Administração com atributos de agrupar de códigos

Suponha que você for um empresa administrador responsável pela administração de diretiva de segurança para um número de estações de trabalho.No domínio de empresa comum, o administrador de rede tenha privilégios administrativos em cada servidor e cada cliente.No entanto, não é incomum para usuários individuais tenham privilégios administrativos em uma única estação de trabalho.sistema autônomo resultado, o administrador de rede tenha privilégios administrativos no nível de diretiva da empresa e o administrador da estação de trabalho tem privilégios administrativos no nível de diretiva da computador.Nessa situação, o administrador de rede parece ter maior controle sobre a política porque empresa diretiva é avaliada primeiro e a diretiva de computador não é permitida para afrouxar decisões de segurança feitas pelo empresa nível de administrador.No entanto, o administrador de nível de computador pode ainda aumentar a segurança, potencialmente quebrar aplicativos confiáveis, caso contrário, seriam ter sido pode ser executado.Por esse motivo, os mais altos níveis de diretiva podem optar por excluir decisões de diretiva de nível baixo do que está sendo avaliada.

Você pode fazer isso, aplicando o LevelFinal or Exclusivo atributo para um agrupar de códigos usando uma das ferramentas de diretiva de segurança.

Nível de atributo final

Quando aplicado a um agrupar de códigos, a LevelFinal atributo exclui qualquer nível de diretiva do que está sendo avaliada abaixo do nível corrente.Por exemplo, se você aplicar o LevelFinal atributo para o agrupar de códigos de intranet local em nível corporativo, qualquer agrupar de códigos no nível da computador não será avaliado, mesmo se um administrador de nível de computador tiver feito alterações.Aplicando o LevelFinal atributo garante que um assembly associado a um agrupar de códigos marcado com esse atributo nunca receberá menos permissões por causa das decisões tomadas por um administrador de nível inferior diretiva.Para obter informações sobre como definir o LevelFinal atributo em um padrão ou o agrupar de códigos personalizado, consulte o Ferramenta de configuração do .NET estrutura (Mscorcfg.msc) or the Código de acesso diretiva de segurança ferramenta (Caspol.exe).

Atributo exclusivo

Quando aplicado a um agrupar de códigos, a Exclusivo atributo impede que outros grupos de código no mesmo nível de diretiva sendo considerado quando o tempo de execução calcula as permissões para módulos (assemblies) que estão no agrupar de código exclusivo.Níveis de diretiva acima e abaixo do nível corrente são ainda avaliados, porém.Este atributo permite que um agrupar de códigos específicos tomar a decisão exclusivamente para a corrente diretiva nível sobre quais permissões são concedidas a conjuntos que correspondam a esse agrupar.Isso é útil quando você deseja conceder um conjunto específico de permissões a conjuntos específicos, sem permitir que permissões de outras correspondências de agrupar de códigos no mesmo nível de diretiva.

Observe que um assembly não tem permissão para executar se ele pertencer a mais de um agrupar de códigos marcados sistema autônomo exclusivo.Portanto, use o Exclusivo atributo com moderação ao administrar a diretiva de segurança personalizada.Para obter informações sobre como definir o Exclusivo atributo em um interno personalizado ou em agrupar de código, consulte o Ferramenta de configuração do .NET estrutura (Mscorcfg.msc) or the Segurança do acesso ao código diretiva ferramenta (Caspol.exe).

Consulte também

Conceitos

Atributos do agrupar de códigos

Grupos de código

Outros recursos

Administração da diretiva de segurança geral

Práticas Recomendadas de Política de Segurança