Gewusst wie: Gewähren von Berechtigungen für Ordner und Assemblys (2003 System)
Aktualisiert: November 2007
Betrifft |
---|
Die Informationen in diesem Thema gelten nur für die angegebenen Visual Studio Tools for Office-Projekte und Versionen von Microsoft Office. Projekttyp
Microsoft Office-Version
Weitere Informationen hierzu finden Sie unter Verfügbare Features nach Anwendung und Projekttyp. |
Mit folgenden Prozeduren können einer Assembly oder einem Ordner in einer Visual Studio Tools for Office-Projektmappe Berechtigungen für eine volle Vertrauenswürdigkeit gewährt werden. Normalerweise gewähren Sie Berechtigungen für eine bestimmte Assembly. Verfügen Sie über mehrere Assemblys an einem sicheren Speicherort, können Sie dem entsprechenden Ordner volle Vertrauenswürdigkeit gewähren. Wenn Sie einem Ordner Vertrauenswürdigkeit gewähren, werden sämtliche Assemblys in diesem Ordner und dessen Unterordnern ebenfalls als vertrauenswürdig eingestuft.
Es gibt drei Möglichkeiten, Berechtigungen für Ordner und Assemblys in Office-Projektmappen zu gewähren:
Mit der Vertrauenswürdiger Assemblyspeicherort-Eigenschaft in Visual Studio. (Nur sinnvoll während der Entwicklung)
Die Vertrauenswürdiger Assemblyspeicherort-Eigenschaft funktioniert nur während der Entwicklung; sie hat keine Bedeutung für Endbenutzer. Aus diesem Grund können Sie diese Methode nicht für die Bereitstellung verwenden. Weitere Informationen finden Sie unter Eigenschaften in Visual Studio Tools for Office-Projekte.
Verwenden des Tools Microsoft .NET Framework 2.0-Konfiguration.
Dieses Tool stellt eine grafische Benutzeroberfläche für die Arbeit mit Sicherheitsrichtlinien bereit. Es ist nicht im Lieferumfang von Visual Studio 2008 enthalten. Sie können das Tool als Teil des SDK für .NET Framework 2.0 vom Microsoft Download Center herunterladen. Ein Beispiel dazu finden Sie unter .NET Framework 2.0 Software Development Kit (SDK) (x86).
Verwenden des Sicherheitsrichtlinientools für den Codezugriff (Caspol.exe).
Dieses Tool ist eine Befehlszeilenschnittstelle für die Arbeit mit Sicherheitsrichtlinien.
Hinweis: |
---|
Hierbei handelt es sich um die grundlegenden Schritte zum Einrichten Ihrer Sicherheitsrichtlinien, um Assemblys zu entwickeln und zu testen. Gewähren Sie Assemblys und Verzeichnissen nicht auf diese Weise Vertrauenswürdigkeit, wenn Sie nicht genau wissen, ob diese sicher sind. Weitere Informationen zum Festlegen der Sicherheitsrichtlinie finden Sie unter Bereitstellen der Sicherheitsrichtlinien und Konfigurieren von Codegruppen mit dem .NET Framework-Konfigurationstool (Mscorcfg.msc). |
Verwenden der Vertrauenswürdiger Assemblyspeicherort-Eigenschaft.
Wenn Sie ein Projekt erstellen, wird standardmäßig volle Vertrauenswürdigkeit auf Grundlage des Speicherorts gewährt. Wenn sich ein vertrauenswürdiger Assemblyspeicherort geändert hat, können Sie erneut die Standardeinstellungen anwenden.
So gewähren Sie volle Vertrauenswürdigkeit für Projektassemblys auf dem Entwicklungscomputer
Wählen Sie in Visual Studio den Projektknoten im Projektmappen-Explorer aus.
Im Eigenschaften-Fenster wählen Sie Vertrauenswürdiger Assemblyspeicherort aus.
Legen Sie die Eigenschaft auf true fest.
Klicken Sie im Menü Erstellen auf Projektmappe erstellen.
Verwenden des .NET Framework 2.0-Konfigurationstools
Für die Installation dieses Tools müssen Sie .NET Framework 2.0 Software Development Kit (SDK) vom Microsoft Download Center herunterladen und installieren.
Die auszuführende Prozedur richtet sich danach, wo sich die Assembly oder der Ordner befindet:
Auf dem lokalen Computer
Auf einem anderen Computer in einem Netzwerk (oder einem zugeordneten Laufwerk)
So gewähren Sie einer Assembly oder einem Ordner auf Ihrem lokalen Computer volle Vertrauenswürdigkeit
Öffnen Sie in der Systemsteuerung das Tool Verwaltung.
Starten Sie Microsoft .NET Framework 2.0-Konfiguration.
Hinweis: Unter Umständen gibt es mehrere Tools, deren Name mit Microsoft .NET Framework beginnt. Stellen Sie sicher, dass das verwendete Konfigurationstool Ihrer Version der Laufzeit entspricht.
Erweitern Sie in der Strukturansicht auf der linken Seite nacheinander .NET Framework 2.0-Konfiguration, Arbeitsplatz, Laufzeitsicherheitsrichtlinie, Benutzer, Codegruppen, All_Code und dann VSTOProjects.
Hinweis: Wenn Sie noch kein Visual Studio Tools for Office-Projekt kompiliert haben, ist auch kein Ordner VSTOProjects vorhanden. Sie können dem All_Code-Stammknoten die neue Codegruppe hinzufügen oder ein Visual Studio Tools for Office-Projekt kompilieren, um den Ordner VSTOProjects automatisch zu erstellen.
Auf der rechten Seite wird eine Beschreibung Codegruppe VSTOProjects angezeigt, die im unteren Teil einen Bereich Aufgaben enthält.
Klicken Sie im Bereich Aufgaben auf Untergeordnete Codegruppe hinzufügen.
Der Assistent Codegruppe erstellen wird gestartet.
Wählen Sie Eine neue Codegruppe erstellen aus, und geben Sie einen Namen und eine Beschreibung als Kennzeichnung des Projekts ein. Klicken Sie auf Weiter.
Klicken Sie in der Liste Wählen Sie den Bedingungstyp für die Codegruppe aus auf den Eintrag URL.
Geben Sie im Feld URL den vollständigen Pfad der Assembly oder den Pfad des Ordners Bin für das Projekt gefolgt von einem Sternchen (*) ein (z. B.: C:\path\ExcelApplication1.dll oder C:\path\ExcelApplication1\bin\*).
Klicken Sie auf Weiter.
Hinweis: Wenn Sie den Pfad des Bin-Ordners eingeben, wird allen Assemblys in diesem Ordner und all seinen Unterordnern auf Ihrem Computer volle Vertrauenswürdigkeit gewährt. Stellen Sie sicher, dass Unbefugte nicht auf voll vertrauenswürdige Ordner zugreifen können, da andernfalls eine bösartige Assembly in den Ordner eingefügt und diese Assembly mit voller Vertrauenswürdigkeit ausgeführt werden könnte.
Vorsicht: Gewähren Sie keine Berechtigungen für eine komplette Festplatte (etwas C:\*) oder für allgemeine Ordner wie Eigene Dateien, denn damit erteilen Sie möglicherweise Berechtigungen für zwischengespeicherte Assemblys aus dem Internet oder aus E-Mail-Nachrichten. Gewähren Sie nur Berechtigungen für spezifische Projektordner mit Assemblys, von denen Sie wissen, dass deren Ausführung sicher ist.
Wählen Sie erst Vorhandenen Berechtigungssatz verwenden aus und dann in der Liste den Eintrag FullTrust.
Klicken Sie auf Weiter.
Klicken Sie auf Fertig stellen.
So gewähren Sie einer Assembly oder einem Ordner auf einem Netzwerkcomputer oder einem verbunden Netzlaufwerk volle Vertrauenswürdigkeit
Öffnen Sie in der Systemsteuerung das Tool Verwaltung.
Starten Sie Microsoft .NET Framework 2.0-Konfiguration.
Hinweis: Unter Umständen gibt es mehrere Tools, deren Name mit Microsoft .NET Framework beginnt. Stellen Sie sicher, dass das verwendete Konfigurationstool Ihrer Version der Laufzeit entspricht.
Erweitern Sie in der Strukturansicht auf der linken Seite nacheinander .NET Framework 2.0-Konfiguration, Arbeitsplatz, Laufzeitsicherheitsrichtlinie, Computer, Codegruppen und dann All_Code.
Hinweis: Nur als Administrator können Sie einer Assembly oder einem Ordner auf einem Netzwerkcomputer volle Vertrauenswürdigkeit gewähren. Außerdem muss die Vertrauenswürdigkeit auf der Computer-Ebene statt auf der Benutzer-Ebene gewährt werden.
Klicken Sie mit der rechten Maustaste unter All_Code auf LocalIntranet_Zone, und klicken Sie anschließend auf Neu.
Bei diesem Schritt wird davon ausgegangen, dass sich der verwendete Server in der lokalen Intranetzone befindet. Wenn er in Internet Explorer der Zone der vertrauenswürdigen Sites hinzugefügt wurde, klicken Sie stattdessen mit der rechten Maustaste auf Trusted_Zone. Befindet sich die Assembly auf einem verbunden Netzlaufwerk, müssen Sie LocalIntranet_Zone verwenden.
Geben Sie einen Namen und eine Beschreibung als Kennzeichnung des Projekts ein. Klicken Sie auf Weiter.
Klicken Sie in der Liste Wählen Sie den Bedingungstyp für die Codegruppe aus auf den Eintrag URL.
Geben Sie im Feld URL den vollständigen Pfad der Assembly oder den Pfad des Ordners Bin für das Projekt gefolgt von einem Sternchen (*) ein (z. B.: \\ServerName\FolderName\ExcelApplication1.dll oder https://ServerName/FolderName/ExcelApplication1/bin/*).
Klicken Sie auf Weiter.
Hinweis: Wenn Sie den Pfad des Bin-Ordners eingeben, wird allen Assemblys im Ordner und allen seinen Unterordnern auf Ihrem Computer volle Vertrauenswürdigkeit gewährt. Solch umfassende Berechtigungen sollten Sie nur erteilen, wenn Sie genau wissen, dass diese Ordner sicher sind. Ansonsten stellen sie ein Sicherheitsrisiko dar.
Wählen Sie erst Vorhandenen Berechtigungssatz verwenden aus und dann in der Liste den Eintrag FullTrust.
Klicken Sie auf Weiter.
Klicken Sie auf Fertig stellen.
Verwenden des Sicherheitsrichtlinientool für den Codezugriffs ("Caspol.exe")
Volle Vertrauenswürdigkeit können Sie einem Ordner auch über die Eingabeaufforderung gewähren, und zwar mithilfe des Sicherheitsrichtlinientools für den Codezugriff (Caspol.exe). Weitere Informationen zu Caspol.exe finden Sie unter Sicherheitsrichtlinientool für den Codezugriff (Caspol.exe).
Einem Ordner auf Ihrem lokalen Computer können Sie Vertrauenswürdigkeit auf Benutzer-Ebene mit den normalen Benutzerberechtigungen gewähren. Um einem Speicherort im Netzwerk Vertrauenswürdigkeit zu gewähren, benötigen Sie hingegen Administratorrechte. Zudem müssen Sie die Sicherheitsrichtlinien auf Computer-Ebene ändern. Die Ebene der Computer-Richtlinien agiert unabhängig von der Ebene der Benutzer-Richtlinien, und die Ebene der Computer-Richtlinien gewährt der Intranetzone auch dann nicht die volle Vertrauenswürdigkeit, wenn dies in den Benutzer-Richtlinien so festgelegt ist. Die Richtlinienebenen müssen übereinstimmen.
Tipp: |
---|
Geben Sie die Befehle manuell ein. Kopieren und Einfügen der Befehle in die Eingabeaufforderung kann zu der Fehlermeldung Unbekannte Option führen. |
So gewähren Sie einem lokalen Ordner volle Vertrauenswürdigkeit
Geben Sie in der Eingabeaufforderung von Visual Studio folgenden Befehl ein.
caspol -u -ag All_Code -url C:\<FolderName>\<FolderName>\* FullTrust -n "<Name>" -d "<Description>"
So gewähren Sie einem Netzwerkordner volle Vertrauenswürdigkeit
Geben Sie in der Eingabeaufforderung von Visual Studio folgenden Befehl ein.
caspol -m -ag LocalIntranet_Zone -url \\<ServerName>\<FolderName>\* FullTrust -n "<Name>" -d "<Description>"
Weitere Informationen finden Sie unter Gewusst wie: Hinzufügen von Codegruppen mit "Caspol.exe".
Hinweis: |
---|
Nachdem eine Richtlinie bereitgestellt wurde, müssen alle Benutzer, die von der Richtlinienänderung betroffen sind, alle in der Projektmappe verwendeten Office-Anwendungen beenden und neu starten. Erst dann werden die Richtlinienänderungen wirksam. Wenn Microsoft Office Word Teil der Projektmappe ist, müssen die Benutzer auch Microsoft Office Outlook beenden und neu starten. Hat ein Benutzer darüber hinaus ein Dokument oder eine Arbeitsmappe in Internet Explorer geöffnet, wird der Prozess eventuell noch ausgeführt. Vergewissern Sie sich im Windows Task-Manager, dass keine Instanzen der Office-Anwendung vorhanden sind. Andere Anwendungen, die als Host für Office-Anwendungen dienen, können ebenfalls verhindern, dass die neuen Berechtigungen wirksam werden. Wenn die Sicherheitsrichtlinien geändert werden, müssen die Benutzer alle Anwendungen beenden, die Office (als Host oder eigenständig) verwenden. |
Siehe auch
Aufgaben
Gewusst wie: Entfernen von Berechtigungen für Ordner und Assemblys (2003 System)
Konzepte
Sicherheitsanforderungen für die Ausführung von Office-Projektmappen (2003 System)
Empfohlene Vorgehensweisen für die Sicherheit in Office-Projektmappen (2003 System)
Überlegungen zur Sicherheit von Office-Projektmappen