本主题提供了在安装操作系统后使用组件服务执行的初始系统配置任务的一般概述。
注意 | |
“组件服务”管理单元要求 Microsoft 分布式事务处理协调器 (DTC) 服务处于运行状态。如果 DTC 已停止并且您试图使用“组件服务”管理单元来更改任何设置,则 DTC 服务将再次启动。如果在试图使用“组件服务”管理单元时出现了错误消息,请验证是否已启动 DTC 。如果未启动 DTC,请在“服务 MMC”管理单元中再次启动它。若要打开“服务”管理单元,请单击“启动”,指向“管理工具”,然后单击“服务”。 |
设置对系统应用程序的控制
“系统应用程序”文件夹位于“组件服务”管理单元的“COM+ 应用程序”文件夹中。系统应用程序管理组件服务中的配置和部署。若要保护对此重要应用程序的访问,必须定义可管理环境的人员。若要对组件服务配置进行任何更改(包括安装应用程序或添加计算机),必须执行此步骤。
系统应用程序将基于角色的安全性与“管理员”、“读者”、“服务器应用程序”、“任何应用程序”及“QC 信任的用户”等角色结合使用。“管理员”角色的成员对系统应用程序具有读写访问权限。他们可以在“组件服务”管理单元中添加、更改或删除任何设置。只有“管理员”角色的成员可以在系统中安装 COM+ 应用程序。默认情况下,本地管理员组是此角色的唯一成员。只能将属于本地管理员组的用户添加到“管理员”角色中。
注意 | |
必须至少将一个用户或组分配给“管理员”角色;否则,没人可以管理组件服务。 |
“读者”角色的成员对系统应用程序具有只读访问权限。他们可以查看“组件服务”管理单元中的设置,但无法更改、添加或删除任何内容。默认情况下,Everyone 属于此角色,表示有权访问计算机的任何人都可以查看“组件服务”设置。
注意 | |
出于安全原因,您可能不想让 Everyone 组的成员能够查看“组件服务”设置。如果是这样,应该从“读者”角色删除 Everyone,并仅添加要为其分配对“组件服务”设置的读取访问权限的那些用户。若要使更改生效,必须重新启动计算机。 |
系统允许“服务器应用程序”角色的成员运行 COM+ 服务器应用程序,同时允许“任何应用程序”角色的成员运行 COM+ 服务器应用程序和 COM+ 库应用程序。默认情况下,Everyone 属于每个角色。
系统信任“QC 信任的用户”角色的成员,允许他们代表其他用户传输队列组件的消息。默认情况下,此角色没有任何成员。
注意 | |
系统允许“QC 信任的用户”角色的成员指定任意标识,这意味着恶意成员可以使用提升权限来执行队列组件调用。因此,建议将这类用户的数量保持在绝对最少水平。 |
若要对系统应用程序设置管理安全性,请参阅设置管理安全性。
使计算机对组件服务可见
可以远程管理 COM+ 应用程序及其事务,但是首先必须使远程计算机对组件服务可见。向“组件服务”管理单元的控制台树添加要管理的任何计算机。若要向组件服务添加计算机,请参阅将计算机呈现给组件服务。
配置 DCOM
DCOM 线路协议处理不同计算机上运行的组件对象模型 (COM) 组件之间的所有网络通信。必须对具有通过网络与其他组件进行通信的 COM 组件的每台计算机启用 DCOM。尽管禁用 DCOM 对同一台计算机上的组件之间的通信没有影响,但是禁用 DCOM 时不同计算机上的组件之间的所有通信都会被禁用。若要启用跨越计算机边界的组件通信,请参阅启用或禁用 DCOM。