COM+ 安全机制

COM+  安全机制

1 实现宣告式安全机制

要实现宣告式安全机制，程序员必须遵照使用下列的步骤：
A)  启用MTS/COM+的安全检查功能 。
   Component Services(组件服务)中 COM+ 应用程序[属性]的[安全性]中设置“强制此应用程序的存取检查”.

B)  定义每一个MTS/COM+套件组件、MTS/COM+组件、接口以及方法以便能
够合法存取角色。
   1)首先让我们在系统中加入用户群组，并在用户群组中加入用户。
   2)接 着执 行 MTS Explorer 或Component Services (组件服务)，点选要设定安全机制 的
MTS/COM+套件组件，再点选这个套件组件的权限项目。角色中增加新角色.
   3)把Windows 操作系统的用户或用户群组加入到MTS/COM+的角色中.

C)  使用MTS Explorer 或Component Services 把Windows 操作系统的用户或用户
群组加入到MTS/COM+的角色之中 。 一旦指定了存取的角色，就只有属于指定角色的用户可以存取相应的MTS/COM+组件、接口或方法
   1) 组件层级设置角色访问控制.
   2) 接口层级设置角色访问控制.
   3) 方法层级设置角色访问控制.

D)系统套件组件---管理COM+组件权限管理
   在MTS Explorer 或Component Services 应用程序中有一个System 套件组件。这个套件
组件的功能是控制 MTS Explorer 或Component Services 应用程序的存取权限 。
System 套件组件中有数个角色：在 MTS 中 有 Administrator 和Reader 在Component
Services 中有Any QC Trusted User 和Reader其中
Reader 代表能够使用MTS Explorer 或Component Services 检视角色以及安全设定的
用户，而 Administrator 则是能够使 用 MTS Explorer 或Component Services 检视和
修改安全机制的用户.
   如果你只希望系统中特定的用户才能使 用 MTS Explorer 或Component
Services 来修改MTS/COM+的角色和安全设定，就可以 在 Administrator 角色中加入此
特定的用户。因此就只有系统管理者和这个特定的用户才能够使 用 MTS Explorer 或
Component Services 来修改MTS/COM+的角色和安全设定。其他的系统用户都无法通过
MTS Explorer 或Component Services 来更改任何设定的角色和安全存取机制。这样可
以确保系统设定的安全环境不会被随意地修改。

E) 资源鉴定控制
   鉴定控制就是指一个MTS/COM+套件组件中的组件在需要存取其他的系统资源时，使用什么系统帐号来登录到
这些资源服务器中。因此程序员在设计 MTS/COM+组件时，如果这些组件需要存取其他
的系统资源，那么程序员必须使用一个合法的鉴定控制身份来登录到这些资源服务器
中。否 则 MTS/COM+组件的执行就会失败，因为它将无法取得它需要使用的资源。
   在MTS/COM+中，一个鉴定控制的单位是套件组件。这也就是说在一个套件组件中
所有 的 MTS/COM+组件都是使用一个相同的系统帐号来存取其他的系统资源，例如数据
库服务器。使用鉴定控制来存取系统资源有许多好处。
   一般来说，程序员或系统人员应该使用特定的用户身份来做鉴定控制，因为这样才
可以保证系统执行行为的一致性，也可以增加 Pooling 的功能 。