Windows

以“啟動使用者”身份啟動 COM 所需的權限?

  • November 16, 2018

已解決:將文件夾添加full controlC:\Program Files\Application包含“啟動使用者”的組中。


當從另一個應用程序作為 COM 啟動時,使用dcomcnfg我可以配置應用程序標識。

DCOM 配置

The launching user使用者是Administrators組的成員時,我的應用程序可以創建 COM 對象,但我希望我的使用者具有盡可能低的權限。

使用secpol我已將組與我的使用者添加到:

  • 身份驗證後模擬客戶端
  • 作為批處理作業登錄(非互動式會話需要)
  • 作為服務登錄(需要,我的應用程序作為服務執行)
  • 獲取模擬令牌 (…)

但這並沒有解決我的問題。需要什麼secpol或其他權限?

注意:我不能使用其他Identity選項,它必須是啟動使用者。

您需要更改 COM 對象本身的安全設置。預設情況下,Administrators 組具有完全權限,而 Users 組具有讀取權限。這是權限的增量。您必須嘗試使用燙髮以獲得所需的最低限度。

Permissions  Admins Users
Full Control    +   -
Query Value     +   +
Set Value       +   -
Create Subkey   +   -
Enum Subkeys    +   +
Notify          +   +
Create Link     +   -
Delete          +   -
Write DAC       +   +
Write Owner     +   +
Read Control    +   +

引用自:https://serverfault.com/questions/940410