(0) exportieren Drucken
Alle erweitern

Implementieren und Verwalten des ActiveX-Installationsdiensts

Betrifft: Windows Server 2008,Windows Vista

Verwenden Sie dieses Dokument, um zu erfahren, wie Sie den ActiveX®-Installationsdienst in Windows Vista® implementieren und verwalten.

Wozu dient der ActiveX-Installationsdienst?

Viele Unternehmen müssen ActiveX-Steuerelemente auf ihren Desktopcomputern installieren, um sicherzustellen, dass die Vielzahl von Programmen, die sie täglich verwenden müssen, ordnungsgemäß funktionieren. Die meisten ActiveX-Steuerelemente müssen jedoch von einem Mitglied der Gruppe Administratoren installiert werden, und zahlreiche Unternehmen konfigurieren ihre Einstellungen so, dass sich die Benutzer als Standardbenutzer anmelden müssen. Sie sind keine Administratoren und gehören zur Benutzergruppe. Dies hat zur Folge, dass die Unternehmen die ActiveX-Steuerelemente neu packen und den Benutzern bereitstellen müssen. Außerdem müssen viele dieser ActiveX-Steuerelemente regelmäßig aktualisiert werden. Viele Unternehmen sind jedoch der Meinung, diese Aufgabe sei für Standardbenutzer zu schwierig und zu aufwändig.

In Windows Vista können Sie ActiveX-Steuerelemente jetzt problemlos in einer Standardbenutzerumgebung bereitstellen und aktualisieren. Mit dem ActiveX-Installationsdienst können Sie eine Gruppenrichtlinie verwenden, um genehmigte Host-URLs zu definieren, die Standardbenutzer zum Installieren von ActiveX-Steuerelementen verwenden können.

noteHinweis
Beim ActiveX-Installationsdienst handelt es sich um eine optionale Komponente von Windows Vista® Ultimate, Windows Vista® Business, Windows Vista® Enterprise.

Funktionsweise des ActiveX-Installationsdiensts

Wenn ein Standardbenutzer mithilfe von Internet Explorer® zu einem Standort navigiert, der die Installation eines ActiveX-Steuerelements erfordert, überprüft der ActiveX-Installationsdienst, ob die angeforderte URL in der Gruppenrichtlinie genehmigt wurde. Diese URL wird als Host-URL bezeichnet. Wenn die Host-URL genehmigt wurde, installiert der Dienst das ActiveX-Steuerelement für den Standardbenutzer. Der Benutzer muss keine Administratoranmeldeinformationen oder Administratorgenehmigung angeben. Wenn die Host-URL nicht genehmigt wurde, wird die Standardeinstellung für ActiveX-Steuerelemente in Windows Vista verwendet. Der Benutzer muss in diesem Fall Administratoranmeldeinformationen oder eine Administratorgenehmigung angeben.

noteHinweis
Der ActiveX-Installationsdienst wurde so konzipiert, dass Standardbenutzer die ActiveX-Steuerelemente installieren können, ohne Administratoranmeldeinformationen bereitstellen zu müssen. Der Dienst hat keine Auswirkungen darauf, wie die Mitglieder der Gruppe Administratoren die ActiveX-Steuerelemente installieren.

Der Dienst installiert nur vom Microsoft-Dienst Internetkomponentendownload gepackte ActiveX-Steuerelemente. Daher muss das ActiveX-Steuerelement die Dateierweiterung CAB, DLL oder OCX aufweisen, damit es vom ActiveX-Installationsdienst installiert werden kann.

Aktivierung des ActiveX-Installationsdiensts

Sie können den ActiveX-Installationsdienst über die Systemsteuerung oder an der Eingabeaufforderung aktivieren.

So aktivieren Sie den ActiveX-Installationsdienst über die Systemsteuerung
  1. Klicken Sie auf Start, und klicken Sie dann auf Systemsteuerung.

  2. Klicken Sie im Fenster Systemsteuerung auf Programme.

  3. Klicken Sie unter Programme und Features auf Windows-Funktionen ein- oder ausschalten.

  4. Wenn das Dialogfeld Benutzerkontensteuerung eingeblendet wird, bestätigen Sie die angegebene Aktion und klicken dann auf Weiter.

  5. Wählen Sie im Dialogfeld Windows-Features die Option ActiveX-Installationsdienst aus, und klicken Sie dann auf OK.

    Nachdem Sie den ActiveX-Installationsdienst aktiviert haben, müssen Sie ihn mithilfe der Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC) konfigurieren.

So aktivieren Sie den ActiveX-Installationsdienst an der Eingabeaufforderung
  1. Klicken Sie auf Start, und geben Sie cmd in das Feld Suche starten ein. Klicken Sie mit der rechten Maustaste auf cmd.exe, und klicken Sie dann auf Als Administrator ausführen.

  2. Wenn das Dialogfeld Benutzerkontensteuerung eingeblendet wird, bestätigen Sie die angegebene Aktion und klicken dann auf Weiter.

  3. Geben Sie unter Eingabeaufforderung Folgendes ein: ocsetup.exe AxInstallService.

    Nachdem Sie den ActiveX-Installationsdienst aktiviert haben, müssen Sie ihn mithilfe der Gruppenrichtlinien-Verwaltungskonsole konfigurieren.

Konfigurieren des ActiveX-Installationsdiensts

Nachdem Sie den ActiveX-Installationsdienst aktiviert haben, müssen Sie ihn mithilfe der Gruppenrichtlinien-Verwaltungskonsole konfigurieren. Sie müssen die Einstellungen des ActiveX-Installationsdiensts konfigurieren, indem Sie in der Gruppenrichtlinie eine administrative Vorlage verwenden. Die administrative Vorlage besteht aus einer Liste von genehmigten Installationsorten, die der ActiveX-Installationsdienst verwendet, um zu bestimmen, ob ein ActiveX-Steuerelement installiert werden kann.

So konfigurieren Sie den ActiveX-Installationsdienst mithilfe der Gruppenrichtlinien-Verwaltungskonsole
  1. Klicken Sie auf Start, zeigen Sie auf Alle Programme, klicken Sie auf Zubehör, und klicken Sie dann auf Ausführen.

  2. Geben Sie mmc ein, und klicken Sie dann auf OK.

  3. Klicken Sie im Menü Datei auf Snap-In hinzufügen/entfernen.

  4. Klicken Sie im Dialogfeld Snap-In hinzufügen/entfernen auf Gruppenrichtlinien-Verwaltungskonsole, und klicken Sie dann auf Hinzufügen.

  5. Übernehmen Sie im Dialogfeld Gruppenrichtlinienobjekt auswählen die Standardeinstellung des lokalen Computers, oder klicken Sie auf Durchsuchen, um einen Remotecomputer zu konfigurieren. Klicken Sie anschließend auf Fertig stellen.

  6. Klicken Sie im Dialogfeld Snap-In hinzufügen/entfernen auf OK.

  7. Erweitern Sie in der Konsolenstruktur unter Richtlinie für "Lokaler Computer" und Computerkonfiguration die Einträge Administrative Vorlagen und Windows-Komponenten. Klicken sie anschließend auf ActiveX-Installationsdienst.

  8. Klicken Sie im Detailbereich mit der rechten Maustaste auf Genehmigte Installationsorte für ActiveX-Steuerelemente, und klicken Sie dann auf Eigenschaften.

  9. Wählen Sie im Dialogfeld mit den Eigenschaften der genehmigten Installationsorte für ActiveX-Steuerelemente die Option Aktiviert aus, und klicken Sie dann neben Host-URLs auf Anzeigen.

    Approved installation sites
  10. Klicken Sie im Dialogfeld Inhalt anzeigen auf Hinzufügen.

    ActiveX Installer Service Host URLs
  11. Geben Sie im Dialogfeld Element hinzufügen den Namen der URL ein, für die Sie die Installation von ActiveX-Steuerelementen zulassen möchten.

    Add ActiveX Installer Service Host URL
  12. Geben Sie im Dialogfeld Element hinzufügen die Werte für die vier Einstellungen der Host-URLs für den ActiveX-Installationsdienst ein. Diese Einstellungen sind in den Tabellen 1 bis 4 dargestellt.

Wenn Sie eine URL hinzufügen, können Sie durch Komma getrennte Werte angeben, die die Einstellungen für den ActiveX-Installationsdienst darstellen. Vier Eigenschaften können konfiguriert werden:

  • Installieren von ActiveX-Steuerelementen mit vertrauenswürdigen Signaturen

  • Installieren von signierten ActiveX-Steuerelementen

  • Installieren von unsignierten ActiveX-Steuerelementen

  • HTTPS-Fehlerausnahmen

Installieren von ActiveX-Steuerelementen mit vertrauenswürdigen Signaturen

Diese Einstellung beschreibt das Verhalten des Diensts beim Installieren eines ActiveX-Steuerelements, das mit einem Zertifikat signiert wurde, das sich im Speicher des Computers oder eines vertrauenswürdigen Herausgebers befindet. In Tabelle 1 sind mögliche Werte für diese Einstellung dargestellt.

Tabelle 1: Werte zum Installieren von ActiveX-Steuerelementen mit vertrauenswürdigen Signaturen

Wert Beschreibung

0

ActiveX-Steuerelemente mit vertrauenswürdigen Signaturen dürfen vom Benutzer nicht installiert werden.

1

Fordert den Benutzer vor dem Installieren von ActiveX-Steuerelementen mit vertrauenswürdigen Signaturen zum Bestätigen auf.

2

Installiert ActiveX-Steuerelemente mit vertrauenswürdigen Signaturen, ohne den Benutzer zu benachrichtigen. Dies ist der Standardwert.

Installieren von signierten ActiveX-Steuerelementen

Diese Einstellung bestimmt das Verhalten des Diensts beim Installieren eines ActiveX-Steuerelements, das mit einem Zertifikat signiert wurde, das sich nicht im Speicher vertrauenswürdiger Herausgeber für den Computer oder das Unternehmen befindet.

Tabelle 2: Werte zum Installieren von signierten ActiveX-Steuerelementen

Wert Beschreibung

0

Das Installieren von signierten ActiveX-Steuerelementen ist nicht zugelassen.

1

Fordert den Benutzer vor dem Installieren von signierten ActiveX-Steuerelementen zum Bestätigen auf. Dies ist der Standardwert.

2

Installiert signierte ActiveX-Steuerelemente, ohne den Benutzer zu benachrichtigen.

Installieren von unsignierten ActiveX-Steuerelementen

Diese Einstellung bestimmt das Verhalten des Diensts beim Installieren eines unsignierten ActiveX-Steuerelements. In Tabelle 3 sind mögliche Werte für diese Einstellung dargestellt.

Tabelle 3: Werte zum Installieren von unsignierten ActiveX-Steuerelementen

Wert Beschreibung

0

Das Installieren von unsignierten ActiveX-Steuerelementen ist nicht zugelassen. Dies ist der Standardwert.

1

Installiert unsignierte ActiveX-Steuerelemente, ohne den Benutzer zu benachrichtigen.

HTTPS-Fehlerausnahmen

Dieser Wert steuert die Verbindung, die den Dienst beim Herunterladen des ActiveX-Steuerelements sucht. Standardmäßig wird die Installation eines ActiveX-Steuerelements vom ActiveX-Installationsdienst nicht zugelassen, wenn bei der HTTPS-Verbindung Fehler erkannt werden.

Tabelle 4: Werte für HTTPs-Fehlerausnahmen

Wert Beschreibung

0

Gibt an, dass die Verbindung erfolgreich überprüft werden muss.

0x00000100

Gibt an, dass der ActiveX-Installationsdienst die Fehler ignorieren soll, die durch unbekannte Zertifizierungsstellen hervorgerufen werden.

0x00001000

Gibt an, dass der ActiveX-Installationsdienst die Fehler ignorieren soll, die durch ungültige gemeinsame Namen hervorgerufen werden. Ein gemeinsamer Name ist ein Namensattribut, aus dem ein definierter Name (DN) gebildet wird.

0x00002000

Gibt an, dass der ActiveX-Installationsdienst die Fehler ignorieren soll, die durch das Datum eines Zertifikats hervorgerufen werden.

0x00000200

Gibt an, dass der ActiveX-Installationsdienst die Fehler ignorieren soll, die durch falsche Zertifikatsverwendung hervorgerufen werden.

noteHinweis
Sie können das ODER-Zeichen (|) verwenden, um mehrere Fehlerausnahmen für den ActiveX-Installationsdienst anzugeben.

Beispielkonfiguration

Sie können die im Folgenden dargestellte Beispielkonfigurationen verwenden, um zu erfahren, wie Sie den ActiveX-Installationsdienst konfigurieren können. Diese Beispielkonfigurationen sind jedoch keine Empfehlungen.

Standardeinstellungen

Wenn Sie keine Werte angeben, erzwingt der ActiveX-Installationsdienst die Standardwerte. Die Standardwerte lauten 2, 1, 0 und 0. Wenn diese Einstellungen vorgenommen wurden, verhält sich der ActiveX-Installationsdienst folgendermaßen:

  • Die Installation von unsignierten ActiveX-Steuerelementen wird verhindert.

  • Der Benutzer wird aufgefordert, die Installation eines signierten ActiveX-Steuerelements zu genehmigen.

  • Es werden automatisch ActiveX-Steuerelemente installiert, die mit einem Zertifikat aus der Liste vertrauenswürdiger Herausgeber signiert wurden, ohne den Benutzer zu einer Bestätigung aufzufordern.

Einstellungen für hohe Sicherheit

Die Konfiguration des ActiveX-Installationsdiensts ist am sichersten, wenn der Administrator den Dienst folgendermaßen konfiguriert:

  • Es wird eine HTTPS-Website als Host-URL verwendet.

  • Es dürfen nur ActiveX-Steuerelemente installiert werden, die mit einem Zertifikat aus der Liste vertrauenswürdiger Herausgeber signiert wurden.

Die Werte für diese Konfiguration lauten 2, 0, 0 und 0.

Überwachen des ActiveX-Installationsdiensts

Der ActiveX-Installationsdienst erstellt vier Überwachungsereignisse im Anwendungsüberwachungs-Ereignisprotokoll.

Windows Application Log

Die folgenden Ereignisse sind logisch in der Reihenfolge definiert, in der sie während der Installation eines ActiveX-Steuerelements erstellt werden.

  • Ereignis 4097 (Es wird versucht, ein nicht in der Gruppenrichtlinie enthaltenes ActiveX-Steuerelement zu installieren.)

    Dieses Ereignis tritt auf, wenn der ActiveX-Installationsdienst aufgefordert wird, ein Steuerelement von einer Host-URL herunterzuladen, die sich nicht in der Liste der zugelassenen Installationshosts befindet. Dieses Ereignis ist sehr wichtig, da Sie die im Ereignis aufgezählten Hostinformationen verwenden können, um Ihre Gruppenrichtlinie für den ActiveX-Installationsdienst zu erstellen.

  • Ereignis 4098 (Alle Gruppenrichtlinienüberprüfungen für dieses ActiveX-Steuerelement wurden erfolgreich ausgeführt.)

    Dieses Ereignis tritt auf, wenn der ActiveX-Installationsdienst zunächst aufgefordert wird, ein ActiveX-Steuerelement von einem Host zu installieren, der sich in der Liste der zugelassenen Installationshosts befindet. Im nächsten Schritt lädt der ActiveX-Installationsdienst das ActiveX-Steuerelement vom Host herunter.

  • Ereignis 4099 (Das ActiveX-Steuerelement wird von der Gruppenrichtlinie blockiert.)

    Dieses Ereignis tritt auf, wenn der ActiveX-Installationsdienst versucht, ein ActiveX-Steuerelement herunterzuladen, das nicht den erforderlichen Signierungseinstellungen in der Gruppenrichtlinie entspricht. Wenn das ActiveX-Steuerelement unsigniert ist und die Gruppenrichtlinie erfordert, dass alle ActiveX-Steuerelemente signiert sind, tritt dieser Fehler auf.

  • Ereignis 4100 (Fehler beim Herunterladen des ActiveX-Steuerelements.)

    Dieses Ereignis tritt auf, wenn der ActiveX-Installationsdienst versucht, ein ActiveX-Steuerelement von einem Host herunterzuladen, der nicht den in der Gruppenrichtlinie festgelegten Kriterien entspricht. Wenn eine HTTPS-Website über ein abgelaufenes oder ungültiges Zertifikat verfügt und dieses für die Gruppenrichtlinie erforderlich ist, tritt dieser Fehler auf.

Bewährte Methoden zum Verwenden des ActiveX-Installationsdiensts

Es wird empfohlen, die folgenden bewährten Methoden anzuwenden, wenn Sie den ActiveX-Installationsdienst in Ihrem Unternehmen implementieren.

  • Ausschließliches Installieren von ActiveX-Steuerelemente von vertrauenswürdigen Unternehmen

    Es wird empfohlen, nur ActiveX-Steuerelemente von Herausgebern zu installieren, die Sie kennen und denen Sie vertrauen. Der ActiveX-Installationsdienst bestimmt nicht, ob der Host, der das ActiveX-Steuerelement enthält, über eine Verbindung mit einem sicheren Netzwerk verfügt. Wenn Sie sicherstellen, dass Sie nur ActiveX-Steuerelemente von vertrauenswürdigen Herausgebern installieren, kann dieses Risiko gemindert werden.

  • Bereitstellen von häufig verwendeten ActiveX-Steuerelementen

    Es wird empfohlen, dass Sie ActiveX-Steuerelemente, die in Ihrer Umgebung häufig verwendet werden, mithilfe der in Ihrem Unternehmen verwendeten Anwendungsbereitstellungsmethode bereitstellen. Viele Benutzer verwenden heutzutage Laptops, um Verbindungen mit mehreren Netzwerken herzustellen, einschließlich drahtlosen Hotspots. Ein bösartiger Proxyserver in einem unsicheren Netzwerk könnte versuchen, den ActiveX-Installationsdienst zu täuschen, indem er ihn auf einen Host mit bösartiger Software umleitet, der sich selbst als häufig verwendetes ActiveX-Steuerelement ausgibt. Wenn Sie sicherstellen, dass Sie für Ihre Benutzer nur häufig verwendete ActiveX-Steuerelemente bereitstellen, kann dieses Risiko gemindert werden.

  • Ausschließliches Verwenden von HTTPS-Host-URLs

    Es wird empfohlen, den Wert für HTTPS-Fehlerausnahmen nur zu verändern, wenn es erforderlich ist, dass die Verbindung erfolgreich überprüft wird (0). Wenn ein Remotebenutzer eine Verbindung mit einem unsicheren Drahtlosnetzwerk herstellt und der Proxyserver versucht, die Verbindung umzuleiten, wird mit dieser Einstellung sichergestellt, dass das ActiveX-Steuerelement aufgrund des ungültigen Zertifikats nicht installiert werden kann.

  • Konsolidieren von ActiveX-Steuerelementen auf einem zentralen Server

    Es wird empfohlen, die in Ihrem Unternehmen verwendeten ActiveX-Steuerelemente auf einem zentralen Server zu konsolidieren. Der Ort, an dem eine Website ein ActiveX-Steuerelement hostet, wird als CODEBASE bezeichnet. Der als CODEBASE bezeichnete Ort wird in der Regel auf der Webseite angegeben. Während des Installationsvorgangs wird das ActiveX-Steuerelement dann von diesem Ort abgerufen.

    In verwalteten Unternehmen können Sie den auf der Website angegebenen Wert für CODEBASE mithilfe der Gruppenrichtlinie außer Kraft setzen, um eine Umleitung auf einen internen Server vorzunehmen. Mit dieser Einstellung können Sie auf einfache Weise verwalten, welche ActiveX-Steuerelemente von den Benutzern installiert werden können, indem Sie die ActiveX-Steuerelemente auf einem zentralen Server konsolidieren. Wenn es sich bei dem Server um einen HTTPS-Server handelt, werden Sie den vorherigen bewährten Methoden auch gerecht. Verwenden Sie nur HTTPS-Host-URLs.

    Sie können eine gemeinsame Gruppenrichtlinieneinstellung konfigurieren, um alle Installationen von ActiveX-Steuerelementen auf einen zentralen Server in Ihrem Unternehmen umzuleiten. Verwenden Sie dazu den Registerschlüssel CodeBaseSearchPath. Weitere Informationen zu CodeBaseSearchPath erhalten Sie im Artikel zum Implementieren eines Internetkomponentendownloads (http://go.microsoft.com/fwlink/?LinkId=90677, möglicherweise in englischer Sprache).

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Microsoft führt eine Onlineumfrage durch, um Ihre Meinung zur MSDN-Website zu erfahren. Wenn Sie sich zur Teilnahme entscheiden, wird Ihnen die Onlineumfrage angezeigt, sobald Sie die MSDN-Website verlassen.

Möchten Sie an der Umfrage teilnehmen?
Anzeigen:
© 2014 Microsoft