Verwenden der Delegierung in Windows 2000 mit COM+

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 283201 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Dieser Artikel wurde archiviert. Er wird im vorliegenden Zustand bereitgestellt und nicht mehr aktualisiert.
Alles erweitern | Alles schließen

Zusammenfassung

Microsoft Windows 2000 verwendet standardmäßig das Kerberos-Protokoll für die Authentifizierung. Das Kerberos-Protokoll unterstützt die Delegierung und löst eine NTLM-Authentifizierung Einschränkung von Microsoft Windows NT 4.0. Dieser Artikel erläutert die Delegierung in Windows 2000 mit COM+ verwenden.

wichtig Delegierung ist ein sehr leistungsfähiges Feature und sollte mit Vorsicht verwendet werden. Computer, die zur Unterstützung von Delegierung konfiguriert sind, sollte unter kontrollierten Zugriff auf Missbrauch dieses Features zu verhindern.

Weitere Informationen

Kerberos-Authentifizierung wird ein Delegat-Level-Token, generiert, solange die folgenden zwei Bedingungen erfüllt sind:
  1. Das Konto, die Sie delegieren möchten nicht markiert "vertrauliche und kann nicht delegiert" in Active Directory.
  2. Das principal Konto mit dem (Benutzerkonto) authentifiziert werden unter dem der Serverprozess ausgeführt wird ist "Vertraut für Delegierung" in Active Directory gekennzeichnet werden.

Schritte zum Kennzeichnen des Benutzerkontos "Vertrauenswürdige für Delegierungszwecke vertraut"

  1. Der Domänencontroller klicken Sie auf Start , zeigen Sie auf Programme , zeigen Sie auf Verwaltung und klicken Sie auf Active Directory-Benutzer und-Computer .
  2. Klicken Sie unter Ihrer Domäne auf den Ordner Benutzer .
  3. Klicken Sie unter Ihrem Benutzerkonto auf Eigenschaften .
  4. Auf der Registerkarte Konto das Kontrollkästchen Sie für die Delegierung .
  5. Deaktivieren Sie unter dem Konto, die Sie delegieren möchten, die Konto wird vertrauliche kann nicht delegiert werden das Kontrollkästchen.

Schritte zum Markieren das Computerkonto "Vertrauenswürdige für Delegierungszwecke vertraut"

Wenn der Serverprozess unter einem Systemkonto ausgeführt wird, ist das primäre Konto das Computerkonto in Active Directory. Daher müssen Sie sicherstellen, dass Sie das Kontrollkästchen für die Delegierung vertrauenswürdige für das Computerkonto in Active Directory aktivieren. Gehen Sie hierzu folgendermaßen vor:
  1. Der Domänencontroller klicken Sie auf Start , zeigen Sie auf Programme , zeigen Sie auf Verwaltung und klicken Sie auf Active Directory-Benutzer und-Computer .
  2. Klicken Sie unter Ihrer Domäne auf den Ordner Computer .
  3. Klicken Sie unter dem Computerkonto auf Eigenschaften .
  4. Auf der Registerkarte Allgemein das Kontrollkästchen Sie für die Delegierung .

Wann Benutzerinformationen zuweisen

Szenario 1

Ein typisches Szenario, in dem Sie möglicherweise Anmeldeinformationen delegieren möchten, ist, wenn ein Computer (Computer A), Microsoft Internet Explorer ist-Anforderungen (ASP Server Pages) Seiten von einem Microsoft Internet Information Server (IIS)-Webserver auf einem zweiten Computer (Computer B installiert), und die ASP-Seiten COM-Aufrufen / COM+-Komponenten auf dem dritten Computer (Computer C). Soll das COM / COM+-Anwendung die Identität des Benutzers angezeigt, die dem ersten Computer angemeldet ist.

Tabelle minimierenTabelle vergrößern
Computer AComputer BComputer C
Internet ExplorerInternet-InformationsdiensteCOM / COM+-Komponenten
Benutzer ABenutzer BBenutzer C

Für die Delegierung in diesem Szenario funktioniert deaktivieren das Kontrollkästchen Konto ist vertraulich und kann nicht delegiert werden für Benutzer A, und aktivieren das Kontrollkästchen für die Delegierung für Computer b. Nachdem Sie diese Einstellungen für Benutzer A und Computer B, das COM / COM+-Anwendung auf Computer C sehen die Identität des Benutzers, der auf Computer a angemeldet ist

Szenario 2

Sie können auch die Benutzeranmeldeinformationen, wenn eine COM-Clientanwendung auf einem Computer (Computer A) eine COM+-Anwendung oder eine COM-Server einem anderen Computer (Computer B), die die CoImpersonateClient -Funktion Clientanmeldeinformationen zum Aufrufen einer anderen COM+-Anwendung oder com-Server-Komponenten auf dem dritten verwenden aufgerufen aufruft delegieren möchten Computer (Computer C).

Tabelle minimierenTabelle vergrößern
Computer AComputer BComputer C
COM-ClientsCOM / COM+-AnwendungCOM / COM+-Anwendung
Benutzer ABenutzer BBenutzer C

Legen Sie für dieses Szenario funktioniert die Ebene für Identitätswechsel auf Computer A delegieren, deaktivieren Sie das Kontrollkästchen Konto ist vertraulich und kann nicht delegiert werden für Benutzer A in Active Directory oder aktivieren Sie das Kontrollkästchen für die Delegierung für Benutzer B in Active Directory. Wenn Sie diese Einstellungen konfigurieren, kann der remote-Prozess auf Computer C die Identität des Clients imitieren. Auf diese Weise können Sie Delegierung auf anderen Computern in der Aufrufkette verketten.

Hinweis: Wird diese Schritte vorausgesetzt, dass Sie Windows 2000 und Active Directory sowie verwenden, alle Benutzer- und Computerkonten in derselben Domäne oder vertrauenswürdigen Domäne sind.

Informationsquellen

Weitere Informationen über Delegierung und Identitätswechsel finden Sie unter der folgenden Microsoft-Website:
http://msdn.microsoft.com/library/psdk/com/security_0dri.htm

Eigenschaften

Artikel-ID: 283201 - Geändert am: Mittwoch, 29. Januar 2014 - Version: 2.0
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft COM+ 1.0
Keywords: 
kbnosurvey kbarchive kbmt kbclient kbclientserver kbdcom kbhowto KB283201 KbMtde
Maschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell und nicht von einem Menschen übersetzt. Die Microsoft Knowledge Base ist sehr umfangreich und ihre Inhalte werden ständig ergänzt beziehungsweise überarbeitet. Um Ihnen dennoch alle Inhalte auf Deutsch anbieten zu können, werden viele Artikel nicht von Menschen, sondern von Übersetzungsprogrammen übersetzt, die kontinuierlich optimiert werden. Doch noch sind maschinell übersetzte Texte in der Regel nicht perfekt, insbesondere hinsichtlich Grammatik und des Einsatzes von Fremdwörtern sowie Fachbegriffen. Microsoft übernimmt keine Gewähr für die sprachliche Qualität oder die technische Richtigkeit der Übersetzungen und ist nicht für Probleme haftbar, die direkt oder indirekt durch Übersetzungsfehler oder die Verwendung der übersetzten Inhalte durch Kunden entstehen könnten.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 283201
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns