安全性

　　代码访问安全性是保护桌面免受正在通过无接触部署方式下载的 Windows 窗体应用程序影响的关键。此模型通过匹配应用程序和应该分配给应用程序的权限来工作。在运行时，公共语言运行时从程序集中收集凭证。凭证可以采用代码源自的 Internet Explorer 区域（本地磁盘、Intranet、Internet、受信任站点或不受信任站点）的形式，也可采用代码源自的 URL（签名使用的私钥、哈希值、Authenticode 发布服务器签名等等）的形式。使用此凭证，公共语言运行时将程序集分配给相应的代码组或类别。每个代码组都拥有分配给它的权限集，说明程序集应获得的权限，例如能否读取或写入本地磁盘、访问联网资源、打印以及访问环境变量等等。

　　默认情况下，.NET Framework 附带围绕 Internet Explorer 区域设置的代码组。例如，来自 Intranet 区域的代码获得的权限很有限，因此无法执行文件 IO 访问。

　　为了说明安全检查在起作用，任务管理可执行程序包含一个名为 Read Boot.ini 的工具栏按钮，该按钮尝试访问 C:\ 盘中的文件。

　　您可以进行一个简单的测试，单击“Read Boot.ini”按钮，查看当应用程序请求 C:\ 根目录中的文件时会发生什么情况 - 引发安全异常，应用程序不处理该请求。

　　异常返回一个文件 IO 权限异常，说明应用程序无法访问 TaskManagement.exe 请求的特定资源。
使用多程序集应用程序的无接触部署

　　在本示例应用程序中，我们已经说明了如何加载单个程序集。通过对 Assemble 对象使用 LoadFrom() 方法，.NET Framework 还可以有效地将多程序集应用程序传入客户端。

　　Assemble 类具有 LoadFrom 方法，可以初始化一个对特定程序集的引用。LoadFrom 的参数是 URL 或文件路径名。指定 URL 后，.NET Framework 首先通过检查程序集下载缓存，检查客户端是否存在已命名的程序集。如果程序集不在程序集下载缓存中，.NET Framework 将从 Web 服务器获取该程序集，并将它的副本置于下载缓存中。这样，程序集对象即可在代码中使用。

　　例如，如果在一个单独的名为 AboutForm.dll 的程序集中实现了 TaskManagement About Windows 窗体，则可以在用户请求查看“About”（关于）对话框时使用 LoadFrom 下载该程序集。这样，当用户与应用程序交互时，我们只需传输应用程序所需的代码。

无接触部署和 XML Web Service

　　一个重要的安全限制是，当通过 Web 服务器分发应用程序时，其域必须与它所依赖的所有 Web 服务相匹配。例如，如果从 http://myserver/TaskManagement.exe 启动 TaskManagement.exe，则只允许使用 http://myserver 上的 XML Web Service。出于安全性方面的考虑，不允许应用程序从其他服务器调用 Web 服务。

可选：如何设置安全策略

　　计算机管理员可以更改安全权限，以便将更多权限授予现有代码组或从头开始创建新代码组。

　　继续操作之前，必须明白更改安全设置是很危险的，因此切勿将其关闭。强烈建议，在任何情况下都只更改能使应用程序运行的安全设置。

　　为此，如果您是计算机管理员，则可以运行 CasPol 命令行工具（位于 %SystemRoot%\Microsoft.NET\Framework\v1.0.3705\CasPol.exe），为从本地主机启动的应用程序授予对本地磁盘的完全访问权限：
caspol -machine -addgroup All_Code -url http://localhost/* FullTrust -n TaskManagement

　　现在，由于此应用程序具有执行文件 IO 的权限，因此能够返回 Boot.ini 的内容。

　　除了 CasPol 命令行工具以外，还通过 Microsoft 管理控制台 (MMC) 管理单元提供了图形配置工具，即 .NET Framework 配置工具。打开管理单元后，打开“My Computer”（我的电脑），单击“Runtime Security Policy”（运行时安全策略），然后依次单击“Machine”（计算机）、“Code Groups”（代码组）和“All_Code”（所有代码），浏览到 TaskManagement。使用 TaskManagement 可以查看新建的代码组。尝试设置新代码组，了解由代码访问安全设置所带来的灵活性和把握度。

　　确保查看各选项后删除在上文中创建的代码组。可以通过运行以下命令完成此操作：
caspol -remgroup TaskManagement

　　也可通过 MMC 工具在 TaskManagement 上单击右键并选择 Delete（删除）来删除新代码组，该工具使您能够轻松地在代码组之外生成 MSI 文件，如果需要，可以使用系统管理服务器或组策略在企业中传播该文件。

客户端要求

任何支持 .NET Framework 的操作系统
已安装 SP1 的 .NET Framework
Internet Explorer 5.0.1 或更高版本
访问 IIS Web 服务器进行应用程序部署

小结

无接触部署为分发 Window 窗体应用程序提供了非常好的方法。应用程序开发人员可以利用这一强大的桌面处理能力，同时保持由 Web 应用程序实现的部署和维护的优点。