超级会员免费看
Windows DNA 安全概述
1. 基于角色的声明式安全
角色是 COM+ 对象集中式声明式安全系统的关键。系统管理员、开发人员或组件创建者可以创建安全角色,每个角色可以有不同的访问权限,并且可以包含各种用户。同一个用户可以属于不同的组,而这些组又被分配到不同的角色。这样,用户根据其访问应用程序组件时所使用的角色,将拥有不同的访问权限。用户必须被分配到适当的角色才能被允许访问数据,角色可以包含用户组或单个用户账户。
MMC(Microsoft 管理控制台)是管理声明式安全的最简单方法。这种声明式安全不需要任何组件编程,并且可以在组件外部的 COM+ 目录中随时修改(无论是在应用程序部署之前还是在应用程序生命周期内)。基于角色的安全不需要开发人员使用底层操作系统安全 API。
当应用程序使用基于角色的安全时,如果调用是从应用程序边界外部发起的,每次调用应用程序时都会检查调用者的角色成员资格。例如,当两个应用程序共享同一个进程,并且第一个应用程序中的组件调用第二个应用程序中的组件时,会进行安全检查,因为跨越了应用程序边界。而在包安全设置的情况下,如果调用没有跨越边界,则不需要额外的检查,因为调用者已经被授予了对包的访问权限。
2. 创建角色
创建角色和分配用户的最佳方法是创建用户组,这类似于在 NT 中创建用户组并将用户添加到该组。具体步骤如下:
1. 使用“本地用户和组”工具创建一个本地组(本地用户或组是可以从本地系统获得权限和权利的账户),并将用户添加到该组。
2. 将这些组分配到适当的角色。
使用 MMC 和组来填充角色在企业环境中会使管理变得更加容易,因为在企业环境中用户数量可能会显著增加
订阅专栏 解锁全文
扫一扫
4
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
