- - PR -
ActiveXコントロールをログインユーザーとは別のユーザーでブラウザにインストールする方法
«前のページへ
1|2|3
投稿者 | 投稿内容 | ||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
投稿日時: 2006-05-14 02:40
実験ありがとうございました。 私の方でも同じ認識です>コピー&インストール あくまで条件が整えばの話なので、 対象のマシンのインストール後の確認を行える簡単な初期導入時 くらいかなぁ、、と。 | ||||||||||||||||
|
投稿日時: 2006-05-14 13:30
これに関しては、どういう規約なのかはっきりさせる必要がありますね。 1. ActiveX control を全く install させない 2. LAN 内のみ ActiveX control の install は許可する 1. ならば、ActiveX control を install させるような設計にしたのがそもそも間違いでしょうし、2. であるならば client の構成が間違っていますね。 これをまず確認されたほうがいいんじゃないでしょうかね? ちなみに 2 の方法で client を構成することは一応可能です。 具体的には、基本的に ActiveX control を install できるように ACL 等を構成しておいて、IE の zone 制御および group policy を使って LAN 内以外を制限することになります。 もし、1 であるならば、ActiveX control に代わる application の配布方法を顧客に聞いていたほうがいいでしょうね。もし、顧客がそこら辺を理解されていないのであれば、この際ちゃんとどのような方法があるかまで説明しておいたほうがいいでしょうね。
もちろんこれは絶対にやるべきですね。 | ||||||||||||||||
|
投稿日時: 2006-05-15 11:01
ちゃっぴ様 ue様 渋木宏明(ひどり)様
nanbu様 Jitta様 この様な矛盾した仕様にも関わらず、貴重なご意見をいただき本当にありがとうございます。 現状はまだ、システムの内容を提案している段階である為、仕様変更も視野に入れて提案したいと考えております。 何分、私がまだまだ経験も知識も不足しているため、スレの返信内容が十分に理解できていないところもありますが、しっかりと調べて知識を増やしたいと思います。 ありがとうございました。 | ||||||||||||||||
|
投稿日時: 2006-05-15 11:34
全く同じことを実際にやったことあります。
ActiveX インストール用の管理者ユーザーを新設し、グループポリシーで Activex を勝手にインストールする設定にし、そのユーザー/パスを埋め込んだ runas.exe(フリーソフト版) を作り、ログオンスクリプトに runas 経由で IE を立ち上げて・・・という感じで。 厄介だったのが、その ActiveX に署名をつけれなかったので、どうあがいても警告ダイヤログが出てしまう(別ユーザーで実行しているため表示はされないが)。 で、自前の証明書サーバーを立ち上げて、ルート証明としてクライアントに登録させ(グループポリシーで)、その証明書サーバーを使って ActiveX に署名して、ようやく最終目的までたどり着きました。 IE7 の世代になると、こういう偽装でも駄目になるかもしれないですね。 これにより一応目的の、管理者権限を有さないユーザーに全く知られることなく、また事前に告知することなく自動的に自前 ActiveX をインストールする、ということは実現できました。 1000台近い端末への自動展開でした。 [ メッセージ編集済み 編集者: こばさん 編集日時 2006-05-15 11:38 ] | ||||||||||||||||
|
投稿日時: 2006-05-15 12:47
は、パスワード流出につながる恐れがありますね。 | ||||||||||||||||
|
投稿日時: 2006-05-15 13:45
・ユーザーに展開の事前告知をしない ・ログオン時にrunasa.exeが動作しても気がつかない ・runasa.exeに埋め込むユーザーは展開期間中の一時的なもの ・同ユーザーの行動は監視ログで記録(端末≒使用者を特定) 可能性でいえばゼロじゃないですがね。 そこまで疑わないといけないような人を組織内に存在させておくことの方が問題です(笑) | ||||||||||||||||
|
投稿日時: 2006-05-15 15:03
そこが重要なところです。 可能性がゼロで無い以上、いくつもの拠点に対して、長期的に配布を行うなど、機会が累積すればアカウント情報流出の危険も増大してしまいます。 「埋め込み」をしないで要件を実現する技術が存在する以上、「埋め込み」を行う方向への誘導は出来れば避けたいところです。
論じるべきは「必要とされるセキュリティレベルがどれだけか」でしょう。 各拠点に、一時的に端末の管理者権限のあるアカウントを発行してアプリケーションの配布を実行し、配布が終わったらアカウントを停止するような、運用的な解決もあり得るわけですし。 [ メッセージ編集済み 編集者: 渋木宏明(ひどり) 編集日時 2006-05-15 16:02 ] | ||||||||||||||||
|
投稿日時: 2006-05-15 15:21
グループポリシーを使うのが前提(ActiveDirectoryが前提)であれば、ソフトウエアの割り当てをすれば良いのではないでしょうか。
|
«前のページへ
1|2|3