Windows Vista. Для профессионалов
Шрифт:
С помощью контекстного меню компонента можно выполнить такие действия над ним, как перемещение (команда Переместить) в другое приложение, которое поддерживает данный компонент, создание псевдонима для компонента (команда Псевдоним), выполняющего те же действия, но имеющего другой CLSID-номер, а также отключение данного компонента (команда Запретить). Однако следует заметить, что не все компоненты поддерживают приведенные выше действия.
– Устаревшие компоненты – хранит список устаревших СОМ-компонентов приложения СОМ+, которые больше не применяются, так как есть более новые версии. С помощью контекстного меню данного подраздела вы можете добавить новый СОМ-компонент к списку используемых. Для этого нужно выбрать команду Создать → Устаревший компонент, после чего отобразится мастер добавления компонентов, содержащий список всех зарегистрированных на компьютере СОМ-компонентов.
Работа с компонентами данного подраздела аналогична работе с компонентами подраздела Компоненты.
– Роли – определяет список ролей (категории пользователей, заданные разработчиком), на основе которых построена модель безопасности данного приложения.
Например, существуют такие роли, как Администратор, Считыватель, Серверное приложение, Любое приложение и Доверенный пользователь QC. Чтобы добавить пользователя к одной из приведенных выше ролей, нужно в контекстном меню подраздела Пользователи
Пользователи, входящие в роль Администратор, имеют права доступа к данному приложению СОМ+ как на чтение, так и на запись. Им разрешено модифицировать любые параметры СОМ-компонентов, а также устанавливать новые СОМ-компоненты. По умолчанию данной ролью обладают пользователи, входящие в группу администраторов локального компьютера.
Пользователи, входящие в роль Любое приложение, имеют права запуска как серверных приложений СОМ+, так и библиотечных приложений СОМ+. По умолчанию данной ролью обладают все пользователи данного компьютера.
Пользователи, входящие в роль Доверенный пользователь QC, имеют право передачи сообщения для компонентов в очереди от имени других пользователей (то есть с присвоением идентификаторов других пользователей, например, от имени пользователя, имеющего больше полномочий, чем сам пользователь). По умолчанию данной ролью не может пользоваться ни один пользователь.
Пользователи, входящие в роль Считыватель, имеют права доступа к данному приложению СОМ+ только на чтение. Иначе говоря, им разрешено лишь просматривать текущие параметры работы СОМ-компонентов. По умолчанию данной ролью обладают все пользователи данного компьютера.
Пользователи, входящие в роль Серверное приложение, имеют права запуска серверных приложений СОМ+. По умолчанию данной ролью обладают все пользователи данного компьютера.
• Настройка DCOM – позволяет настраивать параметры запуска приложений СОМ (приложение СОМ представляет собой набор компонентов СОМ, которые взаимодействуют друг с другом, но не имеют модели безопасности, построенной на основе ролей) (рис. 5.20). Для этого в контекстном меню необходимого приложения СОМ нужно выбрать команду Свойства.
Рис. 5.20. Раздел Настройка DCOM оснастки Службы компонентов
• Работающие процессы – содержит список запущенных в данный момент процессов приложений СОМ+. С помощью команды Записать дамп контекстного меню необходимого приложения можно создать дамп памяти, в которой выполняется процесс, чтобы впоследствии проанализировать причины возникновения тех или иных ошибок.
• Координатор распределенных транзакций – хранит такие сведения о работе координатора распределенных транзакций, как список транзакций, в которых в данный момент участвует компьютер (раздел Список операций), а также список всех прошедших транзакций (раздел Статистика транзакций).
С помощью команды Свойства контекстного меню локальной службы координатора транзакций (раздел Локальная DTC) можно также настроить следующие параметры работы данной службы:
• путь к файлу журнала и его размер (вкладка Слежение);
• учетную запись пользователя, от имени которого будет запускаться служба DTC;
• другие параметры безопасности (вкладка Безопасность);
• настройки журнала трассировки работы службы (вкладка Ведение журнала).
Журнал трассировки содержит такие данные о транзакции, как ее код, время и сообщение о результате транзакции.
Все параметры трассировки координатора распределенных транзакций хранятся в ветви реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsof t\Windows NT\ CurrentVersion\Tracing\MSDTC.
Параметры безопасности же хранятся в ветви реестра HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\MSDTC\Security.
Используя оснастку Службы компонентов, можно получить доступ к общим параметрам работы СОМ-компонентов. Для этого в контекстном меню раздела, определяющего компьютер, к которому вы подключены, нужно выбрать команду Свойства.Настройка общих параметров работы СОМ-компонентов
После выбора команды Свойства в контекстном меню нужного раздела отобразится окно, представленное на рис. 5.21.
Окно содержит следующие вкладки.
• Общие – позволяет указать описание данного компьютера.
• Параметры – дает возможность указать время ожидания следующей транзакции, а также прокси-серверы, используемые для приложений COM (RSN).
• Набор протоколов – определяет протоколы, с которыми будет работать служба DCOM. По умолчанию используется протокол ТСР\1Р. С помощью кнопки Свойства можно указать список портов, которые при этом будут использоваться.
• Безопасность СОМ – с помощью данной вкладки можно изменить права доступа определенных пользователей к СОМ-компонентам, используемые по умолчанию. Вкладка состоит из двух полей: Права доступа и Разрешения на запуск и активацию. С помощью первого поля можно определить права доступа определенных пользователей к приложениям, а с помощью второго – изменить разрешения определенных пользователей на запуск и активацию объектов.
Пользователи, у которых есть разрешение на активацию, могут работать с приложениями, только если у них есть разрешение на доступ. Поэтому таким пользователям нужно предоставить оба разрешения.
• MSDTC – благодаря этой вкладке можно определить, будет использоваться локальный координатор или удаленный.
• Свойства по умолчанию – с помощью данной вкладки можно отключить работу службы DCOM. После этого локальные приложения СОМ не смогут работать с приложениями СОМ удаленного компьютера, однако на взаимодействие локальных приложений СОМ это не окажет никакого влияния. Вы также можете включить или отключить службы доступа к компьютеру из Интернета с помощью СОМ.
Рассмотрим последнюю вкладку. Обе указанные возможности изменяют параметры ветви реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsof t\01e. Отключение DCOM приводит к тому, что параметру строкового типа EnableDCOM присваивается значение N. Если же вы отключаете доступ к компьютеру из Интернета с помощью СОМ, то значение N присваивается параметру строкового типа EnableDCOMHTTP. При этом также включается использование прокси-сервера RPC (параметру типа REG_DWORD Enabled ветви HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Rpc\RpcProxy присваивается значение 1).
Кроме того, благодаря данной вкладке можно настроить параметры работы службы DCOM, для чего используются параметры поля Свойства связи DCOM по умолчанию. Например, с помощью данной вкладки можно настроить уровень проверки подлинности и уровень заимствования прав.
Уровень проверки прав, используемый по умолчанию, определяется в параметре REG_DWORD-типа LegacyAuthenticationLevel ветви
• Отсутствует – проверка подлинности не выполняется. При этом значение параметра LegacyAuthenticationLevel равно 1.
• Подключиться – выполняется лишь при установке связи с удаленным приложением. Данный уровень подлинности используется по умолчанию. При этом значение параметра равно 2.
• Связь – проверка выполняется при каждом получении удаленным приложением запроса от клиента. При этом значение параметра равно 3.
• Пакет – выполняется для всех данных, получаемых удаленным приложением от клиента. При этом значение параметра равно 4.
• Целостности пакетов – проверка подлинности выполняется для всех данных, полученных как от клиента, так и от удаленного приложения. При этом значение параметра равно 5.
• Секретности пакетов – проверка выполняется для всех данных, полученных как от клиента, так и от удаленного приложения. Кроме того, все данные шифруются. При этом значение параметра равно б.
Уровень заимствования прав, используемый по умолчанию, определяется в параметре REG_DWORD-типа LegacylmpersonationLevel ветви системного реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\01e. Возможны следующие уровни заимствования прав.
• Аноним – скрывает истинные полномочия клиента, используя минимальные полномочия. При этом значение параметра LegacylmpersonationLevel равно 1.
• Определить – позволяет запросить полномочия клиента в случае необходимости. Уровень используется по умолчанию. При этом и последующих значениях заимствования прав становится активным флажок Повышенная безопасность для отслеживания ссылок. Если он установлен, то значение параметра строкового типа LegacySecureRef erences, расположенного в ветви системного реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\01e, равно Y. При ЭТОМ значение параметра LegacylmpersonationLevel равно 2.
• Олицетворение – по умолчанию использует полномочия клиента. Если сервер находится на другом компьютере, то полномочия клиента распространяются только на ресурсы, расположенные на компьютере сервера. При этом значение параметра LegacylmpersonationLevel равно 3.
• Делегирование – позволяет использовать полномочия клиента не только запущенному приложению СОМ, но и другим приложениям, которые запустит данное приложение. Иначе говоря, полномочия клиента распространяются не только на ресурсы компьютера сервера, но и на другие компьютеры, на которых запущено приложение СОМ. При этом значение параметра LegacylmpersonationLevel равно 4.Настройка параметров работы приложений СОМ+
Чтобы настроить параметры работы определенного приложения СОМ+, нужно в его контекстном меню выбрать команду Свойства. После этого отобразится окно, представленное на рис. 5.22.
Окно содержит следующие вкладки.
• Общие – содержит описание приложения СОМ+, а также его CLSID-номер.
• Безопасность – хранит настройки безопасности работы данного приложения СОМ+, среди которых встречаются уже знакомые вам по предыдущему окну уровень проверки подлинности и уровень заимствования прав.
• Удостоверение – определяет учетную запись пользователя, от имени которого запускается данное приложение СОМ+.
• Активация – указывает, является данное приложение библиотечным или серверным (к серверному приложению могут подключаться удаленные клиенты), а также использует ли оно протокол SOAP. Если протокол SOAP используется, то к приложению СОМ можно будет подключаться как к веб-службе XML. Доступ к веб-службам XML производится с помощью веб-сервера по протоколу HTTP или HTTPS.
• Очереди – определяет проверку подлинности сообщений очереди MSMQ, а также указывает, можно ли обратиться к данному приложению СОМ+ с помощью очередей MSMQ,
Очереди компонентов позволяют клиенту обратиться к службе из серверного приложения СОМ+, даже если оно временно недоступно. В этом случае запрос клиента помещается в очередь и обрабатывается, когда серверное приложение станет доступным.
• Дополнительно – определяет дополнительные параметры работы приложения. Например, будет ли оно автоматически завершать свою работу после определенного времени бездействия, будет ли запускаться в отладочном режиме, будут ли запрещены операции удаления и изменения.
• Дамп – указывает путь к файлу дампа приложения СОМ+, который будет создаваться с помощью команды Записать дамп контекстного меню запущенного приложения СОМ+, а также максимальное количество хранимых дампов.
• Группирование и перезапуск – определяет размер группы приложения, а также параметры его перезапуска.
По умолчанию размер группы равен 1, что соответствует отключению службы группирования приложений СОМ+. Использование нескольких приложений в группе запускает службу группирования приложений, благодаря чему повышается надежность системы, так как процессы с одним потоком масштабируются на группу.
В качестве параметров автоматического перезапуска можно указать максимальное время работы службы, максимальное количество используемой памяти, максимальное время ожидания ответа от приложения, максимальное количество вызовов или активизаций. Автоматический перезапуск приложения СОМ+ позволяет повысить стабильность работы данного приложения. Все дело в том, что, как правило, чем дольше приложение СОМ+ работает, тем больше оперативной памяти оно использует или тем медленнее работает из-за возникших внутренних ошибок. Перезапуск же приложения позволяет освободить ненужную оперативную память, а также избавиться от возникших ошибок.Настройка параметров безопасности приложений СОМ
Чтобы настроить параметры безопасности приложения СОМ, нужно выбрать команду Свойства контекстного меню нужного приложения. Напомню, что список зарегистрированных приложений СОМ содержится в разделе Настройка DCOM.
После этого отобразится окно, представленное на рис. 5.23.
Окно содержит следующие вкладки.
• Общие – отображает CLSID-номер приложения СОМ, а также его тип и имя. С ее помощью можно изменить уже знакомый вам уровень проверки удаленным сервером подлинности клиента.
• Размещение – с помощью данной вкладки можно определить, на каком компьютере будет запускаться приложение. Приложение СОМ может запускаться на локальном компьютере, на указанном удаленном компьютере или на компьютере, который содержит данные приложения.
• Безопасность – благодаря этой вкладке можно настроить разрешения определенных пользователей на запуск и активацию приложения, на доступ к нему, а также на настройку приложения. При этом можно отдельно настроить разрешения для приложения, расположенного на локальном компьютере, и для приложения, расположенного на удаленном компьютере.
• Конечные узлы – с помощью данной вкладки можно определить набор протоколов и конечных узлов, доступных для клиентов сервера DCOM.
• Удостоверение – определяет учетные записи пользователя, от имени которого будет запускаться приложение СОМ.