Richtlinien-CSP – ADMX_DCOM
Tipp
Dieser CSP enthält ADMX-gestützte Richtlinien, die ein spezielles SyncML-Format zum Aktivieren oder Deaktivieren erfordern. Sie müssen den Datentyp in SyncML als <Format>chr</Format>
angeben. Weitere Informationen finden Sie unter Grundlegendes zu ADMX-gestützten Richtlinien.
Die Nutzlast des SyncML muss XML-codiert sein. Für diese XML-Codierung gibt es eine Vielzahl von Onlineencodern, die Sie verwenden können. Um die Codierung der Nutzlast zu vermeiden, können Sie CDATA verwenden, wenn Ihr MDM dies unterstützt. Weitere Informationen finden Sie unter CDATA-Abschnitte.
DCOMActivationSecurityCheckAllowLocalList
Bereich | Editionen | Geeignetes Betriebssystem |
---|---|---|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, Version 2004 mit KB5005101 [10.0.19041.1202] und höher ✅ Windows 10, Version 20H2 mit KB5005101 [10.0.19042.1202] und höher ✅ Windows 10, Version 21H1 mit KB5005101 [10.0.19043.1202] und höher ✅ Windows 11, Version 21H2 [10.0.22000] und höher |
./Device/Vendor/MSFT/Policy/Config/ADMX_DCOM/DCOMActivationSecurityCheckAllowLocalList
Ermöglicht ihnen anzugeben, dass lokale Computeradministratoren die Liste "Definieren von Ausnahmen für die Aktivierungssicherheitsprüfung" ergänzen können.
Wenn Sie diese Richtlinieneinstellung aktivieren und DCOM keinen expliziten Eintrag für eine DCOM-Serveranwendungs-ID (appid) in der Richtlinie "Define Activation Security Checkausnahmen" findet (sofern aktiviert), sucht DCOM nach einem Eintrag in der lokal konfigurierten Liste.
Wenn Sie diese Richtlinieneinstellung deaktivieren, sucht DCOM nicht in der Lokal konfigurierten DCOM-Aktivierungs-Sicherheitsüberprüfungsausnahmeliste.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, sucht DCOM nur in der lokal konfigurierten Ausnahmeliste, wenn die Richtlinie "Ausnahmen für die Aktivierungssicherheitsprüfung definieren" nicht konfiguriert ist.
ANMERKUNG Diese Richtlinieneinstellung gilt für alle Websites in vertrauenswürdigen Zonen.
Beschreibungsframeworkeigenschaften:
Eigenschaftenname | Eigenschaftenwert |
---|---|
Format |
chr (Zeichenfolge) |
Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Tipp
Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.
ADMX-Zuordnung:
Name | Wert |
---|---|
Name | DCOMActivationSecurityCheckAllowLocalList |
Anzeigename | Ausnahmen für die Sicherheitsüberprüfung der lokalen Aktivierung zulassen |
Position | Computerkonfiguration |
Pfad | Kompatibilitätseinstellungen für verteilte System-COM-Anwendungen >> |
Registrierungsschlüsselname | Software\Policies\Microsoft\Windows NT\DCOM\AppCompat |
Name des Registrierungswertes | AllowLocalActivationSecurityCheckExemptionList |
ADMX-Dateiname | DCOM.admx |
DCOMActivationSecurityCheckExemptionList
Bereich | Editionen | Geeignetes Betriebssystem |
---|---|---|
✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ Windows 10, Version 2004 mit KB5005101 [10.0.19041.1202] und höher ✅ Windows 10, Version 20H2 mit KB5005101 [10.0.19042.1202] und höher ✅ Windows 10, Version 21H1 mit KB5005101 [10.0.19043.1202] und höher ✅ Windows 11, Version 21H2 [10.0.22000] und höher |
./Device/Vendor/MSFT/Policy/Config/ADMX_DCOM/DCOMActivationSecurityCheckExemptionList
Ermöglicht das Anzeigen und Ändern einer Liste von DCOM-Serveranwendungs-IDs (App-IDs), die von der DCOM-Aktivierungssicherheitsprüfung ausgenommen sind. DCOM verwendet zwei solche Listen, eine über Gruppenrichtlinie über diese Richtlinieneinstellung und die andere über die Aktionen lokaler Computeradministratoren. DCOM ignoriert die zweite Liste, wenn diese Richtlinieneinstellung konfiguriert ist, es sei denn, die Richtlinie "Ausnahmen zur Sicherheitsüberprüfung der lokalen Aktivierung zulassen" ist aktiviert.
DCOM-Server-App-IDs, die dieser Richtlinie hinzugefügt wurden, müssen in geschweiften Klammern aufgelistet werden. Beispiel: {b5dcb061-cefb-42e0-a1be-e6a6438133fe}
. Wenn Sie eine nicht vorhandene oder falsch formatierte App-ID eingeben, fügt DCOM diese der Liste hinzu, ohne nach Fehlern zu suchen.
Wenn Sie diese Richtlinieneinstellung aktivieren, können Sie die Liste der DCOM-Aktivierungssicherheitsüberprüfungsausnahmen anzeigen und ändern, die durch Gruppenrichtlinieneinstellungen definiert sind. Wenn Sie dieser Liste eine appid hinzufügen und den Wert auf 1 festlegen, erzwingt DCOM die Aktivierungssicherheitsprüfung für diesen DCOM-Server nicht. Wenn Sie dieser Liste eine appid hinzufügen und ihren Wert auf 0 festlegen, erzwingt DCOM immer die Aktivierungssicherheitsprüfung für diesen DCOM-Server, unabhängig von den lokalen Einstellungen.
Wenn Sie diese Richtlinieneinstellung deaktivieren, wird die appid-Ausnahmeliste, die durch die Gruppenrichtlinie definiert ist, gelöscht, und die von lokalen Computeradministratoren definierte Liste wird verwendet.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, wird die appid-Ausnahmeliste verwendet, die von lokalen Computeradministratoren definiert wurde.
Hinweis
Die DCOM-Aktivierungssicherheitsprüfung wird nach dem Start eines DCOM-Serverprozesses, aber vor dem Senden einer Objektaktivierungsanforderung an den Serverprozess durchgeführt. Diese Zugriffsüberprüfung wird anhand des benutzerdefinierten Sicherheitsdeskriptors für Startberechtigungen des DCOM-Servers durchgeführt, sofern vorhanden, oder auf andere Weise anhand der konfigurierten Standardwerte.
Wenn die benutzerdefinierte Startberechtigung des DCOM-Servers explizite DENY-Einträge enthält, kann dies bedeuten, dass Objektaktivierungen, die zuvor für solche angegebenen Benutzer erfolgreich waren, nachdem der DCOM-Serverprozess ausgeführt wurde und ausgeführt wurde, stattdessen stattdessen fehlschlagen können. Die richtige Aktion in dieser Situation besteht darin, die benutzerdefinierten Startberechtigungseinstellungen des DCOM-Servers für die richtigen Sicherheitseinstellungen neu zu konfigurieren, aber diese Richtlinieneinstellung kann kurzfristig als Unterstützung für die Bereitstellung der Anwendungskompatibilität verwendet werden.
DCOM-Server, die dieser Ausnahmeliste hinzugefügt werden, sind nur ausgenommen, wenn ihre benutzerdefinierten Startberechtigungen keine bestimmten LocalLaunch-, RemoteLaunch-, LocalActivate- oder RemoteActivate-Gewährungs- oder Ablehnungseinträge für Benutzer oder Gruppen enthalten. Beachten Sie außerdem, dass Ausnahmen für DCOM-Server-App-IDs, die dieser Liste hinzugefügt wurden, sowohl für 32-Bit- als auch für 64-Bit-Versionen des Servers gelten, sofern vorhanden.
Hinweis
Diese Richtlinieneinstellung gilt für alle Websites in vertrauenswürdigen Zonen.
Beschreibungsframeworkeigenschaften:
Eigenschaftenname | Eigenschaftenwert |
---|---|
Format |
chr (Zeichenfolge) |
Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Tipp
Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.
ADMX-Zuordnung:
Name | Wert |
---|---|
Name | DCOMActivationSecurityCheckExemptionList |
Anzeigename | Definieren von Ausnahmen für die Aktivierungssicherheitsprüfung |
Position | Computerkonfiguration |
Pfad | Kompatibilitätseinstellungen für verteilte System-COM-Anwendungen >> |
Registrierungsschlüsselname | Software\Policies\Microsoft\Windows NT\DCOM\AppCompat |
Name des Registrierungswertes | ListBox_Support_ActivationSecurityCheckExemptionList |
ADMX-Dateiname | DCOM.admx |