- PR -

認証およびNTFSアクセス権限について

«前のページへ 1|2|3|4 次のページへ»
投稿者投稿内容
渋木宏明(ひどり)
ぬし
会議室デビュー日: 2004/01/14
投稿数: 1155
お住まい・勤務地: 東京
投稿日時: 2008-07-24 02:30
引用:

偽装はたとえば1つユーザーを作成して、そのユーザーをweb.configの
identityタグにtrue、userNam、passwordを指定するということですよね。


そです。

引用:

※生成したユーザーにAdmin権限を与え・・・


いいえ。
せっかく偽装しても、それじゃ台無しです。

Web アプリケーションが誤動作を起こした時やクラックされた時の被害を局所化するのが目的なので、作成したアカウントには必要最小限の権限だけを与えるべきです。
Liquid_Force
大ベテラン
会議室デビュー日: 2003/08/28
投稿数: 102
投稿日時: 2008-07-24 12:41
ちゃっぴさん
COM+登録ですか・・・情報ありがとう御座います。
参照してみますが、今から作成する時間が取れないかもしれないのが実状だったり。
とにかく見てみます!

ひどりさん
偽装についてですが、システムに対して最初の認証はWindowsアカウントでパスし、
その後認証が通ったあとは偽装したユーザーで全て処理されるという認識ですよね。
この場合.NETのNETWORK SERVICEユーザーとかの扱いはどのようになるのでしょうか。

結局レジストリ書込みやAcrobat起動印刷も認証方法とセキュリティ権限を
正しく設定すればできるはずですよね。。。(上手く出来てませんが・・・orz)
ちゃっぴ
ぬし
会議室デビュー日: 2004/12/10
投稿数: 873
投稿日時: 2008-07-24 15:37
ASP.NET の機能 (Web.config) を使って偽装を行った場合には、その Web application 全体が
その偽装 account で動作します。
ASP.NET の Web application は worker process (w3wp.exe) として動作していますが、この起動 account は application pool で設定する account (default: Network Service)になります。

Worker process 自体は application pool で設定した account で動作しますが、内部で Web.config で指定した偽装 account で動作します。
多くの API は access control を行うにあたり、偽装 (impersonate) token を利用します。

とりあえず、急いでいるようなので Web.config を利用することも仕方がないと思いますが、Web.config を利用した偽装は Web application 全体で行われることに注意してください。
Liquid_Force
大ベテラン
会議室デビュー日: 2003/08/28
投稿数: 102
投稿日時: 2008-07-24 16:54
ちゃっぴさんコメントありがとう御座います。

そうですよね、偽装するとそのAccountでWeb全体が動作するということで。
なのでそのAccountを必要なフォルダやレジストリに権限を与えているのですが

PDFコマンド印刷とHKEY_CURRENT_USERレジストリの書込みができないのです。

PDFコマンド印刷についてはサーバー上でDOCプロンプトでプログラムで実際に
発行しているコマンドを実行したのですが、デフォルトプリンターの設定があると
印刷されますが、そうでないとプリんターを指定しても印刷されませんでした。
【コマンド】
c:\Program Files\Adobe\Reader 8.0\Reader\AcrRd32.exe /n /t 出力ファイルのフルパス プリンター名

NETWORK SERVICEはデフォルトのワーカープロセス設定なら関係してくるということですね。
引き続きやってみます。
ちゃっぴ
ぬし
会議室デビュー日: 2004/12/10
投稿数: 873
投稿日時: 2008-07-24 17:02
とりあえず、偽装する user の profile が存在するか確認してください。
存在しない場合、一度 local logon してください。

Liquid_Force
大ベテラン
会議室デビュー日: 2003/08/28
投稿数: 102
投稿日時: 2008-07-24 17:40
偽装するuserでローカルログオンしてませんでした。
なので1度ログオンしてプロファイルを生成したのですが、
何も変わらず・・・orz
ちゃっぴ
ぬし
会議室デビュー日: 2004/12/10
投稿数: 873
投稿日時: 2008-07-24 17:55
おそらく、user profile が読み込まれていないようですね。

やはり、user profile が必要なもののみ切り出すべきかと。
Liquid_Force
大ベテラン
会議室デビュー日: 2003/08/28
投稿数: 102
投稿日時: 2008-07-24 18:10
デフォルトユーザープロファイル(Document and Setting)フォルダ直下に
ntuser.datありました。これが該当ユーザーがない場合にロードされるという
ことですね。
でもネットワークログオンの場合はロードされない?
なのでWindwos統合認証の場合はプロファイルを意図的にロードする必要があると・・・
言うことでしょうか。

セキュリティ難しいですね。
とりあえずプロファイルのロードで調べてみます。
«前のページへ 1|2|3|4 次のページへ»

スキルアップ/キャリアアップ(JOB@IT)