DCOM-Sicherheitskonfiguration für Microsoft Word auf einem Server

So überprüfen Sie die COM Sicherheitseinstellungen:

  • Loggen Sie sich lokal als Administrator ein.
  • Rufen Sie über Start/Ausführen „dcomcnfg“ die Komponentendienste auf.
  • Wählen Sie auf der linken Seite die Komponentendienste aus und navigieren über Computer zum Arbeitsplatz.
  • Über das Kontextmenü auf den Arbeitsplatz rufen Sie die Eigenschaften auf.
  • Wählen Sie den Reiter COM-Sicherheit.
  • Klicken Sie auf den Button Standards bearbeiten für die Zugriffsberechtigungen
  • Stellen Sie sicher, dass mindestens folgende Benutzer aufgelistet werden:
    • Administratoren
    • Selbst
    • System
    • ggf. Netzwerkdienst (für Windows 2003 Server)

Stellen Sie sicher, dass diese Benutzer auch über Standards bearbeiten für Start und Aktivierungsberechtigungen gesetzt sind. Der lokale Zugriff sollte in jedem Fall erlaubt sein.

Einstellungen in Microsoft Word für den Einsatz auf einem Server

Microsoft Word-Einstellungen:

Folgende Einstellungen gelten insbesondere, wenn Sie Microsoft Word gerade frisch installiert haben.

  • Loggen Sie sich als Benutzer ein, der Microsoft Word über die Fremdapplikation steuert (z.B. der Office2PDF 2007-Benutzer).
  • Starten Sie Microsoft Word. Beim Start registriert es sich selbst auf dem System als COM Applikation
  • Schließen Sie alle Dialoge, die während des ersten Starts von Microsoft Word aufgeblendet werden. Z.B. nach Eingabe Ihrer Initialen, oder den Office Assistenten.
  • Blenden Sie den Office Assistenten dauerhaft aus.
  • Deaktivieren Sie die Feedback-Funktionen ab Microsoft Word 2003 dauerhaft.
  • Beenden Sie Microsoft Word.

Standard-Makros:

Wenn Sie in Microsoft Word Standard-Makros eingerichtet haben, sei eine Deaktivierung oder Deinstallation empfohlen, da sie Konvertierungsprozesse verlangsamen können.

Einsatz auf Windows Server 2008

Auf Microsoft Serversystemen gelten verschärfte Sicherheitsbeschränkungen, die einem Admin schon das Leben schwer machen können. Meist lassen sich Dateien nicht laden oder speichern. Hier gibt es einen Tipp, wonach die Erzeugung eines Verzeichnisses dieses Problem löst.

Login unter Windows als Systemuser

Wenn Sie unbedingt ein Tool als Systemuser betreiben wollen und das Verhalten eingeloggt als Systemuser testen wollen. Hier ist ein Video, welches dies erläutert: http://www.youtube.com/watch?v=CcAE37i289w

PDF Server über Windows Druckerfreigabe

Die Erzeugung von PDF Dokumenten aus Office Dokumenten war lange Zeit nur über den Umweg des Druckens in eine Postscript Datei möglich. Diese Postscript Datei musste dann mit Ghostscript in eine PDF Datei konvertiert werden. Mittlerweile beherrschen die meisten Office Programme das PDF Format direkt, was die Sache für den Anwender deutlich einfacher macht.

Nichtsdestotrotz ist die Variante über einen PDF Drucker trotzdem interessant, da somit nahezu beliebige Anwendungen (die auf einen Windows Drucker drucken können) die PDF-Ausgabe beherrschen.

Der Grundlegende Aufbau eines PDF-Servers, der über einen sog. PDF-Drucker konvertiert skizziert sich wie folgt:

  • Es existiert ein Postscript Drucker auf einem Rechner, der im Netzwerk als Drucker freigegeben wird
  • Der Postscript Drucker leitet den Ausdruck bei einem Druckjob in ein separates Programm oder Batchdatei über
  • Das Programm nimmt sich die Postscript Datei und konvertiert diese mithilfe Ghostscript in eine PDF Datei
  • Nachdem die PDF Datei entstanden ist, wird diese per Email an den Absender zurück gesandt

Zum Aufbau eines solchen PDF Servers sind im Internet einige Hilfen und Tools verteilt. Folgende Webseiten könnten hilfreich sein:

  • http://rumborak.de/produktives/index.html
  • http://www.is-foehr.de/

Vorteile:

  • Nahezu jede Anwendung kann damit PDF erzeugen
  • Funktioniert auch in Terminalserver Sitzungen
  • Zentrale Administration, nur der Druckername muss den Usern bekannt sein
  • Auch über Linux realisierbar

Nachteile:

  • Hyperlinks und PDFMarks werden idR. nicht unterstützt
  • Benutzer muss ggf. eine Druckerinstallation durchführen

Konvertierung von Dokumenten per Verzeichnisüberwachung

Adobe Acrobat brachte es einmal mit. Und in der Tat kommt diese Variante auch noch recht häufig in Unternehmen vor. Die Rede ist von der Dokumentenkonvertierung in einem freigegebenen Verzeichnis. Die Prozedur läuft nach folgendem simplen Schema ab:

 

  • Ein Konverter oder eine Hilfsapplikation (z.B. ein Batch Script, der einen Konverter aufruft) überwacht ein bestimmtes Eingabeverzeichnis
  • Beim Speichern von Dokumenten in diesem Verzeichnis läuft der Konverter sofort los und konvertiert die abgelegten Dateien und speichert diese auch gleich in ein Ausgangsverzeichnis ab.

Für einen User ist dies recht einfach zu handhaben. Jedoch leidet der Know How-Schutz und gewisse schutzbedürftige Informationen allgemein stark darunter. Denn gewöhnlich kann jeder, der Dokumente in ein freigegebenes Verzeichnis speichert auch diese Dateien von dort aus öffnen. Spätestens wenn der Azubi die noch unveröffentlichten Geschäftsstrategien der Manager lesen, wird klar, dass dies so nicht gewünscht sein kann.

Um diesem Umstand Herr zu werden könnte man (theoretisch) beim kopieren der Dokumente in das Ausgangsverzeichnis das Dokument wie folgt gegen unbefugten Zugriff schützen:

  • Ein separates Script, welches zusätzlich das Verzeichnis überwacht, ändert sofort sie Dateizugriffsrechte der abgelegten Dateien. Damit keiner (außer der Konverter, der mit Administartionsrechten läuft) diese Dateien öffnen kann.
  • Nach dem Konvertieren wird die Dateizugriffsberechtigung entsprechend geändert. Sodass nur noch der Benutzer, der die Datei ins Eingabeverzeichnis kopiert hat, die Datei lesen kann.

 

Dieses Szenario ist nicht besonder schwer zu implementieren. Ausgehend von einem Konverter, der im Batch auf eine einzelne Datei angewendet werden kann, muss nur noch ein oder zwei weitere Scripte entwickelt werden, die die Dateizugriffsberechtigungen setzen können. Das sollte unter Windows mit Boardmitteln möglich sein. das bedeutet, dass außer ein Batchprogramm nichts weiter entwickelt werden muss. In ein bis zwei Tagen sollte so eine Lösung schon stehen können.

Vorteile:

  • Relativ einfache Selbstentwicklung mit Windows Boardmitteln
  • Reine Lösung für Clients ohne Installation auf dem Client

 

Nachteile:

  • Keine Serverlösung und damit nicht einsetzbar in Fremdapplikationen/Systemen
  • Unter Windows Dateizugriffsberechtigungen nicht besonders leicht setzbar mit wenig Programmierkenntnissen
  • Wenn ein kommerzielles Produkt wie Adobe Acrobat zur Konvertierung verwendet wird, können weitere Lizenzkosten fällig werden, da die Software autonom läuft und damit eine serverbasierte Verwendung vorliegt. Eine Serverlizenz für Adobe Acrobat ist extrem teuer.