen für einen Computer fest
Wählen Sie auf der Seite " Standardsicherheitseigenschaft " in Dcomcnfg.exedie Schaltfläche " Standard bearbeiten " im Bereich "Standardstartberechtigungen" aus.
Um Benutzer oder Gruppen zu entfernen, wählen Sie den Benutzer oder die Gruppe aus, den Sie entfernen möchten, und wählen Sie die Schaltfläche "Entfernen " aus. Der ausgewählte Benutzer oder die ausgewählte Gruppe wird nicht mehr im Listenfeld angezeigt. Wenn Sie mit dem Entfernen von Benutzern und Gruppen fertig sind, wählen Sie "OK" aus.
Wenn Sie einen Benutzer oder eine Gruppe hinzufügen möchten, wählen Sie die Schaltfläche "Hinzufügen " aus.
Wenn Sie den vollqualifizierten Benutzernamen kennen, den Sie hinzufügen möchten, geben Sie ihn in das Textfeld "Namen hinzufügen " ein. Wenn Sie den Benutzernamen nicht kennen, lesen Sie " Setting Processwide Security Using DCOMCNFG ", um ihn zu finden. Wenn Sie den Benutzernamen gefunden haben, wählen Sie den Benutzer oder die Gruppe aus dem Listenfeld "Namen " und dann die Schaltfläche "Hinzufügen " aus.
Wählen Sie im Listenfeld "Access-Typ " den Zugriffstyp (entweder "Start zulassen " oder " Starten verweigern") aus. Wiederholen Sie Schritt 4, um weitere Benutzer hinzuzufügen, die ebenfalls über den ausgewählten Zugriffstyp verfügen. Wenn Sie das Hinzufügen von Benutzern für den ausgewählten Zugriffstyp abgeschlossen haben, wählen Sie die Schaltfläche "OK " aus.
Wenn Sie Benutzer hinzufügen möchten, die über einen anderen Zugriffstyp verfügen, wiederholen Sie die Schritte 4 und 5. Wählen Sie andernfalls "OK " aus, um die Änderungen anzuwenden.
Systemweite Zugriffsberechtigungen festlegen
mit Dcomcnfg.exe können Sie Zugriffsberechtigungen festlegen, um die Liste der Benutzer zu steuern, denen der Zugriff auf die Methoden dieser Server gewährt oder verweigert wird, die keine eigenen Zugriffsberechtigungen bereitstellen. Sie können der Liste Benutzer oder Gruppen hinzufügen und angeben, ob Zugriffsberechtigungen erteilt oder verweigert werden. Sie können auch Benutzer aus der Liste entfernen.
Beim Festlegen von Zugriffsberechtigungen müssen Sie sicherstellen, dass SYSTEM in der Liste der Benutzer enthalten ist, denen Der Zugriff gewährt wurde. Wenn Sie Allen Zugriffsberechtigungen erteilt haben, wird SYSTEM implizit eingeschlossen.
Der Vorgang zum Festlegen von Zugriffsberechtigungen für einen Computer ähnelt dem Festlegen von Startberechtigungen. Die folgenden Schritte sollten ausgeführt werden.
So legen Sie Zugriffsberechtigungen für einen Computer fest
Wählen Sie auf der Seite " Standardsicherheitseigenschaft " in Dcomcnfg.exedie Schaltfläche " Standard bearbeiten " im Bereich "Standardzugriffsberechtigungen" aus.
Um Benutzer oder Gruppen zu entfernen, wählen Sie den Benutzer oder die Gruppe aus, den Sie entfernen möchten, und wählen Sie die Schaltfläche "Entfernen " aus. Der ausgewählte Benutzer oder die ausgewählte Gruppe wird nicht mehr im Listenfeld angezeigt. Wenn Sie das Entfernen von Benutzern und Gruppen abgeschlossen haben, wählen Sie "OK" aus.
Wenn Sie einen Benutzer oder eine Gruppe hinzufügen möchten, wählen Sie die Schaltfläche "Hinzufügen " aus.
Wenn Sie den vollqualifizierten Benutzernamen kennen, den Sie hinzufügen möchten, geben Sie ihn in das Textfeld "Namen hinzufügen " ein. Wenn Sie den Benutzernamen nicht kennen, lesen Sie die Einstellung der prozessweiten Sicherheit mithilfe von DCOMCNFG , um ihn zu finden. Wenn Sie den Benutzernamen gefunden haben, wählen Sie den Benutzer oder die Gruppe aus dem Listenfeld "Namen " und dann die Schaltfläche "Hinzufügen " aus.
Wählen Sie im Listenfeld "Access-Typ " den Zugriffstyp (entweder "Zugriff zulassen " oder "Zugriff verweigern") aus. Wiederholen Sie Schritt 4, um weitere Benutzer hinzuzufügen, die über den ausgewählten Zugriffstyp verfügen. Wenn Sie das Hinzufügen von Benutzern für den ausgewählten Zugriffstyp abgeschlossen haben, wählen Sie die Schaltfläche "OK " aus.
Wenn Sie Benutzer hinzufügen möchten, die über einen anderen Zugriffstyp verfügen, wiederholen Sie die Schritte 4 und 5. Wählen Sie andernfalls "OK " aus, um die Änderungen anzuwenden.
Festlegen System-Wide Identitätswechselebene
Die vom Client festgelegte Identitätswechselebene bestimmt den Umfang der Autorität, die dem Server zugewiesen wird, um im Auftrag des Clients zu handeln. Wenn der Client beispielsweise seine Identitätswechselstufe auf Delegierung festgelegt hat, kann der Server als Client auf lokale und Remoteressourcen zugreifen und über mehrere Computergrenzen hinweg arbeiten, wenn die Verschleierungsfunktion aktiviert ist. Informationen zur Bestimmung der Identitätswechselebene, die Sie auswählen sollten, finden Sie unter Identitätswechselebenen und Cloaking.
Durch Festlegen der Standardidentitätswechselstufe für den gesamten Computer wird COM mitgeteilt, welche Identitätswechselebene verwendet werden soll, wenn ein bestimmter Client auf dem Computer keine Identitätswechselebene programmgesteuert mithilfe von CoInitializeSecurity oder CoSetProxyBlanket angibt.
So legen Sie die Impersonierungsstufe für einen Computer fest
Wenn Dcomcnfg.exe ausgeführt wird, wählen Sie die Registerkarte "Standardeigenschaften " aus.
Wählen Sie im Listenfeld "Standard-Identitätswechselebene" Ihre gewünschte Identitätswechselebene aus.
Wenn Sie weitere Eigenschaften für den Computer festlegen möchten, wählen Sie die Schaltfläche Übernehmen aus, um das neue Identitätswechselniveau anzuwenden. Wählen Sie andernfalls OK aus, um die Änderungen anzuwenden und Dcomcnfg.exezu beenden.
Festlegen der systemweiten Verweisnachverfolgung
Wenn Sie die Referenznachverfolgung aktivieren, bitten Sie COM, zusätzliche Sicherheitsüberprüfungen durchzuführen und Informationen nachzuverfolgen, die die Veröffentlichung von Objekten zu früh hindern. Beachten Sie, dass diese zusätzlichen Prüfungen teuer sind. Weitere Informationen zur Referenznachverfolgung finden Sie unter "Referenznachverfolgung". Führen Sie die folgenden Schritte aus, um die Verweisnachverfolgung zu aktivieren oder zu deaktivieren.
So richten Sie die Referenznachverfolgung für einen Computer ein
Wenn Dcomcnfg.exe ausgeführt wird, wählen Sie die Registerkarte "Standardeigenschaften " aus.
Um die Referenznachverfolgung zu aktivieren (oder zu deaktivieren), aktivieren (oder deaktivieren) Sie das Kontrollkästchen "Zusätzliche Sicherheit für referenzbezogene Nachverfolgung bereitstellen " am unteren Rand der Seite.
Wenn Sie weitere Eigenschaften für den Computer festlegen möchten, wählen Sie die Schaltfläche "Übernehmen" aus, um die neue Einstellung anzuwenden. Wählen Sie andernfalls OK aus, um die Änderungen anzuwenden und Dcomcnfg.exezu beenden.
Aktivieren und Deaktivieren von DCOM
Wenn ein Computer Teil eines Netzwerks ist, ermöglicht das DCOM-Drahtprotokoll COM-Objekte auf diesem Computer die Kommunikation mit COM-Objekten auf anderen Computern. Sie können DCOM für einen bestimmten Computer deaktivieren. Dadurch wird jedoch die gesamte Kommunikation zwischen Objekten auf diesem Computer und Objekten auf anderen Computern deaktiviert.
Das Deaktivieren von DCOM auf einem Computer hat keine Auswirkungen auf lokale COM-Objekte. COM sucht weiterhin nach Startberechtigungen, die Sie angegeben haben. Wenn keine Startberechtigungen angegeben wurden, werden standardmäßige Startberechtigungen verwendet. Selbst wenn Sie DCOM deaktivieren, kann ein Benutzer, der physischen Zugriff auf den Computer hat, einen Server auf dem Computer starten, es sei denn, Sie legen die Startberechtigungen fest, um ihn nicht zuzulassen.
Hinweis
Wenn Sie DCOM auf einem Remotecomputer deaktivieren, können Sie danach nicht remote auf diesen Computer zugreifen, um DCOM erneut zu aktivieren. Um DCOM wieder zu aktivieren, benötigen Sie physischen Zugriff auf diesen Computer.
So aktivieren (oder deaktivieren) Sie DCOM für einen Computer manuell
Führen Sie "Dcomcnfg.exe" aus.
Wählen Sie die Registerkarte "Standardeigenschaften " aus.
Aktivieren (oder deaktivieren) Sie das Kontrollkästchen "Verteiltes COM auf diesem Computer aktivieren ".
Wenn Sie weitere Eigenschaften für den Computer festlegen möchten, klicken Sie auf die Schaltfläche "Übernehmen", um DCOM zu aktivieren (oder zu deaktivieren). Klicken Sie andernfalls auf "OK ", um die Änderungen anzuwenden und Dcomcnfg.exezu beenden.
Zugehörige Themen