Festlegen Process-Wide Sicherheit mithilfe von DCOMCNFG

Möglicherweise möchten Sie die Sicherheit für eine bestimmte Anwendung aktivieren, wenn sich die Sicherheitsanforderungen einer Anwendung von denen unterscheiden, die von anderen Anwendungen auf dem Computer benötigt werden. Sie können z. B. systemweite Einstellungen für Ihre Anwendungen verwenden, die ein niedriges Maß an Sicherheit erfordern, während Sie eine höhere Sicherheitsstufe für eine bestimmte Anwendung festlegen.

Sicherheitseinstellungen in der Registrierung, die für eine bestimmte Anwendung gelten, werden jedoch manchmal nicht verwendet. Beispielsweise werden die prozessweiten Einstellungen, die Sie in der Registrierung mit Dcomcnfg.exe festlegen, überschrieben, wenn ein Client CoSetProxyBlanket aufruft, um die Sicherheit für einen bestimmten Schnittstellenproxy festzulegen. Wenn ein Client oder Server (oder beides) CoInitializeSecurity aufruft, um die Sicherheit für einen Prozess festzulegen, werden die Einstellungen in der Registrierung ignoriert, und stattdessen werden die für CoInitializeSecurity angegebenen Parameter verwendet.

Beim Aktivieren der Sicherheit für eine Anwendung müssen möglicherweise mehrere Einstellungen geändert werden. Dazu gehören Authentifizierungsebene, Speicherort, Startberechtigungen, Zugriffsberechtigungen und Identität. Schritt-für-Schritt-Verfahren finden Sie in den folgenden Themen:

Festlegen der Authentifizierungsebene für eine Anwendung

Um die Sicherheit für eine Anwendung zu aktivieren, müssen Sie eine andere Authentifizierungsebene als None festlegen. Die Authentifizierungsebene teilt COM mit, wie viel Authentifizierungsschutz erforderlich ist, und kann von der Authentifizierung des Clients beim ersten Methodenaufruf bis zur vollständigen Verschlüsselung von Parameterzuständen reichen.

So legen Sie die Authentifizierungsebene einer Anwendung fest

  1. Wählen Sie auf der Eigenschaftenseite Anwendungen in Dcomcnfg.exe die Anwendung aus, und klicken Sie auf die Schaltfläche Eigenschaften (oder doppelklicken Sie auf die ausgewählte Anwendung).

  2. Wählen Sie auf der Seite Allgemein im Listenfeld Authentifizierungsebene eine andere Authentifizierungsebene als (Keine) aus.

  3. Wenn Sie andere Eigenschaften für diese Anwendung festlegen, wählen Sie die Schaltfläche Anwenden aus, um die neue Authentifizierungsebene anzuwenden. Klicken Sie auf OK, wenn Sie die Eigenschaften für diese Anwendung festgelegt haben und die Änderungen übernehmen möchten.

Festlegen des Speicherorts für eine Anwendung

Der Speicherort, den Sie für Ihre Anwendung festlegen, bestimmt den Computer, auf dem die Anwendung ausgeführt wird. Sie können die Anwendung auf dem Computer ausführen, auf dem sich die Daten befinden, auf dem Computer, den Sie zum Festlegen des Speicherorts verwenden, oder auf einem angegebenen Computer.

So legen Sie den Speicherort einer Anwendung fest

  1. Wenn Dcomcnfg.exe ausgeführt wird, wählen Sie die Anwendung auf der Seite Anwendungen und dann die Schaltfläche Eigenschaften aus (oder doppelklicken Sie auf die ausgewählte Anwendung).

  2. Aktivieren Sie auf der Seite Standort mindestens ein Kontrollkästchen, das den Speicherorten entspricht, an denen die Anwendung ausgeführt werden soll. Wenn Sie mehr als ein Kontrollkästchen aktivieren, verwendet COM das erste, das angewendet wird. Wenn Dcomcnfg.exe auf dem Servercomputer ausgeführt wird, wählen Sie immer Anwendung auf diesem Computer ausführen aus.

  3. Wenn Sie andere Eigenschaften für diese Anwendung festlegen, wählen Sie die Schaltfläche Übernehmen aus, um den neuen Speicherort anzuwenden. Wählen Sie OK aus, wenn Sie die Eigenschaften für diese Anwendung festgelegt haben und die Änderungen übernehmen möchten.

Festlegen von Startberechtigungen für eine Anwendung

Mit Dcomcnfg.exe können Sie Startberechtigungen festlegen, um die Liste der Benutzer zu steuern, denen die Berechtigung zum Starten eines bestimmten Servers gewährt oder verweigert wird. Sie können der Liste Benutzer oder Gruppen hinzufügen und angeben, ob die Zugriffsberechtigung erteilt oder verweigert wird. Sie können benutzer auch aus der Liste entfernen.

So legen Sie Startberechtigungen für eine Anwendung fest

  1. Wenn Dcomcnfg.exe ausgeführt wird, wählen Sie die Anwendung auf der Seite Anwendungen und dann die Schaltfläche Eigenschaften aus (oder doppelklicken Sie auf die ausgewählte Anwendung).

  2. Wählen Sie auf der Eigenschaftenseite Sicherheit die Option Benutzerdefinierte Startberechtigungen verwenden aus, und wählen Sie im gleichen Bereich die Schaltfläche Bearbeiten aus.

  3. Um Benutzer oder Gruppen zu entfernen, wählen Sie den Benutzer oder die Gruppe aus, den bzw. die Sie entfernen möchten, und klicken Sie auf die Schaltfläche Entfernen. Der ausgewählte Benutzer oder die ausgewählte Gruppe wird nicht mehr im Listenfeld angezeigt. Wenn Sie das Entfernen von Benutzern und Gruppen abgeschlossen haben, wählen Sie OK aus.

  4. Wenn Sie Benutzer oder Gruppen hinzufügen möchten, wählen Sie die Schaltfläche Hinzufügen aus.

  5. Wenn Sie den vollqualifizierten Benutzernamen kennen, den Sie hinzufügen möchten, geben Sie ihn in das Textfeld Namen hinzufügen ein. Wenn Sie den Benutzernamen nicht kennen, können Sie die Benutzerdatenbank durchsuchen, um sie zu finden (siehe Durchsuchen der Benutzerdatenbank weiter unten). Wenn Sie den Benutzernamen gefunden haben, wählen Sie den Benutzer oder die Gruppe aus dem Listenfeld Namen und dann die Schaltfläche Hinzufügen aus.

  6. Wählen Sie im Listenfeld Zugriffstyp den Zugriffstyp aus (Start zulassen oder Starten verweigern). Wiederholen Sie Schritt 5, um andere Benutzer hinzuzufügen, die über den ausgewählten Zugriffstyp verfügen. Wenn Sie das Hinzufügen von Benutzern für den ausgewählten Zugriffstyp abgeschlossen haben, wählen Sie die Schaltfläche OK aus.

  7. Wiederholen Sie die Schritte 5 und 6, um Benutzer hinzuzufügen, die über einen anderen Zugriffstyp verfügen. Wählen Sie andernfalls OK aus, um die Änderungen zu übernehmen.

Festlegen von Zugriffsberechtigungen für eine Anwendung

Mit Dcomcnfg.exe können Sie die Liste der Benutzer verwalten, denen der Zugriff auf die Methoden eines bestimmten Servers gewährt oder verweigert wird, indem Sie Zugriffsberechtigungen festlegen. Sie können der Liste Benutzer oder Gruppen hinzufügen und angeben, ob die Zugriffsberechtigung erteilt oder verweigert wird. Sie können benutzer auch aus der Liste entfernen.

Wenn Sie Zugriffsberechtigungen festlegen, müssen Sie sicherstellen, dass SYSTEM in der Liste der Benutzer enthalten ist, denen Zugriff gewährt wird. Wenn Sie Allen Zugriffsrechte erteilt haben, wird SYSTEM implizit eingeschlossen.

Das Festlegen von Zugriffsberechtigungen für eine Anwendung ähnelt dem Festlegen von Startberechtigungen. Die Schritte werden im Folgenden beschrieben.

So legen Sie Zugriffsberechtigungen für eine Anwendung fest

  1. Wenn Dcomcnfg.exe ausgeführt wird, wählen Sie die Anwendung auf der Seite Anwendungen und dann die Schaltfläche Eigenschaften aus (oder doppelklicken Sie auf die ausgewählte Anwendung).

  2. Wählen Sie auf der Eigenschaftenseite Sicherheit die Option Benutzerdefinierte Zugriffsberechtigungen verwenden aus, und wählen Sie im gleichen Bereich die Schaltfläche Bearbeiten aus.

  3. Um Benutzer oder Gruppen zu entfernen, wählen Sie den Benutzer oder die Gruppe aus, den bzw. die Sie entfernen möchten, und klicken Sie auf die Schaltfläche Entfernen. Der ausgewählte Benutzer oder die ausgewählte Gruppe wird nicht mehr im Listenfeld angezeigt. Wenn Sie das Entfernen von Benutzern und Gruppen abgeschlossen haben, wählen Sie OK aus.

  4. Wenn Sie einen Benutzer oder eine Gruppe hinzufügen möchten, wählen Sie die Schaltfläche Hinzufügen aus.

  5. Wenn Sie den vollqualifizierten Benutzernamen kennen, den Sie hinzufügen möchten, geben Sie ihn in das Textfeld Namen hinzufügen ein. Wenn Sie den Benutzernamen nicht kennen, können Sie die Benutzerdatenbank durchsuchen, um ihn zu finden. Wenn Sie den Benutzernamen gefunden haben, wählen Sie den Benutzer oder die Gruppe aus dem Listenfeld Namen und dann die Schaltfläche Hinzufügen aus.

  6. Wählen Sie im Listenfeld Zugriffstyp den Zugriffstyp aus (Zugriff zulassen oder Zugriff verweigern). Wiederholen Sie Schritt 5, um andere Benutzer hinzuzufügen, die über den ausgewählten Zugriffstyp verfügen. Wenn Sie das Hinzufügen von Benutzern für den ausgewählten Zugriffstyp abgeschlossen haben, wählen Sie die Schaltfläche OK aus.

  7. Wiederholen Sie die Schritte 5 und 6, um Benutzer hinzuzufügen, die über einen anderen Zugriffstyp verfügen. Wählen Sie andernfalls OK aus, um die Änderungen zu übernehmen.

Festlegen der Identität für eine Anwendung

Die Identität einer Anwendung ist das Konto, das zum Ausführen der Anwendung verwendet wird. Die Identität kann die identität des Benutzers sein, der derzeit angemeldet ist (der interaktive Benutzer), das Benutzerkonto des Clientprozesses, der den Server gestartet hat, ein angegebener Benutzer oder ein Dienst. Sie können Dcomcnfg.exe verwenden, um eine dieser Identitäten für die Anwendung auszuwählen. Hilfe bei der Entscheidung, welche Identität für Ihre Anwendung festgelegt werden soll, finden Sie unter Anwendungsidentität.

So legen Sie die Identität für eine Anwendung fest

  1. Wenn Dcomcnfg.exe ausgeführt wird, wählen Sie die Anwendung auf der Seite Anwendungen und dann die Schaltfläche Eigenschaften aus (oder doppelklicken Sie auf die ausgewählte Anwendung).

  2. Wählen Sie auf der Eigenschaftenseite Identität die Optionsschaltfläche für die gewünschte Identität aus. Wenn Sie Diesen Benutzer auswählen, müssen Sie den Benutzernamen, das Kennwort und das bestätigten Kennwort eingeben.

  3. Wenn Sie andere Eigenschaften für diese Anwendung festlegen, wählen Sie die Schaltfläche Anwenden aus, um die neue Identität anzuwenden. Wählen Sie OK aus, wenn Sie die Eigenschaften für diese Anwendung festgelegt haben und die Änderungen übernehmen möchten.

Durchsuchen der Benutzerdatenbank

Sie durchsuchen die Benutzerdatenbank in Dcomcnfg.exe, wenn Sie den vollqualifizierten Benutzernamen für einen bestimmten Benutzer suchen müssen. Beispielsweise können Sie die Benutzerdatenbank durchsuchen, um nach einem Benutzer zu suchen, den Sie für Zugriffs- oder Startberechtigungen hinzufügen möchten.

So durchsuchen Sie die Benutzerdatenbank

  1. Wählen Sie im Listenfeld Listennamen von die Domäne aus, die den Benutzer oder die Gruppe enthält, die Sie hinzufügen möchten.

  2. Klicken Sie auf die Schaltfläche Benutzer anzeigen, um die Benutzer anzuzeigen, die zur ausgewählten Domäne gehören.

  3. Um die Mitglieder einer bestimmten Gruppe anzuzeigen, wählen Sie die Gruppe im Listenfeld Namen und dann die Schaltfläche Mitglieder anzeigen aus.

  4. Wenn Sie den Benutzer oder die Gruppe, die Sie hinzufügen möchten, nicht finden können, wählen Sie die Schaltfläche Suchen aus, um das Dialogfeld Konto suchen anzuzeigen. Wählen Sie die Domäne aus, nach der Sie suchen möchten (oder wählen Sie Alle durchsuchen aus), geben Sie den Benutzernamen ein, nach dem Sie suchen möchten, und wählen Sie die Schaltfläche Suchen aus.

Dcomcnfg.exe und 64-Bit-Anwendungen

Unter x64-Betriebssystemen von Windows XP bis Windows Server 2008 konfiguriert die 64-Bit-Version von DCOMCNFG.EXE 32-Bit-DCOM-Anwendungen nicht ordnungsgemäß für die Remoteaktivierung. Dieses Verhalten bewirkt, dass Komponenten, die remote aktiviert werden sollen, anstatt lokal aktiviert werden. Dieses Verhalten tritt in version Windows 7 und Windows Server 2008 R2 und höheren Versionen nicht auf.

Die Problemumgehung besteht in der Verwendung der 32-Bit-Version von DCOMCNFG. Führen Sie die 32-Bit-Version von mmc.exe und laden Sie die 32-Bit-Version des Komponentendienste-Snap-Ins über die folgende Befehlszeile.

C: \ WINDOWS \ SysWOW64>mmc comexp.msc /32

Die 32-Bit-Version von Component Services registriert ordnungsgemäß 32-Bit-DCOM-Anwendungen für die Remoteaktivierung.

Festlegen Process-Wide Sicherheit