定义激活安全检查例外

允许查看和更改 DCOM 服务器应用程序 ID (appids) 的列表,这些 ID 未经 DCOM 激活安全检查。DCOM 使用两个这样的列表,一个列表通过此策略设置(位于组策略中)进行配置,而另一个由本地计算机管理员配置。如果配置了此策略设置,那么,除非启用了"允许本地激活安全检查例外"策略,否则 DCOM 将忽略第二个列表。

添加到此策略中的 DCOM 服务器 appid 必须以花括号格式列出。例如: {b5dcb061-cefb-42e0-a1be-e6a6438133fe}。如果输入的 appid 不存在或者格式不正确,DCOM 将不检查其中是否存在错误,就将其添加到列表。

如果启用了此策略设置,则可以查看和更改由组策略设置定义的 DCOM 激活安全检查例外的列表。如果你将向该列表中添加一个 appid 并将它的值设置为 1,DCOM 将不会为针对此 DCOM 服务器实施激活安全检查。如果你将向该列表中添加一个 appid 并将它的值设置为 0,那么,无论本地设置如何,DCOM 将总是针对此 DCOM 服务器实施激活安全检查。

如果禁用了此策略设置,那么,将使用由本地计算机管理员定义的列表,而由组策略定义的 appid 例外列表将被删除。

如果未配置此策略设置,则将使用由本地计算机管理员定义的 appid 例外列表。

注意:

DCOM 激活安全检查在 DCOM 服务器进程开始之后、向服务器进程发送对象激活请求之后完成。如果存在 DCOM 服务器的自定义启动权限安全描述符,将针对其进行访问检查,否则将针对所配置的默认值进行访问检查。

如果 DCOM 服务器的自定义启动权限包含显式拒绝项目,则可能意味着指定用户先前在 DCOM 服务器进程启动并运行之后成功的对象激活,而现在有可能失败。在这种情况下,正确的操作是将 DCOM 服务器的自定义启动权限设置重新配置为正确的安全设置,但是可以在短期内使用此策略设置来帮助部署应用程序兼容性。

对于添加到此例外列表的 DCOM 服务器,只有当它们的自定义启动权限中不包含任何用户或组的特定 LocalLaunch、RemoteLaunch、LocalActivate 或 RemoteActivate 授予或拒绝条目时,才能免于检查。另外要注意的是,添加到此列表中的 DCOM 服务器 appid 例外将适用于 32 位和 64 位版本的服务器(如果有的话)。

支持的平台: Windows XP Professional SP2 及以上版本

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSoftware\Policies\Microsoft\Windows NT\DCOM\AppCompat
Value NameListBox_Support_ActivationSecurityCheckExemptionList
Value TypeREG_DWORD
Enabled Value1
Disabled Value0

请输入与下面列出的操作值配对的 DCOM 服务器 appid。

appid 应该包含左右花括号。

在例外列表中添加/删除 DCOM 服务器:

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSoftware\Policies\Microsoft\Windows NT\DCOM\AppCompat\ActivationSecurityCheckExemptionList
Value Name{number}
Value TypeREG_SZ
Default Value

值:

0 = 指定的 appid 将不会免于激活安全检查

1 = 指定的 appid 将免于激活安全检查


dcom.admx

管理模板(计算机)

管理模板(用户)