DCOM: Computerzugriffseinschränkungen in Security Descriptor Definition Language (SDDL)-Syntax

Mit dieser Richtlinieneinstellung wird bestimmt, welche Benutzer oder Gruppen auf DCOM-Anwendungen remote oder lokal zugreifen können. Mit dieser Einstellung wird die Angriffsfläche des Computers für DCOM-Anwendungen gesteuert.

Verwenden Sie diese Richtlinieneinstellung, um Zugriffsberechtigungen für alle Computer an bestimmte Benutzer für DCOM-Anwendungen im Unternehmen zu erteilen. Wenn Sie die Benutzer oder Gruppen angeben, denen Berechtigungen erteilt werden sollen, wird das Feld für die Sicherheitsbeschreibung mit der SDDL-Darstellung (Security Descriptor Definition Language) dieser Gruppen und Rechte gefüllt. Falls keine Sicherheitsbeschreibung angegeben wird, wird die Richtlinieneinstellung in der Vorlage definiert, nicht jedoch erzwungen. Benutzern und Gruppen können explizite "Zulassen"- oder "Verweigern"-Rechte für den lokalen Zugriff und den Remotezugriff erteilt werden.

Die Registrierungseinstellungen, die als Ergebnis der Aktivierung der Richtlinieneinstellung "DCOM: Computerzugriffseinschränkungen in Security Descriptor Definition Language (SDDL)-Syntax" erstellt werden, haben Vorrang, d. h. eine höhere Priorität als die vorherigen Registrierungseinstellungen in diesem Bereich. Von Remote Procedure Call Services (RpcSs) werden die neuen Registrierungsschlüssel im Abschnitt "Richtlinien" auf Computereinschränkungen überprüft. Diese Registrierungseinträge haben Vorrang vor den vorhandenen Registrierungsschlüsseln unter OLE. Dies bedeutet, dass zuvor vorhandene Registrierungseinstellungen nicht mehr gültig sind. Wenn Sie die vorhandenen Einstellungen ändern, werden die Computerzugriffsberechtigungen für Benutzer nicht geändert. Seien Sie beim Konfigurieren der Liste mit Benutzern und Gruppen vorsichtig.

Mögliche Werte für diese Richtlinieneinstellung:

  • Leer. Der Schlüssel für die Richtlinienerzwingung kann von der lokalen Sicherheitsrichtlinie gelöscht werden. Mit diesem Wert wird die Richtlinie gelöscht und dann auf den Status "Nicht definiert" festgelegt. Der Wert "Leer" wird mit dem ACL-Editor und durch Leeren der Liste erstellt. Klicken Sie anschließend auf "OK".
  • SDDL. Dies ist die SDDL-Darstellung (Security Descriptor Definition Language) der Gruppen und Rechte, die Sie beim Aktivieren der Richtlinie angeben.
  • Nicht definiert. Dies ist der Standardwert.

Hinweis
Falls dem Administrator die Berechtigung zum Zugriff auf DCOM-Anwendungen aufgrund von Änderungen, die in Windows an DCOM vorgenommen wurden, verweigert wird, kann der Administrator die Richtlinieneinstellung "DCOM: Computerzugriffseinschränkungen in Security Descriptor Definition Language (SDDL)-Syntax" verwenden, um DCOM-Zugriff auf den Computer zu verwalten. Der Administrator kann durch Verwendung dieser Einstellung angeben, welche Benutzer und Gruppen auf die DCOM-Anwendung auf dem Computer sowohl lokal als auch remote zugreifen können. Dadurch wird die Steuerung der DCOM-Anwendung für den Administrator und die Benutzer wiederhergestellt. Öffnen Sie hierzu die Einstellung "DCOM: Computerzugriffseinschränkungen in Security Descriptor Definition Language (SDDL)-Syntax", und klicken Sie auf "Sicherheit bearbeiten". Geben Sie die Gruppen an, die enthalten sein sollen, und die Computerzugriffsberechtigungen für diese Gruppen. Dadurch wird die Einstellung definiert und der entsprechende SDDL-Wert festgelegt.

Regsitry Key: HKLM\Software\Policies\Microsoft\Windows NT\DCOM
Registry Value: MachineAccessRestriction
Secedit: n/a