このトピックでは、オペレーティング システムをインストールした後で、コンポーネント サービスを使用して行う最初のシステム構成作業の一般的な概要について説明します。

コンポーネント サービス スナップインでは、Microsoft 分散トランザクション コーディネーター (DTC) サービスを実行している必要があります。DTC が停止しているときに、コンポーネント サービス スナップインを使用して設定を変更しようとすると、DTC サービスは再開します。コンポーネント サービス スナップインを使用しようとしてエラー メッセージが表示された場合、DTC が開始しているかどうかを確認します。DTC が開始していなければ、サービス MMC スナップインで再開します。サービス スナップインを開くには、[スタート] ボタンをクリックし、[管理ツール] をポイントして、[サービス] をクリックします。

システム アプリケーションに対する制御を設定する

システム アプリケーション フォルダーは、コンポーネント サービス スナップインの COM+ アプリケーション フォルダー内にあります。システム アプリケーションは、コンポーネント サービスの構成と展開を管理します。この重要なアプリケーションへのアクセスをガードするには、環境を管理できるユーザーを定義する必要があります。この手順は、アプリケーションのインストールやコンピューターの追加など、コンポーネント サービス構成に変更を加える場合に必要です。

システム アプリケーションは、管理者、読者、サーバー アプリケーション、アプリケーション、QC で信頼されたユーザーなどの役割を使用した、役割ベースのセキュリティを使用します。管理者の役割のメンバーは、システム アプリケーションへの読み取りアクセス権と書き込みアクセス権限を持っています。そのメンバーは、コンポーネント サービス スナップインであらゆる設定を追加、変更、または削除することができます。管理者の役割のメンバーのみが、COM+ アプリケーションをシステムにインストールすることができます。既定では、ローカルの Administrators グループがこの役割の唯一のメンバーです。ローカルの Administrators グループに属するユーザーのみを管理者の役割に追加することができます。

管理者の役割には、少なくとも 1 ユーザーまたは 1 グループを割り当てる必要があります。割り当てないと、だれもコンポーネント サービスを管理できなくなります。

読者の役割のメンバーは、システム アプリケーションへの読み取り専用のアクセス権を持っています。コンポーネント サービス スナップインで設定を参照することはできますが、設定内容を変更、追加、または削除することはできません。既定では、Everyone がこの役割に属しています。つまり、コンピューターへのアクセス権を持つユーザーであればだれでも、コンポーネント サービスの設定を参照できるということです。

セキュリティ上の理由から、Everyone グループのメンバーがコンポーネント サービス設定を参照できないようにすることをお勧めします。その場合、読者の役割から Everyone を削除して、コンポーネント サービス設定への読み取りアクセス権限を割り当てるユーザーのみを追加します。変更を有効にするには、コンピューターを再起動しなければなりません。

サーバー アプリケーションの役割のメンバーは、COM+ サーバー アプリケーションを実行できますが、すべてのアプリケーションの役割のメンバーは、COM+ サーバー アプリケーションと COM+ ライブラリ アプリケーションの両方を実行することができます。既定では、Everyone は各役割に属しています。

QC で信頼されたユーザーの役割のメンバーは、他のユーザーに代わってキュー コンポーネントのメッセージを確実に送信するように信頼されています。既定では、この役割にはメンバーはありません。

QC で信頼されたユーザーの役割のメンバーは、任意の ID を指定できます。つまり、悪意のあるメンバーが管理者特権を使用して、キュー コンポーネント呼び出しを実行できるということです。したがって、そのようなユーザーの数は常に、絶対最小値にしておくことをお勧めします。

システム アプリケーションに管理セキュリティを設定するには、「管理セキュリティを設定する」を参照してください。

コンピューターをコンポーネント サービスで表示可能にする

COM+ アプリケーションとそのトランザクションをリモートで管理することはできますが、そのためには最初に、コンポーネント サービスにリモート コンピューターを表示する必要があります。コンポーネント サービス スナップインのコンソール ツリーに管理する対象コンピューターを追加します。コンピューターをコンポーネント サービスに追加する方法は、「コンピューターをコンポーネント サービスで表示可能にする」を参照してください。

DCOM を構成する

DCOM ワイヤ プロトコルは、別のコンピューター上で実行されている Component Object Model (COM) コンポーネント間のすべてのネットワーク通信を扱います。ネットワークを介して他のコンポーネントと通信する、COM コンポーネントを使用する各コンピューターでは、DCOM を有効にする必要があります。DCOM を無効にしても、同じコンピューター上のコンポーネント間の通信には影響を与えませんが、DCOM を無効にすると、別々のコンピューター上にあるコンポーネント間の通信はすべて無効になります。コンピューター境界間のコンポーネント通信を有効にするには、「DCOM の有効/無効を切り替える」を参照してください。


目次