Предварительные требования, необходимые для запуска COM под именем "Запускающий пользователь"?

Question

Предварительные требования, необходимые для запуска COM под именем "Запускающий пользователь"?

Решено: добавлено full control над C:\Program Files\Application папка в группу, содержащая "Запускающий пользователь".

С помощью dcomcnfg Я могу настроить идентификацию приложения при запуске из другого приложения как COM.

когда The launching user пользователь является участником Administrators group мое приложение может создать COM-объект, но я хочу, чтобы у моего пользователя было как можно меньше разрешений.

С помощью secpol Я добавил группу со своим пользователем в:

Олицетворять клиента после аутентификации
Войдите в систему как пакетное задание (необходимо для неинтерактивного сеанса)
Войдите в систему как служба (необходимо, мое приложение работает как служба)
Получите жетон подражания (...)

Но это не решило мою проблему. Какие secpol или другие разрешения нужны?

Примечание: я не могу использовать другие Identity Варианты, это должен быть запуск пользователя.

0

windows permissions dcom

Источник

Tomasito 16 ноя '18 в 19:01

1 ответ

Решение

Другие вопросы по тегам windows permissions dcom

spacenomyous 16 ноя '18 в 19:27 2018-11-16 19:27 · Accepted Answer · 2018-11-16 19:27

Вам нужно изменить настройки безопасности для самого COM-объекта. По умолчанию группа "Администраторы" имеет полные разрешения, а группа "Пользователи" - чтение. Вот дельта в разрешениях. Вам нужно будет поэкспериментировать с химической завивкой, чтобы получить необходимый минимум.

Permissions  Admins Users
Full Control    +   -
Query Value     +   +
Set Value       +   -
Create Subkey   +   -
Enum Subkeys    +   +
Notify          +   +
Create Link     +   -
Delete          +   -
Write DAC       +   +
Write Owner     +   +
Read Control    +   +