CLSID-номер оснастки: {C9BC92DF-5B9A-11D1-8F00-00C04FC2C17B}
Библиотека: comsnap.dll
Используется в стандартных консолях: comexp.msc, а также dcomcnfg.exe

Данная оснастка является стандартной оснасткой операционных систем семейства Windows, но мало пользователей ее используют. С ее помощью можно просмотреть список зарегистрированных в системе COM-компонентов и приложений COM+, а также настроить параметры их взаимодействия с удаленными компьютерами и локальными пользователями. Также с помощью данной оснастки можно настроить работу координатора распределенных транзакций (MSDTC).

Оснастка СЛУЖБЫ КОМПОНЕНТОВ позволяет получить доступ к ActiveX-объектам как локального, так и удаленного компьютера. По умолчанию выполняется подключение к локальному компьютеру, но вы можете подключиться к удаленному компьютеру с помощью команды СОЗДАТЬ/КОМПЬЮТЕР контекстного меню раздела КОМПЬЮТЕРЫ загруженной оснастки СЛУЖБЫ КОМПОНЕНТОВ.

Она состоит из следующих разделов (рис. 4.20).

Приложения COM+ Позволяет управлять приложениями COM+, установленными на данном компьютере (приложение COM+ представляет собой набор компонентов COM, которые взаимодействуют друг с другом, и выполняют управление очередями или реализуют возможность настройки параметров безопасности на основе ролей). Также с помощью контекстного меню данного раздела можно установить новое приложение COM+ (команда СОЗДАТЬ/ПРИЛОЖЕНИЕ). Естественно, что это можно сделать и с помощью службы Windows Installer.

Данный раздел содержит в себе набор вложенных разделов, которые и определяют приложения COM+. Одним из стандартных таких разделов является раздел СИСТЕМНОЕ ПРИЛОЖЕНИЕ. Он определяет параметры работы системного приложения, которое управляет функциями настройки и развертывания служб компонентов (то есть, пользователи, имеющие доступ к данному приложению, могут управлять работой COM-компонентов и устанавливать новые).

Каждый из разделов приложений COM+, в свою очередь, могут содержать в себе дочерние подразделы. Например, они могут содержать такие подразделы.

• КОМПОНЕНТЫ. Содержит в себе список COM-компонентов данного приложения COM+. С помощью контекстного меню данного раздела вы можете добавить новый COM-компонент к списку используемых. Для этого нужно выбрать команду СОЗДАТЬ/КОМПОНЕНТ, после чего отобразится мастер добавления компонентов, содержащий список всех зарегистрированных на компьютере COM-компонентов.

  Каждый компонент может содержать в себе два вложенных подраздела: ИНТЕРФЕЙСЫ и ПОДПИСКИ. Первый из этих подразделов содержит в себе список всех интерфейсов, доступных компоненту (при помощи команды СВОЙСТВА контекстного меню конкретного интерфейса можно настроить параметры его работы). Второй же определяет доступные компоненту подписки (при помощи команды СВОЙСТВА контекстного меню конкретной подписки можно настроить параметры ее работы).

  При помощи контекстного меню компонента можно выполнить такие действия над ним, как перемещение (команда ПЕРЕМЕСТИТЬ…) в другое приложение, которое поддерживает данный компонент, создание псевдонима для компонента (команда ПСЕВДОНИМ…), выполняющего те же действия, но имеющего другой CLSID-номер, а также отключение данного компонента (команда ЗАПРЕТИТЬ). Однако следует заметить, что не все компоненты поддерживают приведенные выше действия.

• УСТАРЕВШИЕ КОМПОНЕНТЫ. Содержит в себе список устаревших COM-компонентов приложения COM+, которые больше не применяются, так как есть более новые версии. С помощью контекстного меню данного раздела вы можете добавить новый COM-компонент к списку используемых. Для этого нужно выбрать команду СОЗДАТЬ/УСТАРЕВШИЙ КОМПОНЕНТ, после чего отобразится мастер добавления компонентов, содержащий список всех зарегистрированных на компьютере COM-компонентов.

  Работа с компонентами данного раздела аналогична работе с компонентами раздела КОМПОНЕНТЫ.

• РОЛИ. Определяет список ролей (категории пользователей, заданные разработчиком), на основе которых построена модель безопасности данного приложения.

  Например, существуют такие роли, как АДМИНИСТРАТОР, СЧИТЫВАТЕЛЬ, СЕРВЕРНОЕ ПРИЛОЖЕНИЕ, ЛЮБОЕ ПРИЛОЖЕНИЕ и ДОВЕРЕННЫЙ ПОЛЬЗОВАТЕЛЬ QC. Чтобы добавить пользователя к одной из приведенных выше ролей, нужно в контекстном меню раздела Users данной роли выбрать команду СОЗДАТЬ/РОЛЬ. Если же нужно удалить пользователя из группы, тогда нужно воспользоваться командой УДАЛИТЬ контекстного меню значка конкретного пользователя.

  Пользователи, входящие в роль АДМИНИСТРАТОР, имеют права доступа к данному приложению COM+ как на чтение, так и на запись. Им разрешено модифицировать любые параметры COM-компонентов, а также устанавливать новые COM-компоненты. По умолчанию данной ролью обладают пользователи, входящие в группу администраторов локального компьютера.

  Пользователи, входящие в роль ЛЮБОЕ ПРИЛОЖЕНИЕ, имеют права запуска как серверных приложений COM+, так и библиотечных приложений COM+. По умолчанию данной ролью обладают все пользователи данного компьютера.

  Пользователи, входящие в роль ДОВЕРЕННЫЙ ПОЛЬЗОВАТЕЛЬ QC, имеют право передачи сообщения для компонентов в очереди от имени других пользователей (то есть, с присвоением идентификаторов других пользователей, например, от имени пользователя, имеющего больше полномочий, чем сам пользователь). По умолчанию данной ролью не может пользоваться ни один пользователь.

  Пользователи, входящие в роль СЧИТЫВАТЕЛЬ, имеют права доступа к данному приложению COM+ только на чтение. То есть, им разрешено лишь просматривать текущие параметры работы COM-компонентов. По умолчанию данной ролью обладают все пользователи данного компьютера.

  Пользователи, входящие в роль СЕРВЕРНОЕ ПРИЛОЖЕНИЕ, имеют права запуска серверных приложений COM+. По умолчанию данной ролью обладают все пользователи данного компьютера.

Настройка DCOM Позволяет настраивать параметры запуска приложений COM (приложение COM представляет собой набор компонентов COM, которые взаимодействуют друг с другом, но не имеют модели безопасности, построенной на основе ролей). Для этого в контекстном меню необходимого приложения COM нужно выбрать команду СВОЙСТВА.

Работающие процессы Содержит список запущенных в данный момент процессов приложений COM+. При помощи команды ЗАПИСАТЬ ДАМП контекстного меню необходимого приложения, можно создать дамп памяти, в которой выполняется процесс, чтобы впоследствии проанализировать причины возникновения тех или иных ошибок.

Координатор распределенных транзакций Содержит сведения о работе координатора распределенных транзакций, такие, как список транзакций, в которых в данный момент участвует компьютер (раздел СПИСОК ОПЕРАЦИЙ), а также список всех прошедших транзакций (раздел СТАТИСТИКА ТРАНЗАКЦИЙ).

Также с помощью команды СВОЙСТВА контекстного меню локальной службы координатора транзакций (раздел ЛОКАЛЬНАЯ DTC) можно настроить такие параметры работы данной службы, как путь к лог-файлу и его размер (вкладка СЛЕЖЕНИЕ), учетную запись пользователя, от имени которого будет запускаться служба DTC и другие параметры безопасности (вкладка БЕЗОПАСНОСТЬ), а также настройки журнала трассировки работы службы (вкладка ВЕДЕНИЕ ЖУРНАЛА). Журнал трассировки содержит такие данные о транзакции, как ее код, время и сообщение о результате транзакции.

Все параметры трассировки координатора распределенных транзакций содержатся в ветви реестра HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Tracing\MSDTC.

Параметры безопасности же хранятся в ветви реестра HKLM\SOFTWARE\Microsoft\MSDTC\Security.

Рис. 4.20. Оснастка Службы компонентов

Также с помощью данной оснастки можно получить доступ к общим параметрам работы COM-компонентов. Для этого в контекстном меню раздела, определяющего компьютер, к которому вы подключены, нужно выбрать команду СВОЙСТВА.

Настройка общих параметров работы COM-компонентов

После этого отобразится диалог, представленный на рисунке 4.21.

Рис. 4.21. Диалог настройки работы COM-компонентов

Данный диалог содержит следующие вкладки.

Общие Позволяет указать описание данного компьютера.

Параметры Позволяет указать время ожидания следующей транзакции, а также прокси, используемых для приложений COM (RSN).

Свойства по умолчанию С помощью данной вкладки можно отключить работу службы DCOM. После этого локальные приложения COM не смогут работать с приложениями COM удаленного компьютера, однако на взаимодействие локальных приложений COM это не окажет никакого влияния. Также вы можете включить или отключить службы доступа к компьютеру из Интернет при помощи COM.

Обе эти возможности изменяют параметры ветви реестра HKLM\SOFTWARE\Microsoft\Ole. Отключение DCOM приводит к тому, что параметру строкового типа EnableDCOM присваивается значение N. Если же вы отключаете доступ к компьютеру из Интернет при помощи COM, тогда значение N присваивается параметру строкового типа EnableDCOMHTTP. Также при этом включается использование прокси-сервера RPC (параметру REG_DWORD типа Enabled ветви реестра HKLM\SOFTWARE\Microsoft\Rpc\RpcProxy присваивается значение 1).

Кроме того, благодаря данной вкладки можно настроить параметры работы службы DCOM, для чего используются параметры поля СВОЙСТВА СВЯЗИ DCOM ПО УМОЛЧАНИЮ. Например, с помощью данной вкладки можно настроить уровень проверки подлинности и уровень заимствования прав.

Уровень проверки прав, используемый по умолчанию, определяется в параметре REG_DWORD типа LegacyAuthenticationLevel ветви реестра HKLM\SOFTWARE\Microsoft\Ole. Возможны следующие уровни проверки подлинности.

• ОТСУТСТВУЕТ. Проверка подлинности не выполняется. При этом значение параметра LegacyAuthenticationLevel равно 1.
• ПОДКЛЮЧИТЬСЯ. Проверка подлинности выполняется лишь при установке связи с удаленным приложением. Данный уровень подлинности используется по умолчанию. При этом значение параметра равно 2.
• СВЯЗЬ. Проверка подлинности выполняется при каждом получении удаленным приложением запроса от клиента. При этом значение параметра равно 3.
• ПАКЕТ. Проверка подлинности выполняется для всех данных, получаемых удаленным приложением от клиента. При этом значение параметра равно 4.
• ЦЕЛОСТНОСТИ ПАКЕТОВ. Проверка подлинности выполняется для всех данных, полученных как от клиента, таки от удаленного приложения. При этом значение параметра равно 5.
• СЕКРЕТНОСТИ ПАКЕТОВ. Проверка подлинности выполняется для всех данных, полученных как от клиента, таки от удаленного приложения. Кроме того, все данные шифруются. При этом значение параметра равно 6.

Уровень заимствования прав, используемый по умолчанию, определяется в параметре REG_DWORD типа LegacyImpersonationLevel ветви реестра HKLM\SOFTWARE\Microsoft\Ole. Возможны следующие уровни заимствования прав.

• АНОНИМ. Скрывает истинные полномочия клиента, используя минимальные полномочия. При этом значение параметра LegacyImpersonationLevel равно 1.
• ОПРЕДЕЛИТЬ. Позволяет запросить полномочия клиента, в случае необходимости. Данный уровень используется по умолчанию. При этом и последующих значениях заимствования прав становится активным флажок ПОВЫШЕННАЯ БЕЗОПАСНОСТЬ ДЛЯ ОТСЛЕЖИВАНИЯ ССЫЛОК. Если данный флажок установлен, тогда значение параметра строкового типа LegacySecureReferences, расположенного в ветви реестра HKLM\SOFTWARE\Microsoft\Ole, равно Y. При этом значение параметра LegacyImpersonationLevel равно 2.
• ОЛИЦЕТВОРЕНИЕ. По умолчанию использует полномочия клиента. При этом если сервер расположен на другом компьютере, тогда полномочия клиента распространяются только на ресурсы, расположенные на компьютере сервера. При этом значение параметра LegacyImpersonationLevel равно 3.
• ДЕЛЕГИРОВАНИЕ. Позволяет использовать полномочия клиента не только запущенному приложению COM, но и другим приложениям, которые запустит данное приложение. То есть, полномочия клиента распространяются не только на ресурсы компьютера сервера, но и на другие компьютера, на которых запущено приложение COM. При этом значение параметра LegacyImpersonationLevel равно 4.

Набор протоколов Определяет протоколы, с которыми будет работать служба DCOM. По умолчанию используется протокол TCP\IP. Также с помощью кнопки СВОЙСТВА можно список портов, которые при этом будут использоваться.

Безопасность COM С помощью данной вкладки можно изменить права доступа определенных пользователей к COM-компонентам, используемые по умолчанию. Данная вкладка состоит из двух полей: ПРАВА ДОСТУПА и РАЗРЕШЕНИЯ НА ЗАПУСК И АКТИВАЦИЮ. При помощи первого поля можно определить права доступа определенных пользователей к приложениям, а при помощи второй вкладки можно изменить разрешения определенных пользователей на запуск и активацию объектов.

Пользователи, у которых есть разрешение на активацию, могут работать с приложениями, только если у них есть разрешение на доступ. Поэтому таким пользователям нужно предоставить оба разрешения.

MSDTC С помощью данной вкладки можно определить, будет использоваться локальный координатор или удаленный.

Настройка параметров работы приложений COM+

Чтобы настроить параметры работы определенного приложения COM+, нужно в его контекстном меню выбрать команду СВОЙСТВА. После этого отобразится диалог, представленный на рисунке 4.22.

Рис. 4.22. Диалог настройки параметров работы приложения COM+

Данный диалог содержит следующие вкладки.

• Общие. Содержит описание приложения COM+, а также его CLSID-номер.
• Безопасность. Содержит настройки безопасности работы данного приложения COM+, среди которых встречаются уже знакомые нам по предыдущему диалогу уровень проверки подлинности и уровень заимствования прав.
• Удостоверение. Определяет учетную запись пользователя, от имени которого запускается данное приложение COM+.
• Активация. Определяет, является ли данное приложение библиотечным или серверным (к серверному приложению могут подключаться удаленные клиенты), а также использует ли оно протокол SOAP. Если протокол SOAP используется, тогда к приложению COM можно будет подключаться как к веб-службе XML. Доступ к веб-службам XML производится при помощи веб-сервера по протоколу HTTP или HTTPS.
• Очереди. Определяет проверку подлинности сообщений очереди MSMQ, а также определяет, можно ли обратиться к данному приложению COM+ с помощью очередей MSMQ.

  Очереди компонентов позволяют клиенту обратиться к службе из серверного приложения COM+, даже если серверное приложение временно недоступно. В этом случае запрос клиента помещается в очередь и обрабатывается, когда серверное приложение станет доступным.

• Дополнительно. Определяет дополнительные параметры работы приложения. Например, будет ли оно автоматически завершать свою работу после определенного времени бездействия, будет ли запускаться в отладочном режиме, а также, будут ли запрещены операции удаления и изменения.
• Дамп. Определяет путь к файлу дампа приложения COM+, который будет создаваться при помощи команды ЗАПИСАТЬ ДАМП контекстного меню запущенного приложения COM+, а также максимальное количество хранимых дампов.
• Группирование и перезапуск. Определяет размер группы приложения, а также параметры его перезапуска.

  По умолчанию размер группы равен 1, что соответствует отключению службы группирования приложений COM+. Использование нескольких приложений в группе запускает службу группирования приложений, благодаря чему повышается надежность системы, так как процессы с одним потоком масштабируются на группу.

  В качестве параметров автоматического перезапуска можно указать максимальное время работы службы, максимальное количество используемой памяти, максимальное время ожидания ответа от приложения, максимальное число вызовов или активизаций. Автоматический перезапуск приложения COM+ позволяет повысить стабильность работы данного приложения. Все дело в том, что, как правило, чем дольше приложение COM+ работает, тем больше оперативной памяти оно использует или тем медленнее работает из-за возникших внутренних ошибок. Перезапуск же приложения позволяет освободить ненужную оперативную память, а также избавиться от возникших ошибок.

Настройка параметров безопасности приложений COM

Чтобы настроить параметры безопасности приложения COM, нужно выбрать команду СВОЙСТВА контекстного меню нужного приложения. Напомним, что список зарегистрированных приложений COM содержится в разделе НАСТРОЙКА DCOM.

После этого отобразится диалог, представленный на рисунке 4.23.

Рис. 4.23. Диалог настройки приложения COM

Данный диалог содержит следующие вкладки.

• Общие. Данная вкладка отображает CLSID-номер приложения COM, а также тип и имя приложения COM. Также с ее помощью можно изменить уже знакомый нам уровень проверки удаленным сервером подлинности клиента.
• Размещение. С помощью данной вкладки можно определить, на каком компьютере будет запускаться приложение. Приложение COM может запускаться на локальном компьютере, на указанном удаленном компьютере, или на компьютере, который содержит данные приложения.
• Безопасность. С помощью данной вкладки можно настроить разрешения определенных пользователей на запуск и активацию приложения, на доступ к нему, а также на настройку приложения. При этом можно отдельно настроить разрешения для приложения, расположенного на локальном компьютере, и для приложения, расположенного на удаленном компьютере.
• Конечные узлы. С помощью данной вкладки можно определить набор протоколов и конечных узлов, доступных для клиентов сервера DCOM.
• Удостоверение. Определяет учетные записи пользователя, от имени которого будет запускаться приложение COM.

Расширения оснастки Службы компонентов

Как вы уже знаете, при загрузке оснасток с помощью диалога ДОБАВЛЕНИЕ И УДАЛЕНИЕ ОСНАСТКИ, с помощью кнопки ИЗМЕНИТЬ РАСШИРЕНИЯ… можно определить расширения оснастки, которые будет разрешено использовать (по умолчанию разрешено использовать все расширения). Оснастка СЛУЖБЫ КОМПОНЕНТОВ является одной из немногих оснасток, которая состоит из расширений. Она состоит из двух расширений: РАСШИРЕНИЕ СТРАНИЦЫ СВОЙСТВ DTC MMC и ОСНАСТКА DTC MMC. Если вы отключите первое расширение, тогда из диалога настройки общих параметров работы COM-компонентов исчезнет вкладка MSDTC. Отключение же второго расширения приведет к невозможности работы с оснасткой СЛУЖБЫ КОМПОНЕНТОВ.

Продолжение следует