我在亚马逊上买了一本书,目的是为我准备 70-536 考试。我发现了一些对我来说有点混乱的信息。让我引用它 - 我将把我的问题放在一起。
要了解如何使用安全策略,请考虑一位应用程序开发人员,他想使用从 Internet 下载的程序集。开发人员已将程序集下载到她的本地计算机,因此(?) 它将在我的电脑区域中运行。
是这样吗?我认为代码组成员身份(我的电脑区)取决于在程序集中硬编码的证据。我们如何知道程序集正在使用 Zone: MyComputer 证据,这在这种情况下是必要的?
开发人员的计算机是 AD DS 域的成员,并且域管理员在企业安全策略中创建了一个代码组,该代码组授予本地计算机上的程序集 Everything 权限集。这比机器安全策略授予“我的电脑”区域中的程序集的 FullTrust 权限集更具限制性,因此 Everything 权限集优先。
但是,开发人员不确定程序集是否可以安全运行,因此她想应用 Internet 权限集来防止程序集写入磁盘或通过网络进行通信。她没有以管理员身份登录到她的计算机,但她仍然可以启动 .NET Framework 2.0 配置工具并修改用户安全策略。(不允许标准用户修改计算机安全策略。)通过修改用户安全策略,她可以将“我的电脑”区域中的程序集限制为 Internet 权限集。 她运行的程序集将受到限制,而不会影响同一台计算机的其他用户。
假设我在用户策略级别(以All__Code作为父级)创建嵌套代码组“ test ”并将其成员资格条件分配给区域:MyComputer。这是否意味着我还需要将All__Code的权限集从Full Trust更改为Nothing?
亲切的问候 PK