- - PR -
認証およびNTFSアクセス権限について
投稿者 | 投稿内容 | ||||||||
---|---|---|---|---|---|---|---|---|---|
|
投稿日時: 2008-07-24 02:30
そです。
いいえ。 せっかく偽装しても、それじゃ台無しです。 Web アプリケーションが誤動作を起こした時やクラックされた時の被害を局所化するのが目的なので、作成したアカウントには必要最小限の権限だけを与えるべきです。 | ||||||||
|
投稿日時: 2008-07-24 12:41
ちゃっぴさん
COM+登録ですか・・・情報ありがとう御座います。 参照してみますが、今から作成する時間が取れないかもしれないのが実状だったり。 とにかく見てみます! ひどりさん 偽装についてですが、システムに対して最初の認証はWindowsアカウントでパスし、 その後認証が通ったあとは偽装したユーザーで全て処理されるという認識ですよね。 この場合.NETのNETWORK SERVICEユーザーとかの扱いはどのようになるのでしょうか。 結局レジストリ書込みやAcrobat起動印刷も認証方法とセキュリティ権限を 正しく設定すればできるはずですよね。。。(上手く出来てませんが・・・orz) | ||||||||
|
投稿日時: 2008-07-24 15:37
ASP.NET の機能 (Web.config) を使って偽装を行った場合には、その Web application 全体が
その偽装 account で動作します。 ASP.NET の Web application は worker process (w3wp.exe) として動作していますが、この起動 account は application pool で設定する account (default: Network Service)になります。 Worker process 自体は application pool で設定した account で動作しますが、内部で Web.config で指定した偽装 account で動作します。 多くの API は access control を行うにあたり、偽装 (impersonate) token を利用します。 とりあえず、急いでいるようなので Web.config を利用することも仕方がないと思いますが、Web.config を利用した偽装は Web application 全体で行われることに注意してください。 | ||||||||
|
投稿日時: 2008-07-24 16:54
ちゃっぴさんコメントありがとう御座います。
そうですよね、偽装するとそのAccountでWeb全体が動作するということで。 なのでそのAccountを必要なフォルダやレジストリに権限を与えているのですが PDFコマンド印刷とHKEY_CURRENT_USERレジストリの書込みができないのです。 PDFコマンド印刷についてはサーバー上でDOCプロンプトでプログラムで実際に 発行しているコマンドを実行したのですが、デフォルトプリンターの設定があると 印刷されますが、そうでないとプリんターを指定しても印刷されませんでした。 【コマンド】 c:\Program Files\Adobe\Reader 8.0\Reader\AcrRd32.exe /n /t 出力ファイルのフルパス プリンター名 NETWORK SERVICEはデフォルトのワーカープロセス設定なら関係してくるということですね。 引き続きやってみます。 | ||||||||
|
投稿日時: 2008-07-24 17:02
とりあえず、偽装する user の profile が存在するか確認してください。
存在しない場合、一度 local logon してください。 | ||||||||
|
投稿日時: 2008-07-24 17:40
偽装するuserでローカルログオンしてませんでした。
なので1度ログオンしてプロファイルを生成したのですが、 何も変わらず・・・orz | ||||||||
|
投稿日時: 2008-07-24 17:55
おそらく、user profile が読み込まれていないようですね。
やはり、user profile が必要なもののみ切り出すべきかと。 | ||||||||
|
投稿日時: 2008-07-24 18:10
デフォルトユーザープロファイル(Document and Setting)フォルダ直下に
ntuser.datありました。これが該当ユーザーがない場合にロードされるという ことですね。 でもネットワークログオンの場合はロードされない? なのでWindwos統合認証の場合はプロファイルを意図的にロードする必要があると・・・ 言うことでしょうか。 セキュリティ難しいですね。 とりあえずプロファイルのロードで調べてみます。 |