Windows Vista. Для профессионалов - Роман Клименко

Пользователи, входящие в роль Считыватель, имеют права доступа к данному приложению СОМ+ только на чтение. Иначе говоря, им разрешено лишь просматривать текущие параметры работы СОМ-компонентов. По умолчанию данной ролью обладают все пользователи данного компьютера.

Пользователи, входящие в роль Серверное приложение, имеют права запуска серверных приложений СОМ+. По умолчанию данной ролью обладают все пользователи данного компьютера.

• Настройка DCOM – позволяет настраивать параметры запуска приложений СОМ (приложение СОМ представляет собой набор компонентов СОМ, которые взаимодействуют друг с другом, но не имеют модели безопасности, построенной на основе ролей) (рис. 5.20). Для этого в контекстном меню необходимого приложения СОМ нужно выбрать команду Свойства.

Рис. 5.20. Раздел Настройка DCOM оснастки Службы компонентов

• Работающие процессы – содержит список запущенных в данный момент процессов приложений СОМ+. С помощью команды Записать дамп контекстного меню необходимого приложения можно создать дамп памяти, в которой выполняется процесс, чтобы впоследствии проанализировать причины возникновения тех или иных ошибок.

• Координатор распределенных транзакций – хранит такие сведения о работе координатора распределенных транзакций, как список транзакций, в которых в данный момент участвует компьютер (раздел Список операций), а также список всех прошедших транзакций (раздел Статистика транзакций).

С помощью команды Свойства контекстного меню локальной службы координатора транзакций (раздел Локальная DTC) можно также настроить следующие параметры работы данной службы:

• путь к файлу журнала и его размер (вкладка Слежение);

• учетную запись пользователя, от имени которого будет запускаться служба DTC;

• другие параметры безопасности (вкладка Безопасность);

• настройки журнала трассировки работы службы (вкладка Ведение журнала).

Журнал трассировки содержит такие данные о транзакции, как ее код, время и сообщение о результате транзакции.

Все параметры трассировки координатора распределенных транзакций хранятся в ветви реестра HKEY_LOCAL_MACHINESOFTWAREMicrosof tWindows NT CurrentVersionTracingMSDTC.

Параметры безопасности же хранятся в ветви реестра HKEY_LOCAL_MACHINE SOFTWAREMicrosoftMSDTCSecurity.

Используя оснастку Службы компонентов, можно получить доступ к общим параметрам работы СОМ-компонентов. Для этого в контекстном меню раздела, определяющего компьютер, к которому вы подключены, нужно выбрать команду Свойства.

Настройка общих параметров работы СОМ-компонентов

После выбора команды Свойства в контекстном меню нужного раздела отобразится окно, представленное на рис. 5.21.

Окно содержит следующие вкладки.

• Общие – позволяет указать описание данного компьютера.

• Параметры – дает возможность указать время ожидания следующей транзакции, а также прокси-серверы, используемые для приложений COM (RSN).

• Набор протоколов – определяет протоколы, с которыми будет работать служба DCOM. По умолчанию используется протокол ТСР1Р. С помощью кнопки Свойства можно указать список портов, которые при этом будут использоваться.

• Безопасность СОМ – с помощью данной вкладки можно изменить права доступа определенных пользователей к СОМ-компонентам, используемые по умолчанию. Вкладка состоит из двух полей: Права доступа и Разрешения на запуск и активацию. С помощью первого поля можно определить права доступа определенных пользователей к приложениям, а с помощью второго – изменить разрешения определенных пользователей на запуск и активацию объектов.

Рис. 5.21. Окно настройки работы СОМ-компонентов

Пользователи, у которых есть разрешение на активацию, могут работать с приложениями, только если у них есть разрешение на доступ. Поэтому таким пользователям нужно предоставить оба разрешения.

• MSDTC – благодаря этой вкладке можно определить, будет использоваться локальный координатор или удаленный.

• Свойства по умолчанию – с помощью данной вкладки можно отключить работу службы DCOM. После этого локальные приложения СОМ не смогут работать с приложениями СОМ удаленного компьютера, однако на взаимодействие локальных приложений СОМ это не окажет никакого влияния. Вы также можете включить или отключить службы доступа к компьютеру из Интернета с помощью СОМ.

Рассмотрим последнюю вкладку. Обе указанные возможности изменяют параметры ветви реестра HKEY_LOCAL_MACHINESOFTWAREMicrosof t1e. Отключение DCOM приводит к тому, что параметру строкового типа EnableDCOM присваивается значение N. Если же вы отключаете доступ к компьютеру из Интернета с помощью СОМ, то значение N присваивается параметру строкового типа EnableDCOMHTTP. При этом также включается использование прокси-сервера RPC (параметру типа REG_DWORD Enabled ветви HKEY_LOCAL_MACHINESOFTWAREMicrosoft RpcRpcProxy присваивается значение 1).

Кроме того, благодаря данной вкладке можно настроить параметры работы службы DCOM, для чего используются параметры поля Свойства связи DCOM по умолчанию. Например, с помощью данной вкладки можно настроить уровень проверки подлинности и уровень заимствования прав.

Уровень проверки прав, используемый по умолчанию, определяется в параметре REG_DWORD-типа LegacyAuthenticationLevel ветви системного реестра HKEY_LOCAL_MACHINESOFTWAREMicrosoft1e. Возможны следующие уровни проверки подлинности.

• Отсутствует – проверка подлинности не выполняется. При этом значение параметра LegacyAuthenticationLevel равно 1.

• Подключиться – выполняется лишь при установке связи с удаленным приложением. Данный уровень подлинности используется по умолчанию. При этом значение параметра равно 2.

• Связь – проверка выполняется при каждом получении удаленным приложением запроса от клиента. При этом значение параметра равно 3.

• Пакет – выполняется для всех данных, получаемых удаленным приложением от клиента. При этом значение параметра равно 4.

• Целостности пакетов – проверка подлинности выполняется для всех данных, полученных как от клиента, так и от удаленного приложения. При этом значение параметра равно 5.

• Секретности пакетов – проверка выполняется для всех данных, полученных как от клиента, так и от удаленного приложения. Кроме того, все данные шифруются. При этом значение параметра равно б.

Уровень заимствования прав, используемый по умолчанию, определяется в параметре REG_DWORD-типа LegacylmpersonationLevel ветви системного реестра HKEY_LOCAL_MACHINESOFTWAREMicrosoft1e. Возможны следующие уровни заимствования прав.

• Аноним – скрывает истинные полномочия клиента, используя минимальные полномочия. При этом значение параметра LegacylmpersonationLevel равно 1.

• Определить – позволяет запросить полномочия клиента в случае необходимости. Уровень используется по умолчанию. При этом и последующих значениях заимствования прав становится активным флажок Повышенная безопасность для отслеживания ссылок. Если он установлен, то значение параметра строкового типа LegacySecureRef erences, расположенного в ветви системного реестра HKEY_LOCAL_MACHINESOFTWAREMicrosoft1e, равно Y. При ЭТОМ значение параметра LegacylmpersonationLevel равно 2.

• Олицетворение – по умолчанию использует полномочия клиента. Если сервер находится на другом компьютере, то полномочия клиента распространяются только на ресурсы, расположенные на компьютере сервера. При этом значение параметра LegacylmpersonationLevel равно 3.

• Делегирование – позволяет использовать полномочия клиента не только запущенному приложению СОМ, но и другим приложениям, которые запустит данное приложение. Иначе говоря, полномочия клиента распространяются не только на ресурсы компьютера сервера, но и на другие компьютеры, на которых запущено приложение СОМ. При этом значение параметра LegacylmpersonationLevel равно 4.

Настройка параметров работы приложений СОМ+

Чтобы настроить параметры работы определенного приложения СОМ+, нужно в его контекстном меню выбрать команду Свойства. После этого отобразится окно, представленное на рис. 5.22.

Рис. 5.22. Окно настройки параметров работы приложения СОМ+

Окно содержит следующие вкладки.

• Общие – содержит описание приложения СОМ+, а также его CLSID-номер.

• Безопасность – хранит настройки безопасности работы данного приложения СОМ+, среди которых встречаются уже знакомые вам по предыдущему окну уровень проверки подлинности и уровень заимствования прав.

• Удостоверение – определяет учетную запись пользователя, от имени которого запускается данное приложение СОМ+.

• Активация – указывает, является данное приложение библиотечным или серверным (к серверному приложению могут подключаться удаленные клиенты), а также использует ли оно протокол SOAP. Если протокол SOAP используется, то к приложению СОМ можно будет подключаться как к веб-службе XML. Доступ к веб-службам XML производится с помощью веб-сервера по протоколу HTTP или HTTPS.

• Очереди – определяет проверку подлинности сообщений очереди MSMQ, а также указывает, можно ли обратиться к данному приложению СОМ+ с помощью очередей MSMQ,