Windows Server 2003 Bileşen Nesne Modeli (COM) hizmetlerindeki ve IIS 6.0'daki değişiklikler, ASP sayfalarındaki, ISAPI uzantılarındaki veya IIS çalıştıran diğer uygulamalardaki COM+ nesnelerinin güvenliğini etkileyebilir. Güvenlik risklerini en aza indirmek için, IIS 6.0'daki yeni işlem modeli tüm çalışan işlemlerin LocalSystem dışındaki bir kimlik altında çalışmasını gerektirir. Çalışan işlem kimliğinin bu nesne için başaltma izinleri yoksa, nesne başarıyla oluşturulur. IIS çalışan işlemini, güvenlik riski oluşturacak kadar çok hak atanmasına gerek kalmadan nesneyi başarıyla oluşturabilecek yeterli kullanıcı haklarını atamalısınız.

Önemli

Windows Server 2003 için, IUSR_bilgisayaradı ve IWAM_bilgisayaradı hesapları oluşturulur ve IIS yüklenirken DCOM bileşenlerine varsayılan olarak başlatma izinleri verilir. Windows Server 2003 Service Pack 1 (SP1) için, hesaplar yine oluşturulur, ancak IIS yüklerken varsayılan olarak DCOM bileşenlerini başlatma izni verilmez. SP1'e yükseltmeden önce IIS yüklüyse, izinler değişmez. Ancak SP1'e yükselttikten sonra IIS'yi yüklerseniz, uygulamanız IUSR_bilgisayaradı ve IWAM_bilgisayaradı hesapları için varsayılan başlatma izinlerini kullanıyorsa COM nesneleri bu hesaplar altında başlatılamaz. Bu durumda, bir erişim reddedildi hatası alırsınız. Aşağıdaki yordamı, varsayılan başlatma izinlerini kullanmak yerine belirli kullanıcılara veya gruplara başlatma izinlerini açıkça atamak için kullanın.

Aşağıdaki öneriler, yönetimsel yükü azaltır ve yeterli güvenliği sağlayabilir:

• Bağımsız kullanıcıları doğrudan bir nesnenin başlatma izinlerine eklemek yerine, COM+ nesnesinin çalıştığı bilgisayarda bir grup oluşturun ve sonra da bağımsız kullanıcıları bu gruba ekleyin. Ardından, bu grubu nesnenin başlatma izinlerine ekleyin.
  
• COM+ nesnesi bir ISAPI uzantısının GetExtensionVersion yönteminden, bir ISAPI filtresinden veya geçerli işlemin kimliği olarak çalışan bir ISAPI uzantısından oluşturulmuşsa, IIS_WPG grubunu nesnenin başlatma izinlerine ekleyin.
  

  Not
  Bu yaklaşımı, çalışmakta olan COM+ nesneleriyle kullanamazsınız.

Yordamlar

Önemli

Aşağıdaki yordamı veya yordamları gerçekleştirmek için yerel bilgisayarda Administrators grubunun bir üyesi olmanız gerekir. En iyi güvenlik yöntemlerinden birisi olarak bilgisayarınıza Administrators grubunda olmayan bir hesapla oturum açın ve IIS Yöneticisi'ni yönetici olarak çalıştırmak için runas komutunu kullanın. Komut isteminde runas /user:Yönetici_HesabıAdı "mmc %systemroot%\system32\inetsrv\iis.msc" yazın.

Dağıtılmış Web uygulamalarının başlatma izinlerini yapılandırmak için

1. Başlat'ı ve sonra da Denetim Masası'nı tıklatın.

2. Yönetimsel Araçlar'ı çift tıklatın ve Bileşen Hizmeti'ni tıklatın.

3. Bileşen Hizmetleri'nin sol bölmesinde, Bileşen Hizmetleri'ni çift tıklatın, Bilgisayarlar'ı çift tıklatın ve sonra da Bilgisayarım'ı tıklatın.

4. DCOM Yapılandırması klasörünü tıklatın.

5. Ayrıntılar bölmesinde, varsayılan başlatma izinlerini değiştirmek istediğiniz nesneyi bulun, nesnenin simgesini sağ tıklatın ve sonra da Özellikler'i tıklatın.

6. Güvenlik sekmesini tıklatın.

7. Başlatma İzinleri altında, Özelleştir'i ve sonra da Düzenle'yi tıklatın.

Önemli
Bir uygulamanın varsayılan başlatma izinlerini değiştirmemelisiniz.