Служба activex installer в windows vista, windows it pro
ІТ-інфраструктура для вашого підприємства
Передісторія і перші кроки
Тут слід підкреслити, що браузери IE, що випускалися до появи Windows Vista, все ж були оснащені деякими засобами контролю компонентів ActiveX. Пакет оновлень XP Service Pack 2 (SP2) для IE 6.0 і пізніших версій дає можливість виконувати програму з правами адміністратора і блокувати установку всіх елементів управління ActiveX. Для кожної зони безпеки IE адміністратору з відповідними привілеями можна надати право завантажувати і виконувати підписані або непідписані елементи керування ActiveX (або не надавати йому такого права). Крім того, в груповій політиці можна помістити список «санкціонованих адміністратором» елементів управління ActiveX, які можуть використовувати локальні адміністратори. Ці настройки групової політики прекрасно справляються із завданням обмеження повноважень користувачів з адміністративними правами, але вони не приносять користі, коли справа доходить до надання найменш привілейованим користувачам права встановлювати елементи управління. Цим користувачам заборонено встановлювати елементи управління незалежно від того, що зазначено в політиці.
Щоб скористатися службою ActiveX Installer Service, її потрібно для початку встановити, бо це факультативний компонент Windows. У середовищі Vista версії Ultimate, Business або Enterprise потрібно зареєструватися як адміністратор, відкрити панель управління і вибрати пункт Programs. Клацніть на пункті Turn Windows features on or off. Служба ActiveX Installer Service буде стояти на початку списку. Встановіть її прапорець, як показано на екрані 1, потім натисніть ОК.
Дозвіл на установку Flash Player
Щоб викликати подія, спочатку слід зареєструватися в системі Vista з призначеної для користувача обліковим записом, яка входить тільки в одну групу - вбудовану групу users. Ніяких адміністративних привілеїв цей запис мати не повинна.
Натисніть відповідну кнопку для установки на комп'ютері програвача Flash Player 9. Компонент управління доступом користувачів Vista User Access Control (UAC) запропонує ввести ім'я користувача з правами адміністратора і пароль для компонента Internet Explorer Add-on Installer. У цей момент слід натиснути кнопку Cancel в вікні UAC. Подія згенеровано.
Завершіть сеанс системи і знову зареєструйтеся в ній - але вже з правами адміністратора; до сих пір ви мали права звичайного користувача. Можливо, тут можна було б скористатися функцією швидкого перемикання користувачів Fast User Switching - FUS, але на етапі тестування я вважаю за краще не вдаватися до її допомоги, особливо в тих випадках, коли доводиться вносити зміни в групові політики. Мій досвід показує, що в подібній ситуації в залежності від модифікується політики може знадобитися перереєстрація, а то і перезавантаження системи. Для отримання більш надійних результатів потрібно завершувати сеанс роботи системи і знову зареєструватися в ній, хоча це і забирає більше часу.
У корпоративному середовищі службу Installer слід налаштовувати для роботи з цілим рядом систем; для цього особливим чином налаштовується об'єкт групової політики (Group Policy Object, GPO) служби Active Directory (AD). Але, оскільки зараз ми займаємося тестуванням, я розповім, як користувачу, який бажає встановити програвач Flash Player, налаштувати політику локального комп'ютера.
Перші три цифри значення 2,1,0,0 інформують службу ActiveX Installer Service про те, які дії слід робити відносно користуються довірою підписаних і непідписаних елементів управління. 0 означає «не встановлювати», 1 означає «запросити дозвіл у користувача», а 2 означає «встановлювати без запиту». Отже, в нашому випадку, коли значення становить 2,1,0,0, 2 дає службі Installer санкцію на установку користуються довірою елементів управління, 1 наказує службі звернутися до користувача за дозволом на установку елементів управління з цифровим підписом, а 0 означає, що непідписані елементи керування встановлюватися не повинні.
Четверта цифра в значенні 2,1,0,0 дає службі ActiveX Installer Service вказівку щодо того, як потрібно обробляти помилки сертифіката HTTP Secure (HTTPS). За замовчуванням приймається значення 0; це означає, що в процесі установки елемента керування помилок у сертифікатах бути не повинно. Інші можливі значення перераховані в таблиці. Якщо елемент керування ActiveX завантажується з сайту по протоколу HTTPS, значення, відмінні від нуля, знижують вимоги до безпеки при вирішенні проблем з помилками в сертифікаті.
Через кілька секунд політика буде оновлена.
Випробування і застереження
Після виконання заданої команди перереєстрували в системі з правами звичайного користувача і знову спробуйте встановити програвач Flash Player. Відкрийте вікно браузера IE і ще раз зверніться на Web-вузол Adobe Flash Player Download Center. Знову спробуйте встановити елемент управління і зверніть увагу на те, що тепер система реагує на ваші дії не так, як раніше. На цей раз служба ActiveX Installer Service запросить дозвіл на установку компонента. Надайте їй такий дозвіл, і через кілька секунд ви побачите, що процес успішно завершений: у вікні Web-браузера виконується flash-анімація. Все обійшлося без привілеїв рівня адміністратора.
Політика, яка тільки що була створена, повинна надавати звичайному користувачеві право встановлювати будь-які елементи управління ActiveX, що задовольняють двом вимогам: вони повинні бути в тому ж форматі і перебувати на тому ж сайті Adobe, який вказаний в політиці. Однак в ході випробувань мені довелося зіткнутися з проблемами при установці деяких елементів управління - і це при тому, що вони розміщувалися в файлах правильних форматів. Наприклад, в ході установки засобами ActiveX Installer Service програвача Adobe Shockwave Player (представленого в коректному форматі і знаходиться на тому ж сайті Adobe, що і Flash Player), система запропонувала мені ввести свої облікові дані. Зрозуміло, що така реакція позбавляє використання служби Installer всякого сенсу. Висновок: необхідно тестувати кожен елемент ActiveX, установку якого в мережі повинна на вашу задумом санкціонувати служба Installer.
Рассел Сміт ([email protected]) - незалежний ІТ-консультант, спеціалізується на управлінні системами
Поділіться матеріалом з колегами і друзями