Amministrazione mediante gli attributi dei gruppi di codice
Aggiornamento: novembre 2007
Si supponga che un amministratore aziendale sia responsabile dell'amministrazione dei criteri di protezione per una serie di workstation. In un tipico dominio aziendale, l'amministratore di rete dispone di privilegi amministrativi su ogni server e ogni client. Non è tuttavia raro che ai singoli utenti siano concessi privilegi amministrativi su una singola workstation. Questo significa che l'amministratore di rete dispone di privilegi amministrativi in base ai criteri definiti a livello aziendale, mentre l'amministratore di workstation dispone dei privilegi amministrativi in base ai criteri definiti a livello di computer. Apparentemente, in questa situazione, l'amministratore di rete dispone di un controllo maggiore sui criteri dal momento che quelli definiti a livello aziendale vengono valutati per primi e i criteri definiti a livello di computer non possono estendere il contenuto delle decisioni assunte in materia di protezione dall'amministratore aziendale. L'amministratore a livello di computer tuttavia può sempre rafforzare la protezione, con una possibile interruzione dell'esecuzione di applicazioni attendibili che sarebbero state, altrimenti, autorizzate all'esecuzione. Per questo motivo, a livelli di criteri superiori è possibile scegliere di escludere la valutazione delle decisioni assunte in materia di protezione a livelli inferiori.
Questo risultato può essere ottenuto applicando gli attributi LevelFinal o Exclusive a un gruppo di codice mediante uno degli strumenti di gestione dei criteri di protezione.
Attributo LevelFinal
Quando viene applicato a un gruppo di codice, l'attributo LevelFinal esclude la valutazione dei livelli di criteri inferiori al livello corrente. Se, ad esempio, si applica l'attributo LevelFinal al gruppo di codice della rete Intranet a livello aziendale, qualsiasi gruppo di codice appartenente al livello di computer non verrà valutato neanche nell'ipotesi che un amministratore a livello di computer abbia apportato modifiche. L'applicazione dell'attributo LevelFinal garantisce che un assembly associato a un gruppo di codice contrassegnato con tale attributo non riceva mai un numero minore di autorizzazioni a seguito delle decisioni assunte da un amministratore a un livello di criteri inferiore. Per informazioni sull'impostazione dell'attributo LevelFinal su un gruppo di codice predefinito o personalizzato, vedere Strumento .NET Framework Configuration o Strumento criteri di protezione dall'accesso di codice (Caspol.exe).
Attributo Exclusive
Quando viene applicato a un gruppo di codice, l'attributo Exclusive impedisce che altri gruppi allo stesso livello di criteri vengano presi in considerazione quando, in base all'ambiente di esecuzione, vengono calcolate le autorizzazioni per gli assembly contenuti nel gruppo di codice Exclusive. I livelli di criteri superiori e inferiori a quello corrente continuano tuttavia a essere valutati. In base a questo attributo, le decisioni relative al livello di criteri corrente vengono determinate da un solo specifico gruppo di codice, indipendentemente dalle autorizzazioni concesse agli assembly corrispondenti a tale gruppo. Il suo utilizzo può essere particolarmente vantaggioso quando si desidera concedere un set specifico di autorizzazioni a specifici assembly, senza consentire le autorizzazioni previste da altre corrispondenze di gruppi di codice appartenenti allo stesso livello di criteri.
Non è consentita l'esecuzione di un assembly che appartenga a più gruppi di codice contrassegnati come Exclusive. È quindi necessario utilizzare l'attributo Exclusive con parsimonia quando si amministrano criteri di protezione personalizzati. Per informazioni sull'impostazione dell'attributo Exclusive su un gruppo di codice incorporato o personalizzato, vedere Strumento .NET Framework Configuration (Mscorcfg.msc) o Strumento criteri di protezione dall'accesso di codice (Caspol.exe).
Vedere anche
Concetti
Attributi dei gruppi di codice