定義啟動安全性檢查豁免

允許您檢視和變更已經由 [DCOM 啟動] 安全性檢查豁免的 DCOM 伺服器應用程式識別碼 (appid) 清單。DCOM 使用兩種清單,一種是透過這個原則設定由 [群組原則] 所設定,另一種則是透過本機電腦系統管理員的動作而設定。當這個原則設定已設定時,除非已啟用 [允許本機啟動安全性檢查豁免] 原則,否則 DCOM 會略過第二種清單。

新增到這個原則的 DCOM 伺服器應用程式識別碼必須以大括號格式列出。例如: {b5dcb061-cefb-42e0-a1be-e6a6438133fe}。如果您輸入一個不存在或格式不正確的應用程式識別碼,DCOM 不會檢查是否有錯誤便將它新增到清單。

如果您啟用這個原則設定,將可以檢視和變更由 [群組原則] 設定所定義的 DCOM 啟動安全性檢查豁免清單。如果您將一個應用程式識別碼新增到這個清單並將它的值設為 1,則 DCOM 將不會針對該 DCOM 伺服器強制執行啟動安全性檢查。如果您將一個應用程式識別碼新增到這個清單並將它的值設為 0,則不論本機設定為何,DCOM 一律會針對該 DCOM 伺服器強制執行啟動安全性檢查。

如果您停用這個原則設定,將會刪除由 [群組原則] 定義的應用程式識別碼豁免清單,然後使用由本機電腦系統管理員定義的清單。

如果您未設定這個原則設定,則會使用由本機電腦系統管理員定義的應用程式識別碼豁免清單。

備註:

DCOM 啟動安全性檢查會在 DCOM 伺服器處理啟動之後,但是在物件啟動要求傳遞到伺服器處理之前執行。如果 DCOM 伺服器的自訂啟動權限安全性描述元存在,便根據它來執行存取檢查,否則會根據設定的預設值來執行。

如果 DCOM 伺服器的自訂啟動權限包含明確的 DENY 項目,這可能意謂著當 DCOM 伺服器處理啟動並執行時,先前為該特定使用者成功地啟動的物件現在可能失敗。在這種情況下的正確動作是將 DCOM 伺服器的自訂啟動權限設定值重新設定成正確的安全性設定值,但是這個原則設定可能會在短期內被用來當做應用程式相容性部署輔助。

新增到這個豁免清單的 DCOM 伺服器只有在它們的自訂啟動權限未針對任何使用者或群組包含特定的 LocalLaunch、RemoteLaunch、LocalActivate 或 RemoteActivate 授與或拒絕項目時,才會被豁免。而且請注意,如果存在 32 位元和 64 位元版本的伺服器,則新增到這個清單的 DCOM 伺服器應用程式識別碼的豁免會同時套用到這兩種版本的伺服器。

支援的作業系統: 至少需要 Windows XP Professional SP2

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSoftware\Policies\Microsoft\Windows NT\DCOM\AppCompat
Value NameListBox_Support_ActivationSecurityCheckExemptionList
Value TypeREG_DWORD
Enabled Value1
Disabled Value0

輸入對應到下列動作值的 DCOM 伺服器應用程式識別碼。

應用程式識別碼應該包括左右大括弧。

對豁免清單新增\移除 DCOM 伺服器:

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSoftware\Policies\Microsoft\Windows NT\DCOM\AppCompat\ActivationSecurityCheckExemptionList
Value Name{number}
Value TypeREG_SZ
Default Value

值:

0 = 指定的應用程式識別碼並未從啟用安全性檢查中豁免

1 = 指定的應用程式識別碼已從啟用安全性檢查中豁免


dcom.admx

系統管理範本 (電腦)

系統管理範本 (使用者)