Da ich im Internet keine Beschreibung der Standardeinstellungen für das DCom-System gesehen habe, habe ich beschlossen, einen Artikel zu schreiben.

Warnung

Das Ändern von Zugriffsberechtigungen sowie Start- und Aktivierungsberechtigungen kann sich auf den Start von Anwendungen und die normale Funktionsfähigkeit von Benutzern und Administratoren auswirken. Eine unsachgemäße Verwaltung der Zugriffsrechtelisten für DCOM-Komponenten mithilfe von dcomcnfg.exe kann dazu führen, dass Anwendungen oder Komponenten, die mithilfe der DCOM-Technologie kommunizieren, fehlschlagen. Das Überschreiben der standardmäßigen DCOM-Einstellungen, die während der Windows-Installation erstellt werden, ist im Allgemeinen nicht erforderlich, sodass Sie sie nicht ändern müssen. Wenn das Ziel darin besteht, die Sicherheit über die Standardvorgaben hinaus zu verbessern, stellen Sie sicher, dass Benutzer über Start- und Aktivierungsberechtigungen verfügen. Wenn Start- und Aktivierungsrechte nicht global gewährt werden, müssen Sie die Startberechtigungs-ACL für eine bestimmte Anwendung ändern, um den entsprechenden Benutzern Aktivierungsrechte zu gewähren. Ich empfehle nicht, die Rechte von Systembenutzergruppen zu bearbeiten, die Windows während der Installation festgelegt hat.

Gründe für DCOM-Fehler

1. 1. DCOM-Komponenten arbeiten mit einem Transportsystem ORPC(Objekt-Remote-Prozeduraufruf). Service RPC ist einer der wichtigsten, da Windows, das auch DCOM zum Ausführen der meisten Komponenten verwendet, davon abhängig ist. Ich habe in der Praxis gesehen, dass ein Benutzer, der sich dazu hinreißen ließ, „unnötige“ Windows-Dienste zu deaktivieren, den Start des RPC-Dienstes untersagte. Infolgedessen weigerte sich der Computer, nach dem Neustart zu starten. Das Laden erfolgte „teelöffelweise“, das Betriebssystem reagierte nicht auf Aktionen. Der RPC-Dienst sollte also ausgeführt werden. Im Gegensatz zu DBUS unter Linux, das Nachrichten verwendet, verwendet DCOM unter Windows Bitströme (gepackte Aufrufe), die mit erstellt wurden „Marshalinga“, d. h. der Prozess der Serialisierung von Objekten, um sie an den Zielprozess zu übertragen.

2. Der Zugriff auf DCOM-Komponenten basiert auf Rechtssysteme, die mit angegeben werden ACL- Zugriffskontrolllisten. Die Beschreibung des Snap-Ins dcomcnfg.exe, das zum Konfigurieren der Einstellungen verwendet wird, ist dürftig. Microsoft empfiehlt lediglich, die Standardeinstellungen nicht zu ändern, da diese das System stören können. Die Einstellungen selbst werden nirgendwo erwähnt.

Es gibt zwei Berechtigungseinstellungen:

• Zugriffsrecht (kann lokal oder remote sein)
• Aktivierungsrecht – d. h. Komponenten starten.

Außerdem gibt es in der DCOM-Einstellung zwei Grenzen (Einschränkungen)

• Zugriffsbeschränkung
• Aktivierungslimit

3. FireWall- Auf dem Terminalserver 1c wird ein einzelner RDP-Port verwendet 3389 welches offen sein sollte.

Wenn kein Terminalserver verwendet wird, verwendet die Netzwerkversion von 1c Enterprise TCP-Ports, die nach außen geöffnet werden müssen.

4. Gruppenrichtlinien. Benutzer, die DCOM remote ausführen, nutzen Serverressourcen. Die Standardeinstellungen ermöglichen den Betrieb von DCOM in diesem Modus, eine Erhöhung der Sicherheit kann jedoch versehentlich das Recht der Benutzer auf Remotestart beeinträchtigen Computerkonfiguration – Administrative Vorlagen – System – Verteiltes COM-Modell(Computerkonfiguration – Administrative Vorlagen – System – Verteilte COM).

5. Eigenschaften und Berechtigungen spezifische DCOM-Anwendung im Komponentendienste-Snap-In: Systemsteuerung -> System und Sicherheit -> Verwaltung -> Komponentendienste -> Computer -> Arbeitsplatz -> DCOM-Einstellungen -> Anwendungsname -> Eigenschaften -> Sicherheit.

• Start- und Aktivierungsberechtigungen – Standard
  *Zugriffsberechtigungen – Standard
  Allgemein – Authentifizierungsebene – Standard.
  Identität – Startender Benutzer.
  Hosting – Führen Sie die Anwendung auf diesem Computer aus.

6. Ein Antivirenprogramm kann auch Ports überwachen, wenn es über eine integrierte Firewall verfügt.

Stellen Sie die Standardeinstellungen für DCOM-Berechtigungen schnell wieder her

Dieser Punkt muss nur ausgeführt werden, wenn das DCOM-System ganz oder teilweise nicht mehr funktioniert.

Zunächst muss DCOM aktiviert sein und die Identitätswechselstufe ist „ Definieren" (numerischer Wert - 2).

HKEY_LOCAL_MACHINE\Software\Microsoft\Ole

Schlüssel „ENABLE_DCOM“- Zeichenfolge REG_SZ - Wert „Y“.

Schlüssel "LegacyImpersonationLevel" - DWORD - Wert 2.

Zweitens: Um die Rechte in ihrer ursprünglichen Form wiederherzustellen, müssen Sie 4 Registrierungsschlüssel im Registrierungseditor REGEDIT.EXE löschen:

HKEY_LOCAL_MACHINE\Software\Microsoft\Ole

*DefaultAccessPermission*
DefaultLaunchPermission
MachineAccessRestriction
MachineLaunchRestriction**

Standardeinstellungen für Zugriffsrechte im Dienstprogramm dcomcnfg.exe

Nachfolgend finden Sie die Standard-DCOM-Einstellungen für Windows 8–10.

DCOMCNFG.EXE -Eigenschaften meines Computers-COM-Sicherheit

Standardeigenschaften:

Zugriffsrechte - Einschränkungen (Limits)

Zugriffsrechte - Standardwerte

Berechtigungen zum Starten und Aktivieren - Einschränkungen (Limits)

Start- und Aktivierungsberechtigungen – Standardwerte

Standardmäßige DCOM-Tabellenberechtigungen (ACL):



Zugriffsrechte - Einschränkungen (Limits)

Zugriffsrechte - Standardwerte

Berechtigungen zum Starten und Aktivieren - Einschränkungen (Limits)

Start- und Aktivierungsberechtigungen – Standardwerte

Benutzergruppe „DCOM-Benutzer“

Sie müssen Benutzer zur Gruppe „DCOM-Benutzer“ hinzufügen, die DCOM-Komponenten sowohl remote als auch lokal ausführen können sollen. Das heißt, nicht alle Benutzer, sondern nur diejenigen, die tatsächlich mit DCOM arbeiten.

Verwandte Veröffentlichungen

BAT-Datei zur Aktualisierung der Liste der CRL-Zertifikate

Verwendung einer RAM-Disk zur Beschleunigung von 1C

Aktualisieren von Stammzertifikaten auf einem PC unter Windows

Newsfeed in Windows 10 deaktivieren

Leichtgewichtige Internetbrowser