Gewusst wie: Hinzufügen von Assemblys zu Sicherheitsrichtlinien mit "Caspol.exe"
Assemblys, die eine benutzerdefinierte Berechtigung implementieren, oder andere benutzerdefinierte Sicherheitsobjekte, die nicht in .NET Framework enthalten sind, müssen der Liste der voll vertrauenswürdigen Assemblys hinzugefügt werden. Zu diesem Zweck können Sie das Sicherheitsrichtlinientool für den Codezugriff (Caspol.exe) verwenden. Für jede Sicherheitsebene ist eine separate Liste vorhanden. Die Liste der voll vertrauenswürdigen Assemblys gewährt ihren Mitgliedern volle Vertrauenswürdigkeit für die entsprechende Richtlinienebene. Dies ist erforderlich, um zu verhindern, dass zur Laufzeit zirkuläre Richtlinienauflösungen ausgeführt werden.
So fügen Sie der Liste der voll vertrauenswürdigen Assemblys eine Assembly hinzu, die ein benutzerdefiniertes Sicherheitsobjekt implementiert
Bevor Sie der Sicherheitsrichtlinie eine Assembly hinzufügen, müssen Sie ihr einen starken Namen geben und sie im globalen Assemblycache speichern. Weitere Informationen zum Arbeiten mit Assemblys und dem globalen Assemblycache finden Sie unter Erstellen und Verwenden von Assemblys mit starkem Namen.
Geben Sie an der Eingabeaufforderung den folgenden Befehl ein:
caspol [-enterprise|-machine|-user] –addfulltrust AssemblyFile
Geben Sie die Richtlinienebenenoption vor der Option –addfulltrust an. Wenn Sie die Richtlinienebenenoption nicht angeben, listet Caspol.exe die Berechtigungssätze mit der standardmäßigen Richtlinienebene auf. Die Standardebene für Administratoren ist die Computerrichtlinienebene, für alle anderen ist es die Benutzerrichtlinienebene.
Mit dem folgenden Befehl fügen Sie der Liste der voll vertrauenswürdigen Assemblys für die Benutzerrichtlinienebene MyCustomPermissionSet.exe hinzu.
caspol –user –addfulltrust MyCustomPermissionSet.exeWenn die hinzuzufügende Assembly von einer anderen Assembly abhängt (also Typen verwendet, die in einer anderen Assembly implementiert sind), müssen Sie diese Assembly ebenfalls der Liste hinzufügen.
Das Hinzufügen einer Assembly zu einer Liste voll vertrauenswürdiger Assemblys ist keine Garantie dafür, dass ihr das Richtliniensystem insgesamt volle Vertrauenswürdigkeit gewährt. Vielmehr wird die volle Vertrauenswürdigkeit nur auf der Richtlinienebene gewährt, in der sie aufgelistet ist. Wenn Sie beispielsweise die Assembly MyCustomPermission.exe der Liste der voll vertrauenswürdigen Assemblys hinzufügen, MyCustomPermission.exe jedoch nur Ausführungsrechte von der Computerrichtlinie erhält, würden MyCustomPermission.exe letztendlich nur Ausführungsrechte gewährt werden. Beachten Sie daher, dass durch das Hinzufügen einer Assembly zur Liste der voll vertrauenswürdigen Assemblys nur die Erstellung zirkulärer Richtlinienauflösungen für die Richtlinienebene verhindert werden kann, in der sie aufgelistet ist. Dies garantiert nicht, dass der Assembly, welche die benutzerdefinierte Berechtigung implementiert, wirklich volle Vertrauenswürdigkeit gewährt wird.
Siehe auch
Referenz
Caspol.exe (Richtlinientool für die Codezugriffssicherheit)