DCOM: Computerstarteinschränkungen in Security Descriptor Definition Language (SDDL)-Syntax

Mit dieser Richtlinieneinstellung wird bestimmt, welche Benutzer oder Gruppen die DCOM-Anwendung remote oder lokal starten oder aktivieren können. Mit dieser Einstellung wird die Angriffsfläche des Computers für DCOM-Anwendungen kontrolliert.

Verwenden Sie diese Richtlinieneinstellung, um Zugriffsberechtigungen für alle Computer an bestimmte Benutzer für DCOM-Anwendungen zu erteilen. Wenn Sie diese Einstellung festlegen und Benutzer oder Gruppen angeben, denen Berechtigungen erteilt werden sollen, wird das Feld für die Sicherheitsbeschreibung mit der SDDL-Darstellung (Security Descriptor Definition Language) dieser Gruppen und Rechte gefüllt. Falls keine Sicherheitsbeschreibung angegeben wird, wird die Richtlinieneinstellung in der Vorlage definiert, nicht jedoch erzwungen. Benutzern und Gruppen können explizite Zulassen- oder Verweigern-Rechte für den lokalen Start, den Remotestart, die lokale Aktivierung und die Remoteaktivierung erteilt werden.

Die Registrierungseinstellungen, die als Ergebnis dieser Richtlinie erstellt werden, haben Vorrang vor den vorherigen Registrierungseinstellungen in diesem Bereich. Von Remote Procedure Call Services (RpcSs) werden die neuen Registrierungsschlüssel im Abschnitt "Richtlinien" auf Computereinschränkungen überprüft. Diese Registrierungseinträge haben Vorrang vor den vorhandenen Registrierungsschlüsseln unter OLE.

Mögliche Werte für diese Richtlinieneinstellung:

  • Leer: Der Schlüssel für die Richtlinienerzwingung kann von der lokalen Sicherheitsrichtlinie gelöscht werden. Mit diesem Wert wird die Richtlinie gelöscht und dann auf den Status "Nicht definiert" festgelegt. Der Wert "Leer" wird mit dem ACL-Editor und durch Leeren der Liste erstellt. Klicken Sie anschließend auf "OK".
  • SDDL. Dies ist die SDDL-Darstellung (Security Descriptor Definition Language) der Gruppen und Rechte, die Sie beim Aktivieren der Richtlinie angeben.

Nicht definiert: Dies ist der Standardwert.

Hinweis:
Falls dem Administrator die Berechtigung zum Starten und Aktivieren von DCOM-Anwendungen aufgrund von Änderungen, die in Windows an DCOM vorgenommen wurden, verweigert wird, kann der Administrator diese Richtlinie zum Steuern der DCOM-Aktivierung und zum Starten für den Computer verwenden. Der Administrator kann angeben, welche Benutzer und Gruppen die DCOM-Anwendung auf dem Computer sowohl lokal als auch remote starten oder aktivieren können, indem die Richtlinieneinstellung "DCOM: Computerstarteinschränkungen in Security Descriptor Definition Language (SDDL)-Syntax" verwendet wird. Dadurch wird die Steuerung der DCOM-Anwendung für den Administrator und die Benutzer wiederhergestellt. Öffnen Sie hierzu die Einstellung "DCOM: Computerstarteinschränkungen in Security Descriptor Definition Language (SDDL)-Syntax", und klicken Sie auf "Sicherheit bearbeiten". Geben Sie die Gruppen an, die enthalten sein sollen, und die Computerstartberechtigungen für diese Gruppen. Dadurch wird die Einstellung definiert und der entsprechende SDDL-Wert festgelegt.

Registrierung:
HKLM\SOFTWARE\policies\Microsoft\windows NT\DCOM\MachineLaunchRestriction

Wert:
MachineLaunchRestriction

Unterstützt auf:
Mindestens Windows XP SP2, Windows Server 2003