為 Office 2010 規劃 COM 物件分類

關於 COM 物件分類

Office 2010 會先檢查是否已為 COM 物件分類設定任何群組原則設定。如果其中某些設定已啟用 COM 物件分類，Office 2010 就會驗證在登錄中的指定 COM 物件是否正確分類。

若要在組織中啟用 COM 物件分類，首先要決定如何設定最適合組織需求的群組原則安全性設定。然後，在登錄中新增目標 COM 物件的類別識別碼。

為 COM 物件分類設定群組原則安全性設定

共有四種 COM 物件分類群組原則設定：

• 檢查 OWC 資料來源提供者

• 檢查 Excel RTD 伺服器

• 檢查 OLE 物件

• 檢查 ActiveX 物件

[檢查 OWC 資料來源提供者] 和 [檢查 Excel RTD 伺服器] 可設定為啟用或停用。若啟用這些設定，則會強制 Office 2010 只載入正確分類的 COM 物件。

若對 [檢查 OLE 物件] 和 [檢查 ActiveX 物件] 選取 [啟用]，則會顯示其他選項，如下表所示。

[覆寫 IE 刪除位元] 選項可讓您特別列出哪些 OLE 或 ActiveX 控制項只要正確分類，即使是列於 Internet Explorer 刪除位元清單中，都可允許載入至 Office 2010。如果想讓指定為對載入至 Internet Explorer 視為不安全的 COM 物件能被允許載入，即可使用此項控制。其實您知道該 COM 對載入至 Microsoft Office 是安全的。Office 也會檢查是否已啟用 Office COM 刪除位元。如需 Office COM 刪除位元的詳細資訊，請參閱＜為 Office 2010 規劃 ActiveX 控制項的安全性設定＞。如果啟用 Office COM 刪除位元，但無替代的 CLSID (亦稱為「Phoenix 位元」)，就不會載入該 COM 物件。如需刪除位元行為的詳細資訊，請參閱如何阻止 ActiveX 控制項在 Internet Explorer 中執行 (https://go.microsoft.com/fwlink/?linkid=183124\&clcid=0x404)。

若想建立一份安全性允許清單，只允許指定的控制項可載入，其他所有未列於清單的 OLE 或 ActiveX 物件，一律不允許載入，則可使用 [嚴格允許清單] 選項。

如果在群組原則中啟用任何 COM 物件分類設定，接下來您便需在登錄中新增該 COM 物件分類。

在登錄中新增 COM 物件分類

每個群組原則設定在登錄中都有對應的 COM 物件分類。下表列出這些設定。

除非群組原則設定為 [停用] 或 [啟用] | [不檢查]，否則您都需為指定的 COM 物件新增正確的 CATID。在登錄中，您需對該 COM 物件的 CLSID 新增名為 Implemented Categories 的機碼 (如果此機碼尚未存在)，然後，再對此 Implemented Categories 機碼新增子機碼，以包含該 CATID。

例如，如果要您建立一份允許清單，只允許 Microsoft Graph 圖表的 OLE 物件用於 Office，則先要查看登錄中的下列位置是否有該 COM 物件的 CLSID：

HKEY_CLASSES_ROOT\CLSID

該 Microsoft Graph 圖表的 CLSID 為 {00020803-0000-0000-C000-000000000046}。接下來，需驗證 Implemented Categories 機碼是否已存在，若尚未存在，則需建立此機碼。本範例的路徑為：

HKEY_CLASSES_ROOT\CLSID\{00020803-0000-0000-C000-000000000046}\Implemented Categories

最後，則需在該 Implemented Categories 機碼中，為對應於 [檢查 OLE 物件] 群組原則設定的 CATID 新增子機碼。在本範例中，最後的路徑和值為：

HKEY_CLASSES_ROOT\CLSID\{00020803-0000-0000-C000-000000000046}\Implemented Categories\{F3E0281E-C257-444E-87E7-F3DC29B62BBD}

See Also

Other Resources

TechNet 上的 Office 2010 安全性資源中心(可能為英文網頁)