Role-Based Sicherheitsverwaltung

  • Artikel

Rollenbasierte Sicherheit ist ein von COM+ bereitgestellter automatischer Dienst, mit dem Sie eine Zugriffssteuerungsrichtlinie für Ihre COM+-Anwendung administrativ erstellen und erzwingen können. Mit einem flexiblen und erweiterbaren Sicherheitskonfigurationsmodell bietet die rollenbasierte Sicherheit einen erheblichen Vorteil gegenüber der Erzwingung aller Sicherheit in Ihren Komponenten und bietet die folgenden Vorteile:

  • Sie können die Sicherheit mithilfe des Component Services-Verwaltungstools oder der Administrativen Funktionen administrativ konfigurieren.
  • Sie müssen keine sicherheitsbezogene Logik in Ihre Komponenten schreiben, wenn Der Rollenschutz auf Methodenebene eine ausreichende Zugriffssteuerung bietet.
  • Sie müssen die Sicherheit nicht beim Schnittstellen- oder Komponentenentwurf berücksichtigen. Stattdessen können Sie die Sicherheit methodenweise festlegen.
  • Sie können sich auf die Struktur der Sicherheitsrichtlinie konzentrieren, die Sie erzwingen möchten, und über Rollen kann diese Richtlinie den Administratoren, die Ihre Anwendung bereitstellen, klar ausgedrückt werden.
  • Sie können eine Sicherheitsrichtlinie einfach ändern, um sie an sich ändernde Sicherheitsanforderungen für eine Anwendung anzupassen.
  • Sie können bei Bedarf präzisere Sicherheitsrichtlinien programmgesteuert erstellen, indem Sie die rollenbasierte Sicherheit als unterstützende Plattform verwenden.
  • Sie können die rollenbasierte Sicherheit nutzen, um eine detaillierte Überwachung durchzuführen, da Sie Aufrufersicherheitsinformationen für eine gesamte Kette von Upstream Aufrufen abrufen können.

Hinweis

Benutzer in der Administratorrolle für die Systemanwendung müssen Mitglieder der lokalen Administratorgruppe sein. Außerdem enthält die Authentifizierungsfunktion für die COM+-Systemanwendung ab Windows Server 2003 den Wert EOAC_DISABLE_AAA. Dieser Wert, der aktivierungsbasierte Aktivierungen (Activate-as-Activator, AAA) deaktiviert, wird beim Starten der Systemanwendung im CoInitializeSecurity-Aufruf verwendet. Durch Festlegen der Authentifizierungsfunktion auf EOAC_DISABLE_AAA kann eine Anwendung, die unter einem privilegierten Konto (z. B. LocalSystem) ausgeführt wird, verhindern, dass ihre Identität zum Starten nicht vertrauenswürdiger Komponenten verwendet wird.

 

In den folgenden Themen in diesem Abschnitt finden Sie Informationen zur Funktionsweise der rollenbasierten Sicherheit und Zu berücksichtigende Probleme beim Erstellen einer Sicherheitsrichtlinie für eine Anwendung:

Ausführliche Anleitungen zu den Schritten, die beim Konfigurieren der rollenbasierten Sicherheit für eine Anwendung erforderlich sind, finden Sie unter Konfigurieren Role-Based Sicherheit.

Clientauthentifizierung

Clientidentitätswechsel und -delegierung

Bibliotheksanwendungssicherheit

Anwendungssicherheit mit mehreren Ebenen

Programmgesteuerte Komponentensicherheit

Verwenden der Softwareeinschränkungsrichtlinie in COM+