В этом разделе содержатся общие сведения о задачах первоначальной настройки системы, которые выполняются с помощью оснастки «Службы компонентов» после установки операционной системы.
Примечание | |
Для использования оснастки «Службы компонентов» требуется, чтобы выполнялась служба DTC (Microsoft Distributed Transaction Coordinator). Если служба DTC остановлена и предпринимается попытка изменить какие-либо параметры с помощью оснастки «Службы компонентов», служба DTC запускается снова. Если при попытке использования оснастки «Службы компонентов» выводятся сообщения об ошибках, убедитесь, что служба DTC запущена. Если служба DTC не запущена, запустите ее еще раз в оснастке «Службы» консоли MMC. Чтобы открыть оснастку «Службы», нажмите кнопку Пуск, наведите указатель на Администрирование, а затем щелкните Службы. |
Установка управления для системного приложения
Папка «Системные приложения» находится в папке «Приложения COM+» оснастки «Службы компонентов». Системное приложение управляет настройкой и развертыванием в службах компонентов. Для защиты доступа к этому важному приложению необходимо определить, кто имеет право администрировать операционную среду. Этот шаг необходим для внесения любых изменений в конфигурацию служб компонентов, включая установку приложения или добавление компьютера.
Системным приложением используется безопасность на основе ролей, таких как «Администратор», «Считыватель», «Серверное приложение», «Любое приложение» и «Доверенный пользователь QC». Члены роли «Администратор» имеют доступ к системному приложению с правами на чтение и запись. Они могут добавлять, изменять и удалять любые настройки в оснастке «Службы компонентов». Только члены роли «Администратор» могут устанавливать в системе приложения COM+. По умолчанию единственным членом этой роли является локальная группа «Администраторы». Только пользователи, принадлежащие локальной группе «Администраторы», могут быть добавлены в роль «Администратор».
Примечание | |
Роль «Администратор» должна быть назначена хотя бы одному пользователю или одной группе. В противном случае никто не сможет администрировать службы компонентов. |
Члены роли «Считыватель» имеют доступ к системному приложению только с правом на чтение. Они могут просматривать параметры в оснастке «Службы компонентов», но не могут изменять, добавлять или удалять что-либо. По умолчанию всем пользователям назначена эта роль — это означает, что любой пользователь, имеющий доступ к компьютеру, может просматривать параметры служб компонентов.
Примечание | |
Возможно, по причинам безопасности вы не захотите, чтобы члены группы «Все» могли просматривать параметры служб компонентов. Если это так, следует удалить всех из роли «Считыватель» и добавить только тех пользователей, кому требуется разрешить доступ к параметрам служб компонентов с правом на чтение. Для ввода в действие внесенных изменений необходимо перезагрузить компьютер. |
Членам роли «Серверное приложение» разрешен запуск серверных приложений COM+, тогда как членам роли «Любое приложение» разрешен запуск как серверных приложений COM+, так и библиотечных приложений COM+. По умолчанию все принадлежат каждой роли.
Членам роли «Доверенный пользователь QC» доверяется передача сообщений для компонентов, находящихся в очереди, от имени других пользователей. По умолчанию эта роль никому не назначена.
Примечание | |
Членам роли «Доверенный пользователь QC» разрешено указывать произвольное удостоверение — это означает, что злоумышленник, являющийся членом этой роли, может выполнить вызов компонента, находящегося в очереди, с расширенными правами. Поэтому рекомендуется ограничивать число таких пользователей необходимым минимумом. |
Сведения об установке для системного приложения параметров безопасности на уровне администратора см. в разделе Настройка безопасности администрирования.
Как сделать компьютеры видимыми для служб компонентов
Приложениями COM+ и их транзакциями можно управлять дистанционно, но сначала необходимо сделать удаленный компьютер видимым для служб компонентов. Добавьте любой компьютер, которым требуется управлять, в дерево консоли оснастки «Службы компонентов». Описание процедуры добавления компьютеров в оснастку «Службы компонентов» см. в разделе Как сделать компьютеры видимыми для служб компонентов.
Настройка DCOM
Протокол проводной связи DCOM обрабатывает все данные, которыми обмениваются по сети компоненты COM (Component Object Model), функционирующие на отдельных компьютерах. Необходимо включить службу DCOM для всех компьютеров с компонентами COM, которые взаимодействуют с другими компонентами по сети. Хотя отключение DCOM не влияет на взаимодействие между компонентами на одном и том же компьютере, весь обмен данными между компонентами на разных компьютерах отключается при отключении службы DCOM. Описание процедуры включения взаимодействия компонентов между компьютерами по сети см. в разделе Включение и выключение DCOM.