Festlegen Process-Wide Sicherheit mithilfe von DCOMCNFG

Möglicherweise möchten Sie die Sicherheit für eine bestimmte Anwendung aktivieren, wenn eine Anwendung über andere Sicherheitsanforderungen verfügt, die sich von denen unterscheiden, die für andere Anwendungen auf dem Computer erforderlich sind. Für instance können Sie systemweite Einstellungen für Ihre Anwendungen verwenden, die eine geringe Sicherheitsstufe erfordern, während Sie eine höhere Sicherheitsstufe für eine bestimmte Anwendung festlegen.

Sicherheitseinstellungen in der Registrierung, die für eine bestimmte Anwendung gelten, werden jedoch manchmal nicht verwendet. Beispielsweise werden die prozessweiten Einstellungen, die Sie in der Registrierung mit Dcomcnfg.exe festlegen, überschrieben, wenn ein Client CoSetProxyBlanket aufruft , um die Sicherheit für einen bestimmten Schnittstellenproxy festzulegen. Wenn ein Client oder Server (oder beides) CoInitializeSecurity aufruft, um die Sicherheit für einen Prozess festzulegen, werden die Einstellungen in der Registrierung ignoriert, und stattdessen werden die unter CoInitializeSecurity angegebenen Parameter verwendet.

Beim Aktivieren der Sicherheit für eine Anwendung müssen möglicherweise mehrere Einstellungen geändert werden. Dazu gehören Authentifizierungsebene, Standort, Startberechtigungen, Zugriffsberechtigungen und Identität. Schritt-für-Schritt-Verfahren finden Sie in den folgenden Artikeln:

Festlegen der Authentifizierungsebene für eine Anwendung

Um die Sicherheit für eine Anwendung zu aktivieren, müssen Sie eine andere Authentifizierungsebene als None festlegen. Die Authentifizierungsebene teilt COM mit, wie viel Authentifizierungsschutz erforderlich ist, und sie kann von der Authentifizierung des Clients beim ersten Methodenaufruf bis hin zur vollständigen Verschlüsselung von Parameterzuständen reichen.

So legen Sie die Authentifizierungsebene einer Anwendung fest

  1. Wählen Sie auf der Eigenschaftenseite Anwendungen in Dcomcnfg.exe die Anwendung aus, und klicken Sie auf die Schaltfläche Eigenschaften (oder doppelklicken Sie auf die ausgewählte Anwendung).

  2. Wählen Sie auf der Seite Allgemein im Listenfeld Authentifizierungsebene eine andere Authentifizierungsebene als (Keine) aus.

  3. Wenn Sie andere Eigenschaften für diese Anwendung festlegen möchten, wählen Sie die Schaltfläche Anwenden aus, um die neue Authentifizierungsebene anzuwenden. Klicken Sie auf OK , wenn Sie das Festlegen der Eigenschaften für diese Anwendung abgeschlossen haben und die Änderungen übernehmen möchten.

Festlegen des Speicherorts für eine Anwendung

Der Speicherort, den Sie für Ihre Anwendung festlegen, bestimmt den Computer, auf dem die Anwendung ausgeführt wird. Sie können die Anwendung auf dem Computer ausführen, auf dem sich die Daten befinden, auf dem Computer, den Sie zum Festlegen des Speicherorts verwenden, oder auf einem angegebenen Computer.

So legen Sie den Speicherort einer Anwendung fest

  1. Wenn Dcomcnfg.exe ausgeführt wird, wählen Sie auf der Seite Anwendungen die Anwendung aus, und wählen Sie die Schaltfläche Eigenschaften aus (oder doppelklicken Sie auf die ausgewählte Anwendung).

  2. Aktivieren Sie auf der Seite Speicherort ein oder mehrere Kontrollkästchen, die den Speicherorten entsprechen, an denen die Anwendung ausgeführt werden soll. Wenn Sie mehrere Kontrollkästchen aktivieren, verwendet COM das erste, das angewendet wird. Wenn Dcomcnfg.exe auf dem Servercomputer ausgeführt wird, wählen Sie immer Anwendung auf diesem Computer ausführen aus.

  3. Wenn Sie andere Eigenschaften für diese Anwendung festlegen, wählen Sie die Schaltfläche Übernehmen aus, um den neuen Speicherort anzuwenden. Wählen Sie OK aus, wenn Sie die Eigenschaften für diese Anwendung festgelegt haben und die Änderungen übernehmen möchten.

Festlegen von Startberechtigungen für eine Anwendung

Mit Dcomcnfg.exe können Sie Startberechtigungen festlegen, um die Liste der Benutzer zu steuern, denen die Berechtigung zum Starten eines bestimmten Servers gewährt oder verweigert wird. Sie können der Liste Benutzer oder Gruppen hinzufügen und angeben, ob die Zugriffsberechtigung gewährt oder verweigert wird. Sie können auch Benutzer aus der Liste entfernen.

So legen Sie Startberechtigungen für eine Anwendung fest

  1. Wenn Dcomcnfg.exe ausgeführt wird, wählen Sie auf der Seite Anwendungen die Anwendung aus, und wählen Sie die Schaltfläche Eigenschaften aus (oder doppelklicken Sie auf die ausgewählte Anwendung).

  2. Wählen Sie auf der Eigenschaftenseite Sicherheit die Optionsschaltfläche Benutzerdefinierte Startberechtigungen verwenden aus, und wählen Sie im selben Bereich die Schaltfläche Bearbeiten aus.

  3. Um Benutzer oder Gruppen zu entfernen, wählen Sie den Benutzer oder die Gruppe aus, die Bzw. die Sie entfernen möchten, und wählen Sie die Schaltfläche Entfernen aus. Der ausgewählte Benutzer oder die ausgewählte Gruppe wird nicht mehr im Listenfeld angezeigt. Wenn Sie das Entfernen von Benutzern und Gruppen abgeschlossen haben, wählen Sie OK aus.

  4. Wenn Sie Benutzer oder Gruppen hinzufügen möchten, wählen Sie die Schaltfläche Hinzufügen aus.

  5. Wenn Sie den vollqualifizierten Benutzernamen kennen, den Sie hinzufügen möchten, geben Sie ihn in das Textfeld Namen hinzufügen ein. Wenn Sie den Benutzernamen nicht kennen, können Sie die Benutzerdatenbank durchsuchen, um ihn zu finden (siehe Durchsuchen der Benutzerdatenbank weiter unten). Wenn Sie den Benutzernamen gefunden haben, wählen Sie im Listenfeld Namen den Benutzer oder die Gruppe aus, und klicken Sie auf die Schaltfläche Hinzufügen .

  6. Wählen Sie im Listenfeld Zugriffstyp den Zugriffstyp aus (Start zulassen oder Starten verweigern). Um weitere Benutzer hinzuzufügen, die über den ausgewählten Zugriffstyp verfügen, wiederholen Sie Schritt 5. Wenn Sie das Hinzufügen von Benutzern für den ausgewählten Zugriffstyp abgeschlossen haben, wählen Sie die Schaltfläche OK aus.

  7. Um Benutzer hinzuzufügen, die über einen anderen Zugriffstyp verfügen, wiederholen Sie die Schritte 5 und 6. Wählen Sie andernfalls OK aus, um die Änderungen anzuwenden.

Festlegen von Zugriffsberechtigungen für eine Anwendung

Mit Dcomcnfg.exe können Sie die Liste der Benutzer verwalten, denen zugriff auf die Methoden eines bestimmten Servers gewährt oder verweigert wird, indem Sie Zugriffsberechtigungen festlegen. Sie können der Liste Benutzer oder Gruppen hinzufügen und angeben, ob die Zugriffsberechtigung gewährt oder verweigert wird. Sie können auch Benutzer aus der Liste entfernen.

Beim Festlegen von Zugriffsberechtigungen müssen Sie sicherstellen, dass SYSTEM in der Liste der Benutzer enthalten ist, denen Zugriff gewährt wird. Wenn Sie Jeder Zugriffsberechtigungen erteilt haben, ist SYSTEM implizit enthalten.

Das Festlegen von Zugriffsberechtigungen für eine Anwendung ähnelt dem Festlegen von Startberechtigungen. Die Schritte werden im Folgenden beschrieben.

So legen Sie Zugriffsberechtigungen für eine Anwendung fest

  1. Wenn Dcomcnfg.exe ausgeführt wird, wählen Sie auf der Seite Anwendungen die Anwendung aus, und wählen Sie die Schaltfläche Eigenschaften aus (oder doppelklicken Sie auf die ausgewählte Anwendung).

  2. Wählen Sie auf der Eigenschaftenseite Sicherheit die Optionsschaltfläche Benutzerdefinierte Zugriffsberechtigungen verwenden aus, und wählen Sie im selben Bereich die Schaltfläche Bearbeiten aus.

  3. Um Benutzer oder Gruppen zu entfernen, wählen Sie den Benutzer oder die Gruppe aus, die Bzw. die Sie entfernen möchten, und wählen Sie die Schaltfläche Entfernen aus. Der ausgewählte Benutzer oder die ausgewählte Gruppe wird nicht mehr im Listenfeld angezeigt. Wenn Sie das Entfernen von Benutzern und Gruppen abgeschlossen haben, wählen Sie OK aus.

  4. Wenn Sie einen Benutzer oder eine Gruppe hinzufügen möchten, wählen Sie die Schaltfläche Hinzufügen aus.

  5. Wenn Sie den vollqualifizierten Benutzernamen kennen, den Sie hinzufügen möchten, geben Sie ihn in das Textfeld Namen hinzufügen ein. Wenn Sie den Benutzernamen nicht kennen, können Sie die Benutzerdatenbank durchsuchen, um ihn zu finden. Wenn Sie den Benutzernamen gefunden haben, wählen Sie im Listenfeld Namen den Benutzer oder die Gruppe aus, und klicken Sie auf die Schaltfläche Hinzufügen .

  6. Wählen Sie im Listenfeld Zugriffstyp den Zugriffstyp aus (Zugriff zulassen oder Zugriff verweigern). Um weitere Benutzer hinzuzufügen, die über den ausgewählten Zugriffstyp verfügen, wiederholen Sie Schritt 5. Wenn Sie das Hinzufügen von Benutzern für den ausgewählten Zugriffstyp abgeschlossen haben, wählen Sie die Schaltfläche OK aus.

  7. Um Benutzer hinzuzufügen, die über einen anderen Zugriffstyp verfügen, wiederholen Sie die Schritte 5 und 6. Wählen Sie andernfalls OK aus, um die Änderungen anzuwenden.

Festlegen der Identität für eine Anwendung

Die Identität einer Anwendung ist das Konto, das zum Ausführen der Anwendung verwendet wird. Die Identität kann die des Benutzers sein, der derzeit angemeldet ist (der interaktive Benutzer), das Benutzerkonto des Clientprozesses, der den Server gestartet hat, ein angegebener Benutzer oder ein Dienst. Sie können Dcomcnfg.exe verwenden, um eine dieser Identitäten für die Anwendung auszuwählen. Hilfe bei der Entscheidung, welche Identität für Ihre Anwendung festgelegt werden soll, finden Sie unter Anwendungsidentität.

So legen Sie die Identität für eine Anwendung fest

  1. Wenn Dcomcnfg.exe ausgeführt wird, wählen Sie auf der Seite Anwendungen die Anwendung aus, und wählen Sie die Schaltfläche Eigenschaften aus (oder doppelklicken Sie auf die ausgewählte Anwendung).

  2. Wählen Sie auf der Eigenschaftenseite Identität die Optionsschaltfläche für die gewünschte Identität aus. Wenn Sie Diesen Benutzer auswählen, müssen Sie den Benutzernamen, das Kennwort und das bestätigte Kennwort eingeben.

  3. Wenn Sie andere Eigenschaften für diese Anwendung festlegen, wählen Sie die Schaltfläche Anwenden aus, um die neue Identität anzuwenden. Wählen Sie OK aus, wenn Sie die Eigenschaften für diese Anwendung festgelegt haben und die Änderungen übernehmen möchten.

Durchsuchen der Benutzerdatenbank

Sie würden die Benutzerdatenbank in Dcomcnfg.exe durchsuchen, wenn Sie den vollqualifizierten Benutzernamen für einen bestimmten Benutzer finden müssen. Für instance können Sie die Benutzerdatenbank durchsuchen, um einen Benutzer zu suchen, den Sie für Zugriffs- oder Startberechtigungen hinzufügen möchten.

So durchsuchen Sie die Benutzerdatenbank

  1. Wählen Sie im Listenfeld Namen von die Domäne aus, die den Benutzer oder die Gruppe enthält, die Sie hinzufügen möchten.

  2. Um die Benutzer anzuzeigen, die zur ausgewählten Domäne gehören, wählen Sie die Schaltfläche Benutzer anzeigen aus.

  3. Um die Mitglieder einer bestimmten Gruppe anzuzeigen, wählen Sie die Gruppe im Listenfeld Namen und dann die Schaltfläche Mitglieder anzeigen aus.

  4. Wenn Sie den Benutzer oder die Gruppe, den Sie hinzufügen möchten, nicht finden können, wählen Sie die Schaltfläche Suchen aus, um das Dialogfeld Konto suchen anzuzeigen. Wählen Sie die Domäne aus, die Sie durchsuchen möchten (oder wählen Sie Alle durchsuchen), geben Sie den Benutzernamen ein, nach dem Sie suchen möchten, und wählen Sie die Schaltfläche Suchen aus.

Dcomcnfg.exe und 64-Bit-Anwendungen

Unter x64-Betriebssystemen von Windows XP bis Windows Server 2008 konfiguriert die 64-Bit-Version von DCOMCNFG.EXE 32-Bit-DCOM-Anwendungen für die Remoteaktivierung nicht ordnungsgemäß. Dieses Verhalten führt dazu, dass Komponenten, die remote aktiviert werden sollen, stattdessen lokal aktiviert werden. Dieses Verhalten tritt in Windows 7 und Windows Server 2008 R2 und höheren Versionen nicht auf.

Die Problemumgehung besteht darin, die 32-Bit-Version von DCOMCNFG zu verwenden. Führen Sie die 32-Bit-Version von mmc.exe aus, und laden Sie die 32-Bit-Version des Komponentendienste-Snap-Ins über die folgende Befehlszeile.

C:\WINDOWS\SysWOW64>mmc comexp.msc /32

Die 32-Bit-Version von Component Services registriert 32-Bit-DCOM-Anwendungen ordnungsgemäß für die Remoteaktivierung.

Festlegen Process-Wide Sicherheit