INFO : utilisation de l'utilitaire de configuration DCOM (DCOMCNFG. EXE) sous Windows NT

Résumé

DCOMCNFG. EXE (configuration DCOM) est un utilitaire que vous pouvez utiliser pour sécuriser des objets DCOM que vous avez créé. Cet article décrit les interfaces, options et paramètres de configuration DCOM.

Étant donné que la sécurité est beaucoup plus limitée sur Windows 95, Windows 98 et Windows Millennium Edition, l’interface et les options peuvent différer sur des systèmes Windows 95, Windows 98 et Windows Millennium Edition. Cet article est destiné à ceux qui exécutent configuration DCOM sur les systèmes Windows NT ou Windows 2000.

Plus d'informations

L’interface principale de configuration DCOM est répartie dans les trois onglets suivants :

  • Applications.
  • Propriétés par défaut.
  • Sécurité par défaut.

Onglet applications

L’onglet Applications affiche chacun des éléments enregistrés sous la clé de Registre suivante :
HKEY_CLASSES_ROOT\AppId\
Sous cette clé sont tous les objets qui peuvent être lancés sur un ordinateur distant. DCOM Config affiche simplement les ProgID (noms conviviaux) de chaque objet, par exemple « Microsoft Word Document » ou « Base de données Microsoft Access ». Certains objets peuvent enregistrer sans enregistrer un ProgID ; dans ces cas, le GUID de l’objet s’affichera, par exemple « {4E6B942A-01B0 - 11 D 1-A9CB-00AA00B7B36F}. »

Pour chaque élément répertorié dans l’onglet Applications, vous peuvent afficher les propriétés pour chaque application en sélectionnant un élément et en cliquant sur le bouton « Propriétés » ou en double-cliquant sur un nom d’application.

Onglet Propriétés par défaut

Chacune des valeurs affichées sous l'onglet Propriétés par défaut peut se trouver sous la clé suivante dans le Registre :
HKEY_LOCAL_MACHINE\Software\Microsoft\OLE
Le premier élément de l’onglet Propriétés par défaut est une case à cocher :
« Activer la COM distribuée sur cet ordinateur »
Il s’agit d’un paramètre global pour tout l’ordinateur. Lorsque cette option est activée, l’ordinateur permet de créer des objets DCOM. Si elle n’est pas activée, les objets ne peuvent pas être créés via DCOM.

REMARQUE: vous devez redémarrer le système pour une modification de ce paramètre soient prises en compte.

La deuxième partie de l’onglet Propriétés par défaut est les propriétés par défaut Distributed COM Communication, qui dispose de deux niveaux :

  1. Niveau d’authentification par défaut.
  2. Niveau d’emprunt d’identité par défaut.
Ces deux options peuvent uniquement être modifiées si DCOM est activé sur ce système.

Niveau d’authentification par défaut (niveau de paquet)

Les niveaux d’authentification sont les suivantes :
   Name                         Description
------------------------------------------------------------------------
None No authentication.

Connect Authentication occurs when a connection
is made to the server. Connectionless
protocols do not use this.

Call The authentication occurs when a RPC call
is accepted by the server. Connectionless
protocols do not use this.

Packet Authenticates the data on a per-packet
basis. All data is authenticated.

Packet Integrity This authenticates that the data has come
from the client, and checks that the
data has not been modified.

Packet Privacy In addition to the checks made by the other
authentication techniques, this encrypts
the packet.

Default May vary depending upon operating system.

REMARQUE: « Connect » et « Appeler » n’est pas utilisées pour les protocoles sans connexion. Windows NT et Windows 2000 utilisent un protocole sans connexion, UDP, par défaut. Toutefois, Windows 95 utilise TCP, qui est basé sur une connexion. Les ordinateurs Windows 95 ne peuvent accepter des appels sur « None » ou « Se connecter » niveaux.

Niveau d’emprunt d’identité par défaut

Si aucune sécurité n’est définie au niveau de l’objet, le serveur utilise le paramètre de sécurité spécifié ici comme la valeur par défaut. Les valeurs possibles sont :

   Name                         Description
----------------------------------------------------------------------
Anonymous The client is anonymous. This setting is
not currently supported by DCOM.

Identify The server can impersonate the client to
check permissions in the ACL (Access
Control List) but cannot access system
objects.

Impersonate The server can impersonate the client and
access system objects on the client's
behalf.

Delegate In addition to the Impersonate level, this
level can impersonate the client on calls
to other servers. This is not supported in
the current release of DCOM.

Le dernier élément de l’onglet Propriétés par défaut est la case à cocher « De fournir une sécurité supplémentaire pour le suivi de référence », qui indique au serveur pour effectuer le suivi des applications client connectées en conservant un nombre de référence supplémentaires. L’activation de cette case utilise davantage de mémoire et risque de ralentir COM, mais elle garantit qu’une application cliente ne peut pas supprimer un processus serveur en attribuant artificiellement un décompte de références à zéro.

Onglet sécurité par défaut

Trois options sont disponibles sous l’onglet sécurité par défaut. Chacune des valeurs stockées ici peut être trouvé dans le Registre Windows à l’emplacement suivant :
HKEY_LOCAL_MACHINE\Software\Microsoft\OLE
Trois options sont les suivantes :

  1. L’autorisation d’accès par défaut : Cette valeur détermine les utilisateurs et les groupes qui peuvent accéder à un objet lorsque aucune autre autorisation d’accès n’est fournies. Pour plus d’informations sur comment donner des autorisations individuelles d’accès à des objets DCOM spécifiques, consultez la section « Propriétés de l’Application » plus loin dans ce document. Par défaut, l’accès est fourni pour les groupes « Système » et « Interactif ».
  2. Autorisation de lancement par défaut : Cette valeur détermine les utilisateurs et les groupes qui peuvent lancer un objet lorsque aucune autre autorisation d’accès n’est fournies. Pour plus d’informations sur comment donner des autorisations à des objets DCOM spécifiques d’exécution, reportez-vous à la section « Propriétés de l’Application » plus loin dans ce document.
  3. Autorisations de Configuration par défaut : Cette valeur détermine les utilisateurs et les groupes qui peuvent lire ou modifier les informations de configuration pour les applications DCOM. Cela inclut également les utilisateurs et les groupes auront l’autorisation d’installer de nouveaux serveurs DCOM.

Groupes système

Il existe plusieurs comptes de groupe que vous trouverez lorsque vous configurez des utilisateurs et des groupes. La liste suivante est un résumé de l’utilisateur qui appartient à chaque groupe :
   Group                  Description
------------------------------------------------------------------------
Interactive Includes all users who log on to a Windows NT or
Windows 2000 system locally (at the console). It
does not include users who connect to Windows NT
or Windows 2000 resources across a network or are
started as a server.

Network Includes all users who connect to Windows NT or
Windows 2000 resources across a network. It does
not include those who connect through an
interactive logon.

Creator/Owner The Creator/Owner group is created for each
sharable resource in the Windows NT system. Its
membership is the set of users who either create
resource s(such as a file) and those who take
ownership of them.

Everyone All users accessing the system, whether locally,
remotely, or across the network.

System The local operating system.

La liste ci-dessus inclut les comptes de groupe qui sont intrinsèques à des systèmes Windows NT et Windows 2000. Votre réseau peut inclure plus de groupes à partir desquels vous pouvez choisir. Pour déterminer l’appartenance de chaque compte de groupe personnalisé, vous devez contacter votre administrateur réseau.

Propriétés de l’application

Vous pouvez spécifier des paramètres personnalisés pour les applications DCOM individuelles en cliquant sur le bouton Propriétés sous l’onglet « Applications » dans la configuration DCOM. La section suivante décrit chaque onglet (général, emplacement, sécurité, identité) et un paramètre dans les propriétés de l’Application.

Général

L’onglet Général fournit des informations générales sur l’application, en affichant le nom de l’Application, type (serveur local ou distant) et l’emplacement (chemin d’accès local ou ordinateur distant). Ces paramètres ne sont pas modifiables par l’intermédiaire de l’interface de configuration DCOM.

Le tableau général récupère toutes ses informations à partir des sous-clés de la clé de Registre suivante :
HKEY_CLASSES_ROOT\CLSID\{...CLSID...}
où {... CLSID...} est le CLSID unique pour le serveur d’objet actuellement affiché.

Location

Cet onglet permet de déterminer où DCOM s’exécute l’application. Il existe trois choix possibles :

  1. Exécutez l’application sur l’ordinateur où se trouvent les données : Si sélectionné, DCOM exécute l’application où se trouvent les données. Cela est utile uniquement si l’application fournit un fichier de données pour l’application serveur.
  2. Exécutez l’application sur cet ordinateur : indique que l’application DCOM doit s’exécuter sur l’ordinateur local.
  3. Exécutez l’application sur l’ordinateur suivant : vous permet de spécifier un ordinateur sur lequel exécuter. (Cette fonctionnalité est actuellement indisponible sur les systèmes Windows NT 4.0, Windows NT 4.0 ne gère pas la délégation de sécurité complet).
Si plus d’un des éléments ci-dessus est sélectionné, DCOM utilise la première option applicable. Les applications client peuvent remplacer ce paramètre.

Sécurité

Sous l’onglet sécurité, vous pouvez personnaliser les paramètres pour les autorisations individuelles d’application suivantes :

  1. Autorisations d’accès.
  2. Les autorisations d’exécution.
  3. Configuration des autorisations.
Si vous ne personnalisez pas ces paramètres, les paramètres de sécurité par défaut sont utilisés. Pour plus d’informations sur l’onglet sécurité, reportez-vous à la section plus haut dans cet article sur « La sécurité par défaut ».

Identité

Cet onglet est utilisé pour déterminer le compte que vous souhaitez utiliser pour exécuter l’application. Il existe quatre options par lequel le système détermine votre objet DCOM s’exécutera sous le compte de :

  1. L’utilisateur interactif : l’application s’exécutera en utilisant le contexte de sécurité de l’utilisateur actuellement connecté à l’ordinateur. Si cette option est sélectionnée et que l’utilisateur n’est pas connecté, l’application ne démarre pas.
  2. L’utilisateur exécutant : l’application s’exécutera en utilisant le contexte de sécurité de l’utilisateur qui a démarré l’application. L’utilisateur exécutant et l’utilisateur interactif peuvent être le même.
  3. Cet utilisateur : vous pouvez spécifier l’utilisateur dont le contexte sécurité est utilisé pour exécuter l’application.
  4. Le compte système : il est disponible uniquement pour les services Windows NT et Windows 2000 qui utilisent DCOM.

Références

Propriétés

ID d'article : 176799 - Dernière mise à jour : 8 janv. 2017 - Révision : 1

Commentaires