- PR -

ブラウザー上からのWindowsパスワード変更について

1
投稿者投稿内容
テック
会議室デビュー日: 2004/07/12
投稿数: 6
投稿日時: 2007-04-24 11:46
ブラウザーからadministratorのパスワードを変更しようとしております。
Windows 2000 Serverではできていたのですが、 Server 2003からは動作しません。
主な環境・設定は以下の通りです。

・プログラム言語
 PHP
・利用関数
 exec関数
  例:exec("net user administrator 1234",$a)
・IISバージョン
 6.0
・IUSR_*****の設定
 →グループ:guests
 →パスワード:abcdefgなど初期設定から変更
 →IISの「証明とアクセス制御」の「匿名アクセス」に追加

確認事項
・IUSR_*****でログインしてコマンドプロンプトからnet userコマンド実行
 →所属グループが上記のままではアクセス拒否
 →所属グループにAdministratorsを追加すればコマンドは通る

上記からとりあえずIUSR_**** をAdministratorsグループに入れてみましたが、
ブラウザー上からは変更できませんでした。
ちなみに変更先がGuestユーザや他のユーザでも変更できません。
又$aへの戻り値がありません。

IIS上の設定などが抜けているのでしょうか?
宜しくお願い致します。
Mattun
ぬし
会議室デビュー日: 2004/08/10
投稿数: 1391
投稿日時: 2007-04-24 12:56
開発系のことは知識に乏しいので推測入りますが、
WindowsServer2003のIIS6では大規模にセキュリティ強化が
行われているため、通常のシステムコマンドが動かなくても
まあ仕方ないのかもしれません。
Guestsユーザで管理者のパスワード変更、なんて機能自体、
意図せず有効になっては危険極まりないわけですし。

パスワード変更については、.netなどを利用したサンプルは
Microsoftでも公開してますので、それらを使ってみては?
http://www.google.com/search?num=50&hl=ja&lr=lang_ja&ie=UTF-8&oe=sjis&q=%41%53%50%20%E3%83%91%E3%82%B9%E3%83%AF%E3%83%BC%E3%83%89%20%E5%A4%89%E6%9B%B4
http://www.microsoft.com/japan/msdn/asp.net/tips/ChangePassword/default.aspx
テック
会議室デビュー日: 2004/07/12
投稿数: 6
投稿日時: 2007-04-24 14:23
Mattunさん、ありがとうございます。

確かにGuestsグループのユーザに権限があるというのは問題だと思いますが、あえて
そこは無視していただき(すみません)、.netの対応も考えてみたいと思いますが、
phpで出来る環境を作りたいと考えております。
net userコマンド自体が参照しかできない(ユーザ追加などもできない)ので
やはりインターネットユーザの権限と思いますが、解決できません・・・

宜しくお願いします。
ちゃっぴ
ぬし
会議室デビュー日: 2004/12/10
投稿数: 873
投稿日時: 2007-04-24 14:57
PHP でというのは結構ですが、示された source だと誰でもその server 好き勝手に攻撃できる脆弱性がありそうなもんですが、それでもいいのですか?
_________________
テック
会議室デビュー日: 2004/07/12
投稿数: 6
投稿日時: 2007-04-24 15:02
ちゃっぴさん、ありがとうござます。

一応、セキュアな環境の中にありますので簡単にはソースにアクセスできないように
なっております。(VPN環境)
セッションでも管理しておりますので、一般ユーザではページにアクセスすらできない
ようにしております。

宜しくお願い致します。
1

スキルアップ/キャリアアップ(JOB@IT)