这个问题困扰好久了,高手清如《》《〈〉〈〉〈〉〈〉〈〉〈〉〈〉〈〉》》》》》》》》》》》》》》》〉〉〉〉〉〉〉〉〉〉〉〉〉〉〉〉〉〉

感谢您使用微软产品。
建议你看看 Q158508 COM Security Frequently Asked Questions (Q4)
如果你的意图是想disable 掉 DCOM/COM+提供的security服务, 在msdn中看看 "turn off security"段;你可以找找以前的帖子看看:http://www.csdn.net/expert/topic/273/273819.shtm微软亚洲技术中心 VC技术支持本贴子仅供CSDN的用户作为参考信息使用。其内容不具备任何法律保障。您需要考虑到并承担使用此信息可能带来的风险。具体事项可参见使用条款 (http://www.csdn.net/microsoft/terms.shtm)。

解决方案 »

  1.   

    acptvc(微软亚洲技术中心 VC技术支持) 
    以下是微软各的答案,然而并没有详细说明该如何办,我也试过http://www.csdn.net/expert/topic/273/273819.shtm
    但是我不存在域的概念,用了也不对。This mode does not work unless both sides use local accounts, not domain accounts. For example, I could not use my Test\MarkRy account on Machine1 and a Machine2\MarkRy account on the other machine running Windows NT Workstation. In that case, Windows NT Workstation would have to delegate to its domain controllers, which it does not do. It fails any attempts by a different MarkRy that comes from an distrusted domain (or machine running Windows NT Workstation). 
    This fallback mode is implicit in Windows NT Workstation to Windows NT Workstation interactions but explicit in interactions between Windows NT Workstation and Windows NT Server. In the case where you want to give access to an machine running Windows NT Server from a Windows NT Workstation user, but the Windows NT Workstation machine itself is not part of the same domain (or of a trusted domain), you need to create a special kind of user account called a "local" user. In the User Manager for Domains, open the New User dialog box, and click Account. 
    This is how Windows NT Server works with an account from a distrusted machine running Windows NT Workstation or Windows NT Server but, again, only by matching the ASCII account name and the password. "Local" accounts have various restrictions. Basically, they are never delegated for security checks, so they cannot be used in trusted domains, for example. Another significant limit is that a "local" Windows NT Server/domain account cannot be used on any of the Windows NT Workstation or non-DC Windows NT Server machines in that domain because that would also require referral (from Windows NT Workstation to Windows NT Domain Controller). 以上结束
    你能给出一个例子吗
      

  2.   

    Hi,朋友:
       这个问题我也遇到过,即使在属性里去掉安全检查,生成实例后还是会出现权限不够的错误,
    最终还是采取最土的方式: 
       1.客户端是COM服务器的域成员
       2.若客户端与COM服务器无任何关系,只能让他们的Administrator密码相同。
      

  3.   

    感谢您使用微软产品。通常的理解是如果把DCOM security disable掉,那么系统应该不做authentication. 我在一台Windows XP (client)和Windows 2k (server)间测试过,结果却不是这样。即使client和server的authentication level=none, 从server的事件察看器中的security栏仍然可以看到sever没有把Administrator当成everyone来处理,NTLM LSA把该帐号当成本机器的Administrator来对待!如果client使用一个server端不认识的账号比如tester,那么event viewer中将有两个纪录:tester账号logon 失败;guest 账号成功logon。其实q4中已经告诉你如果客户端与COM服务器无任何关系并且客户端使用的账户名字在COM服务器上是存在的,那么这两个账户的密码一定得使用相同的--这是由NTLM 的LSA行为决定的,而com/rpc和file server的security都部分使用NTLM LSA提供的服务。详细的解释你可以参看http://www.microsoft.com/MSJ/0299/security/security0299.htm中的“The Guest Account ”段。避免使用相同的账户名字。编程方式是在客户端调用CoCreateInstanceEx(...,COSERVERINFO *pServerInfo,...);当然最土的方法是使用不同的账户登陆啦。:-)微软亚洲技术中心 VC技术支持本贴子仅供CSDN的用户作为参考信息使用。其内容不具备任何法律保障。您需要考虑到并承担使用此信息可能带来的风险。具体事项可参见使用条款 (http://www.csdn.net/microsoft/terms.shtm)。 
      

  4.   

    多谢,告诉大家一个好消息,我下载了一个东东,能在不Logout情况下使用了