Практическое руководство. Предоставление разрешения документам и книгам в общих расположениях (система 2003)

Обновлен: Ноябрь 2007

Применение

Сведения, приведенные в данном разделе, относятся только к указанным проектам Visual Studio Tools for Office и версиям Microsoft Office.

Тип проекта

  • Проекты уровня документа

  • Проекты уровня приложения

Версия Microsoft Office

  • Microsoft Office 2003

Дополнительные сведения см. в разделе Доступность функций по типам приложений и проектов.

В случае незащищенного расположения документа Microsoft Office 2003 (например, сайт SharePoint или общая папка, в которую могут производить записи разные пользователи, включая потенциальных злоумышленников) или недоверия лицам, имеющим разрешение на загрузку содержимого данного расположения, можно предоставить разрешения не для всего содержимого, а только для документов и книг. Для этого используется условие членства документов Office и изменяется политика безопасности для проверки данного условия на компьютерах, на которых будет запускаться решение. Дополнительные сведения о настройке политики безопасности на компьютерах конечных пользователей см. в разделе Развертывание политики безопасности.

При использовании условия членства документов Office доступ предоставляется только к документам Office; исполняемые файлы и сборки не получают разрешение на запуск из общей папки.

Для создания настраиваемых групп кодов можно использовать средства командной строки Visual Studio или инструмент настройки платформы .NET Framework 2.0. Описание обоих методов представлено ниже. Однако инструмент настройки платформы .NET Framework 2.0 не включен в Visual Studio 2008. Можно загрузить этот инструмент как часть пакета средств разработки .NET Framework 2.0 SDK из центра загрузки Майкрософт. В качестве примера см. Пакет средств разработки NET Framework 2.0 (SDK) (x86).

Создание настраиваемой группы кодов с помощью средств командной строки Visual Studio

Создание настраиваемой группы кодов с помощью средств командной строки

  1. Откройте командную строку Visual Studio. Если на компьютере не установлен Visual Studio, откройте командную строку Microsoft Windows и перейдите в каталог Microsoft .NET Framework используемой версии платформы. Например:

    %systemroot%\Microsoft.NET\Framework\v2.0.50727
    
  2. Введите следующие команды, заменяя расположения, имена и описания примера на соответствующие параметры своей среды.

    gacutil -i "C:\Program Files\Microsoft 
    Office\Office11\Addins\Msosec.dll"
    
    caspol -m -ag LocalIntranet_Zone -url \\ServerName\FolderName\* 
    Nothing -n "My Data Folder" -d "Intermediate group for my documents"
    
    caspol -m -ag "My Data Folder" -custom "C:\Program Files\Microsoft 
    Office\Office11\Addins\Msosec.xml" FullTrust -n "My Data Documents" 
    -d "Grants FullTrust to all documents in my data folder"
    
    9w6bd8f1.alert_note(ru-ru,VS.90).gifСовет.

    Вводите команды вручную. Копирование и вставка команд в командную строку может привести к ошибке "Неизвестный параметр".

Создание настраиваемой группы кодов с помощью инструмента настройки платформы .NET Framework

Перед использованием инструмента настройки платформы .NET Framework 2.0 необходимо загрузить и установить пакет средств разработки .NET Framework 2.0 (SDK) из центра загрузки Майкрософт.

При использовании инструмента настройки платформы .NET Framework 2.0 необходимо выполнить следующие действия.

  • Добавьте Msosec.dll в глобальный кэш сборок (GAC). Msosec.dll представляет собой сборку, которая реализует политику Microsoft.Office.Security.Policy.OfficeDocumentMembershipCondition, используемую для идентификации документов и книг. Сборка Msosec.dll находится в папке ADDINS в расположении установки Office. Расположение по умолчанию следующее: \Program Files\Microsoft Office\OFFICE11\ADDINS.

  • Создайте группу кодов, ограничивающую разрешения для сервера или конкретной папки (например разрешения Nothing или LocalIntranet_Zone).

  • Создайте вторую группу кодов ниже от первой группы для предоставления документам Office режима полного доверия.

    9w6bd8f1.alert_note(ru-ru,VS.90).gifПримечание.

    Использование в своей политике Msosec отрицательно воздействует на выполнение управляемого кода на компьютере. Рекомендуется не добавлять Msosec на серверы или другие компьютеры, если это не обязательно.

Добавление Msosec.dll в кэш сборок

  1. Войдите в систему компьютера в качестве администратора.

  2. В Панели инструментов откройте Администрирование и запустите средство Конфигурация Microsoft .NET Framework 2.0.

  3. В узле Корень консоли разверните компонент Конфигурация .NET Framework 2.0, затем разверните Мой компьютер.

  4. Правой кнопкой мыши щелкните Кэш сборок и выберите Добавить.

  5. В папке установки Office перейдите к файлу Msosec.dll. Например:

    C:\Program Files\Microsoft Office\Office11\Addins\Msosec.dll

  6. Выберите файл Msosec.dll и нажмите кнопку Открыть, чтобы добавить файл в кэш сборок.

Создание группы кодов с ограниченными разрешениями для сервера или папки

  1. В узле Компьютер разверните компонент Code Groups, а затем All_Code.

  2. Правой кнопкой мыши щелкните LocalIntranet_Zone и выберите New.

    Предполагается, что используемый сервер входит в зону локальной интрасети. Если он был добавлен в зону надежных веб-узлов в обозревателе Internet Explorer, тогда щелкните правой кнопкой мыши Trusted_Zone.

  3. Присвойте имя группе кодов. Для этого примера назовите группу "Папка с данными пользователя".

    Эта группа кодов не предоставляет разрешения папке и является только контейнером для следующей группы кодов.

  4. Нажмите кнопку Далее.

  5. В списке Выберите тип условия для этой группы кодов выберите URL.

  6. В текстовом поле URL введите путь к общей папке.

    Звездочка в конце означает, что разрешения будут применены ко всем файлам и вложенным папкам данной папки. Например:

    \\ServerName\ShareName\*

  7. Нажмите кнопку Далее.

  8. В списке Использовать существующий набор разрешений выберите Nothing.

    По умолчанию задано значение FullTrust. Необходимо заменить его значением Nothing, чтобы разрешения не были предоставлены всем файлам в указанном расположении.

  9. Нажмите кнопку Далее, а затем Готово.

Создание группы кодов, предоставляющей режим полного доверия документам Office

  1. Правой кнопкой мыши щелкните новую группу кодов, названную в данном примере Папка с данными пользователя и затем нажмите New.

  2. Присвойте имя группе кодов. Для этого примера назовите группу Документы с данными пользователя.

  3. Нажмите кнопку Далее.

  4. В списке Выберите тип условия для этой группы кодов выберите (custom).

  5. Нажмите Импортировать и перейдите к файлу Msosec.xml, находящемуся в папке установки Office. Например:

    C:\Program Files\Microsoft Office\Office11\Addins\Msosec.xml

  6. Выберите файл Msosec.xml и нажмите кнопку Открыть, чтобы импортировать условие пользовательского кода XML.

  7. Нажмите кнопку Далее.

  8. В списке Использовать существующий набор разрешений выберите FullTrust.

  9. Нажмите кнопку Далее, а затем Готово.

Дополнительные сведения о предоставлении режима доверия см. в разделах Настройка политики безопасности с помощью инструмента настройки платформы .NET Framework (Mscorcfg.msc) и Настройка политики безопасности с помощью средства для настройки политики управления доступом для кода (Caspol.exe).

См. также

Задачи

Практическое руководство. Добавление сборки в список сборок политики

Практическое руководство. Добавление сборок в политику безопасности с помощью Caspol.exe

Основные понятия

Безопасное развертывание (Система 2003)

Требования безопасности при выполнении решений Office (для системы 2003)

Рекомендации по безопасности для решений Office (система 2003)

Другие ресурсы

Безопасность в решениях Office (система 2003)