使用 DCOMCNFG 設定System-Wide安全性

變更全系統的安全性設定會影響未設定其全進程安全性的所有 COM 伺服器應用程式。 這可能會防止這類應用程式正常運作。 如果您要變更全系統的安全性設定，以影響特定 COM 應用程式的安全性設定，您應該改為變更該特定 COM 應用程式的全進程安全性設定。 如需設定全進程安全性的詳細資訊，請參閱 設定全進程安全性。

當您想要讓一部電腦中的所有應用程式都未提供自己的安全性來共用相同的預設安全性設定時，您會以全系統為基礎設定安全性。 使用 Dcomcnfg.exe 可讓您輕鬆地在登錄中設定套用至電腦上所有應用程式的預設值。

請務必瞭解，如果用戶端或伺服器明確呼叫 CoInitializeSecurity 來設定整個進程的安全性，則會忽略登錄中的預設設定，並改用 CoInitializeSecurity 的參數來進行進程的安全性設定。 此外，如果您使用 Dcomcnfg.exe 來指定特定進程的安全性設定，則進程設定會覆寫預設電腦設定。

啟用全系統安全性時，您必須將驗證層級設定為 None 以外的值，而且必須設定啟動和存取權限。 您可以選擇設定預設模擬層級，也可以啟用參考追蹤。 下列主題提供逐步程式：

• 設定System-Wide預設驗證層級
• 設定System-Wide啟動許可權
• 設定System-Wide存取權限
• 設定System-Wide模擬層級
• 設定System-Wide參考追蹤
• 啟用和停用 DCOM
• 相關主題

設定System-Wide預設驗證層級

驗證層級可用來告知 COM 您希望用戶端經過驗證的層級。 這些層級提供各種保護層級，從無保護到完整加密。 若要啟用電腦的安全性，您必須選擇 [無] 以外的驗證層級。 您可以藉由完成下列步驟，使用 Dcomcnfg.exe 來選擇這類設定。

若要以全系統為基礎設定驗證層級

1. 執行 Dcomcnfg.exe。

2. 選擇 [ 預設屬性] 索引 標籤。

3. 從 [ 預設驗證層級 ] 清單方塊中，選擇 [無 (] 以外的值) 。

4. 如果您要為電腦設定更多屬性，請按一下 [ 套 用] 按鈕以套用新的驗證層級。 否則，請按一下 [ 確定] 套用變更並結束Dcomcnfg.exe。

設定System-Wide啟動許可權

您使用 Dcomcnfg.exe設定的啟動許可權會決定使用者清單，其中每一個都會明確授與或拒絕許可權，以啟動任何未提供其啟動許可權設定的伺服器。 設定啟動許可權時，您可以從此清單中新增或移除一或多個使用者或群組。 針對您新增的每個使用者，您必須指定是否要授與或拒絕使用者啟動許可權。

設定電腦的啟動許可權

1. 在 Dcomcnfg.exe 的 [預設安全性] 屬性頁面上，選擇 [預設啟動許可權] 區域中的 [編輯預設] 按鈕。

2. 若要移除使用者或群組，請選取您想要移除的使用者或群組，然後選擇 [ 移除 ] 按鈕。 選取的使用者或群組將不再出現在清單方塊中。 當您完成移除使用者和群組時，請選擇 [確定]。

3. 如果您想要新增使用者或群組，請選擇 [ 新增 ] 按鈕。

4. 如果您知道要新增的完整使用者名稱，請在 [ 新增名稱 ] 文字方塊中輸入它。 如果您不知道使用者名稱，請參閱 使用 DCOMCNFG 設定全進程安全性 以尋找它。 當您找到使用者名稱時，請從 [ 名稱 ] 清單方塊中選取使用者或群組，然後選擇 [ 新增 ] 按鈕。

5. 從 [ 存取類型 ] 清單方塊中，選取 [ 允許啟動 ] 或 [ 拒絕啟動 ]) (存取類型。 若要新增也會選取存取類型的其他使用者，請重複步驟 4。 當您完成為選取的存取類型新增使用者時，請選擇 [ 確定] 按鈕。

6. 若要新增將具有不同存取類型的使用者，請重複步驟 4 和 5。 否則，請選擇 [ 確定 ] 以套用變更。

設定System-Wide存取權限

Dcomcnfg.exe可讓您設定存取權限，以控制授與或拒絕存取未提供自己存取權限之伺服器方法的使用者清單。 您可以將使用者或群組新增至清單，指定是否授與或拒絕存取權限。 您也可以從清單中移除使用者。

設定存取權限時，您必須確定系統包含在授與存取權的使用者清單中。 如果您已將存取權限授與所有人，系統會隱含地包含 SYSTEM。

設定電腦存取權限的程式類似于設定啟動許可權。 應採取下列步驟。

設定電腦的存取權限

1. 在 Dcomcnfg.exe 的 [預設安全性] 屬性頁面上，選擇 [預設存取權限] 區域中的 [編輯預設] 按鈕。

2. 若要移除使用者或群組，請選取您想要移除的使用者或群組，然後選擇 [ 移除 ] 按鈕。 選取的使用者或群組將不再出現在清單方塊中。 當您完成移除使用者和群組時，請選擇 [確定]。

3. 如果您想要新增使用者或群組，請選擇 [ 新增 ] 按鈕。

4. 如果您知道要新增的完整使用者名稱，請在 [ 新增名稱 ] 文字方塊中輸入它。 如果您不知道使用者名稱，請參閱 使用 DCOMCNFG 設定全進程安全性 來尋找它。 當您找到使用者名稱時，請從 [ 名稱 ] 清單方塊中選取使用者或群組，然後選擇 [ 新增 ] 按鈕。

5. 從 [ 存取類型 ] 清單方塊中，選取 [ 允許存取 ] 或 [ 拒絕存取 ]) (存取類型。 若要新增將擁有所選存取類型的其他使用者，請重複步驟 4。 當您完成為選取的存取類型新增使用者時，請選擇 [ 確定] 按鈕。

6. 若要新增將具有不同存取類型的使用者，請重複步驟 4 和 5。 否則，請選擇 [ 確定 ] 以套用變更。

設定System-Wide模擬層級

用戶端所設定的模擬層級會決定提供給伺服器的授權數量，以代表用戶端採取行動。 例如，當用戶端將模擬層級設定為委派時，伺服器可以存取本機和遠端資源做為用戶端，而且如果設定了封閉功能，則伺服器可以遮蔽多個電腦界限。 若要協助判斷您應該選擇哪一個模擬層級，請參閱 模擬層級 和 Cloaking。

設定整部電腦的預設模擬層級，會告知 COM 當電腦上的特定用戶端未使用 CoInitializeSecurity 或 CoSetProxyBlanket以程式設計方式指定模擬層級時，要使用的模擬層級。

設定電腦的模擬層級

1. 執行Dcomcnfg.exe後，請選擇 [ 預設屬性] 索引 標籤。

2. 從 [ 預設模擬層級 ] 清單方塊中，選擇您想要的模擬層級。

3. 如果您要為電腦設定更多屬性，請選擇 [ 套 用] 按鈕以套用新的模擬層級。 否則，請選擇 [ 確定 ] 以套用變更並結束Dcomcnfg.exe。

設定System-Wide參考追蹤

當您啟用參考追蹤時，會要求 COM 執行額外的安全性檢查，並追蹤會讓物件無法太早發行的資訊。 請記住，這些額外的檢查成本很高。 如需參考追蹤的詳細資訊，請參閱 參考追蹤。 使用下列步驟來啟用或停用參考追蹤。

設定電腦的參考追蹤

1. 執行Dcomcnfg.exe後，請選擇 [ 預設屬性] 索引 標籤。

2. 若要啟用 (或停用) 參考追蹤，請選取 (或清除) 頁面底部附近的 [提供參考追蹤的額外安全性 ] 核取方塊。

3. 如果您要為電腦設定更多屬性，請選擇 [ 套 用] 按鈕以套用新的設定。 否則，請選擇 [ 確定 ] 以套用變更並結束Dcomcnfg.exe。

啟用和停用 DCOM

當電腦是網路的一部分時，DCOM 連線通訊協定可讓該電腦上的 COM 物件與其他電腦上的 COM 物件通訊。 您可以停用特定電腦的 DCOM，但這麼做將會停用該電腦上物件與其他電腦上物件之間的所有通訊。

在電腦上停用 DCOM 不會影響本機 COM 物件。 COM 仍會尋找您已指定的啟動許可權。 如果未指定啟動許可權，則會使用預設啟動許可權。 即使您停用 DCOM，如果使用者具有電腦的實體存取權，他們還是可以在電腦上啟動伺服器，除非您設定啟動許可權不允許它。

注意

如果您在遠端電腦上停用 DCOM，之後將無法從遠端存取該電腦來重新啟用 DCOM。 若要重新啟用 DCOM，您將需要該電腦的實體存取權。

 

手動啟用電腦 (或停用) DCOM

1. 執行 Dcomcnfg.exe。

2. 選擇 [ 預設] [屬性] 索引卷 標。

3. 選取 [ (或清除) [在此 電腦上啟用分散式 COM] 核取方塊。

4. 如果您要為電腦設定更多屬性，請按一下 [ 套用 ] 按鈕以啟用 (或停用) DCOM。 否則，按一下 [ 確定 ] 套用變更並結束Dcomcnfg.exe。

相關主題

設定全進程安全性