策略 CSP - ADMX_DCOM
提示
此 CSP 包含 ADMX 支持的策略,这些策略需要特殊的 SyncML 格式才能启用或禁用。 必须在 SyncML 中将数据类型指定为 <Format>chr</Format>。 有关详细信息,请参阅 了解 ADMX 支持的策略。
SyncML 的有效负载必须是 XML 编码的;对于此 XML 编码,可以使用各种联机编码器。 若要避免对有效负载进行编码,可以使用 CDATA(如果 MDM 支持)。 有关详细信息,请参阅 CDATA 节。
DCOMActivationSecurityCheckAllowLocalList
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10 版本 2004,KB5005101 [10.0.19041.1202] 及更高版本 ✅ Windows 10 版本 20H2,KB5005101 [10.0.19042.1202] 及更高版本 ✅ Windows 10 版本 21H1,KB5005101 [10.0.19043.1202] 及更高版本 ✅ Windows 11 版本 21H2 [10.0.22000] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/ADMX_DCOM/DCOMActivationSecurityCheckAllowLocalList
允许指定本地计算机管理员可以补充“定义激活安全检查豁免”列表。
如果启用此策略设置,并且 DCOM 在“定义激活安全检查豁免”策略中找不到 DCOM 服务器应用程序 ID (appid) 的显式条目, (如果启用) ,则 DCOM 将在本地配置的列表中查找条目。
如果禁用此策略设置,DCOM 将不会在本地配置的 DCOM 激活安全检查豁免列表中查找。
如果未配置此策略设置,则如果未配置“定义激活安全检查豁免”策略,则 DCOM 将仅查找本地配置的豁免列表。
注意 此策略设置适用于受信任的区域中的所有站点。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 |
chr (字符串) |
| 访问类型 | 添加、删除、获取、替换 |
提示
这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略。
ADMX 映射:
| 名称 | 值 |
|---|---|
| 名称 | DCOMActivationSecurityCheckAllowLocalList |
| 友好名称 | 允许本地激活安全检查豁免 |
| 位置 | “计算机配置” |
| 路径 | 系统 > 分布式 COM > 应用程序兼容性设置 |
| 注册表项名称 | Software\Policies\Microsoft\Windows NT\DCOM\AppCompat |
| 注册表值名称 | AllowLocalActivationSecurityCheckExemptionList |
| ADMX 文件名 | DCOM.admx |
DCOMActivationSecurityCheckExemptionList
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10 版本 2004,KB5005101 [10.0.19041.1202] 及更高版本 ✅ Windows 10 版本 20H2,KB5005101 [10.0.19042.1202] 及更高版本 ✅ Windows 10 版本 21H1,KB5005101 [10.0.19043.1202] 及更高版本 ✅ Windows 11 版本 21H2 [10.0.22000] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/ADMX_DCOM/DCOMActivationSecurityCheckExemptionList
允许查看和更改从 DCOM 激活安全检查中免除的 DCOM 服务器应用程序 ID (appids) 列表。 DCOM 使用两个此类列表,一个通过组策略通过此策略设置配置,另一个通过本地计算机管理员的操作进行配置。 配置此策略设置时,DCOM 将忽略第二个列表,除非启用了“允许本地激活安全检查豁免”策略。
添加到此策略的 DCOM 服务器 appid 必须以大括号格式列出。 例如: {b5dcb061-cefb-42e0-a1be-e6a6438133fe}。 如果输入不存在或格式不正确的 appid,DCOM 会将其添加到列表中,而不会检查错误。
如果启用此策略设置,可以查看和更改组策略设置定义的 DCOM 激活安全检查豁免列表。 如果将 appid 添加到此列表并将其值设置为 1,则 DCOM 不会对该 DCOM 服务器强制实施激活安全检查。 如果将 appid 添加到此列表并将其值设置为 0,则无论本地设置如何,DCOM 都将始终对该 DCOM 服务器强制实施激活安全检查。
如果禁用此策略设置,则会删除由组策略定义的 appid 豁免列表,并使用由本地计算机管理员定义的列表。
如果未配置此策略设置,将使用由本地计算机管理员定义的 appid 豁免列表。
注意
DCOM 激活安全检查是在 DCOM 服务器进程启动之后,但在将对象激活请求调度到服务器进程之前完成的。 此访问检查针对 DCOM 服务器的自定义启动权限安全描述符(如果存在)执行,或者针对配置的默认值执行。
如果 DCOM 服务器的自定义启动权限包含显式 DENY 条目,这可能意味着,在启动并运行 DCOM 服务器进程后,以前为此类指定用户成功激活的对象激活现在可能会失败。 在这种情况下,适当的操作是为正确的安全设置重新配置 DCOM 服务器的自定义启动权限设置,但此策略设置可能在短期内用作应用程序兼容性部署帮助。
仅当添加到此豁免列表的 DCOM 服务器自定义启动权限不包含任何用户或组的特定 LocalLaunch、RemoteLaunch、LocalActivate 或 RemoteActivate 授予或拒绝条目时,才会被豁免。 另请注意,添加到此列表的 DCOM 服务器 Appid 的豁免将同时适用于 32 位和 64 位版本的服务器(如果存在)。
注意
此策略设置适用于受信任的区域中的所有站点。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 |
chr (字符串) |
| 访问类型 | 添加、删除、获取、替换 |
提示
这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略。
ADMX 映射:
| 名称 | 值 |
|---|---|
| 名称 | DCOMActivationSecurityCheckExemptionList |
| 友好名称 | 定义激活安全检查豁免 |
| 位置 | “计算机配置” |
| 路径 | 系统 > 分布式 COM > 应用程序兼容性设置 |
| 注册表项名称 | Software\Policies\Microsoft\Windows NT\DCOM\AppCompat |
| 注册表值名称 | ListBox_Support_ActivationSecurityCheckExemptionList |
| ADMX 文件名 | DCOM.admx |