Powershellを使用してDCOM設定のセキュリティ設定を変更する

Question

Powershellスクリプトを記述して、Webアプリケーションの一部としてサーバーを設定し、このサーバーの設定に必要な手順の1つを実行するようにサーバーを設定する作業が与えられました「起動とアクティベーション」/「アクセス」権限にアカウントを追加し、これらのアカウントが追加されるとその権限を設定します。

Powershellを使用してこれを行う方法はありますか？私は達成しようとしていることを達成するための具体的な方法を見つけることができませんでしたので、どんな助けでも喜ばれるでしょう。

Answer 1

あなたはWMIを使っているようです。このようなWin32_DCOMApplicationSetting：

はのインスタンスを取得します

$dcom = Get-WMIObject -Class Win32_DCOMApplicationSetting -Filter 'Description="Something"' 

今、あなたはSetAccessSecurityDescriptorとSetLaunchSecurityDescriptorメソッドへのアクセス権を持っています。

：http://msdn.microsoft.com/en-us/library/windows/desktop/aa384905(v=vs.85).aspx

DCOMアプリケーション

DCOMアプリケーション・インスタンスは、いくつかのセキュリティ記述子を持っています。 Windows Vistaで を起動するには、Win32_DCOMApplicationSetting クラスのメソッドを使用して、さまざまなセキュリティ記述子を取得または変更します。セキュリティ 記述子は、Win32_SecurityDescriptor クラスのインスタンスとして返されます。

構成のアクセス許可を取得または変更するには、 GetConfigurationSecurityDescriptorまたは SetConfigurationSecurityDescriptorメソッドを呼び出します。

アクセス許可を取得または変更するには、 GetAccessSecurityDescriptorまたはSetAccessSecurityDescriptorメソッドを呼び出します。

起動とアクティベーションのアクセス許可を取得または変更するには、 GetLaunchSecurityDescriptorメソッドまたはSetLaunchSecurityDescriptorメソッドを呼び出します。

Windows Server 2003、Windows XP、Windows 2000、Windows NT 4.0、および Windows Me/98/95：Win32_DCOMApplicationSettingセキュリティ 記述子メソッドは使用できません。

ソースコードは、Windows SDKで提供されているDCOMPERMというツールもあります：http://www.microsoft.com/en-us/download/details.aspx?id=8279

あなたがコンパイルDCOMPERMを探している場合は、オンラインの周りにコンパイルされたバージョンを見つけることができます。ここで

は、コマンドラインオプションは次のとおりです。

Syntax: dcomperm <option> [...] 
Options: 

Modify or list the machine access permission list 
-ma <"set" or "remove"> <Principal Name> ["permit" or "deny"] ["level:l,r"] 
-ma list 

Modify or list the machine launch permission list 
-ml <"set" or "remove"> <Principal Name> ["permit" or "deny"] ["level:l,r,ll,la,rl,ra"] 
-ml list 

Modify or list the default access permission list 
-da <"set" or "remove"> <Principal Name> ["permit" or "deny"] ["level:l,r"] 
-da list 

Modify or list the default launch permission list 
-dl <"set" or "remove"> <Principal Name> ["permit" or "deny"] ["level:l,r,ll,la,rl,ra"] 
-dl list 

Modify or list the access permission list for a specific AppID 
-aa <AppID> <"set" or "remove"> <Principal Name> ["permit" or "deny"] ["level:l,r"] 
-aa <AppID> default 
-aa <AppID> list 

Modify or list the launch permission list for a specific AppID 
-al <AppID> <"set" or "remove"> <Principal Name> ["permit" or "deny"] ["level:l,r,ll,la,rl,ra"] 
-al <AppID> default 
-al <AppID> list 

level: 
    ll - local launch (only applies to {ml, dl, al} options) 
    rl - remote launch (only applies to {ml, dl, al} options) 
    la - local activate (only applies to {ml, dl, al} options) 
    ra - remote activate (only applies to {ml, dl, al} options) 
    l - local (local access - means launch and activate when used with {ml, dl, al} options) 
    r - remote (remote access - means launch and activate when used with {ml, dl, al} options) 

Answer 2

私はOPと同じ疑問を持っていました。アンディが投稿した答えはとても役に立ち、私を半分にしました。私は誰かがSharePointの展開を手助けするように書かれたSet-DCOMLaunchPermissionsを見つけました。

私の目的に合わせて機能を調整し、必要な権限を設定するソリューションを考え出しました。

$user = "sql2012agent" 
$domain = "MYDOMAIN" 
$appdesc = "Microsoft SQL Server Integration Services 11.0" 
$app = get-wmiobject -query ('SELECT * FROM Win32_DCOMApplicationSetting WHERE Description = "' + $appdesc + '"') -enableallprivileges 
#$appid = "{83B33982-693D-4824-B42E-7196AE61BB05}" 
#$app = get-wmiobject -query ('SELECT * FROM Win32_DCOMApplicationSetting WHERE AppId = "' + $appid + '"') -enableallprivileges 
$sdRes = $app.GetLaunchSecurityDescriptor() 
$sd = $sdRes.Descriptor 
$trustee = ([wmiclass] 'Win32_Trustee').CreateInstance() 
$trustee.Domain = $domain 
$trustee.Name = $user 
$fullControl = 31 
$localLaunchActivate = 11 
$ace = ([wmiclass] 'Win32_ACE').CreateInstance() 
$ace.AccessMask = $localLaunchActivate 
$ace.AceFlags = 0 
$ace.AceType = 0 
$ace.Trustee = $trustee 
[System.Management.ManagementBaseObject[]] $newDACL = $sd.DACL + @($ace) 
$sd.DACL = $newDACL 
$app.SetLaunchSecurityDescriptor($sd)