व्यवस्थापक समूह में "नेटवर्क सेवा" खाता जोड़ना

Question

मेरा वेब-ऐप विंडोज सर्वर 2003 के तहत आईआईएस 6.0 में चलता है, और हम सभी जानते हैं कि इस स्थिति में, उपयोगकर्ता खाते "नेटवर्क सेवा" का उपयोग आईआईएस द्वारा किया जाता है।

मुझे कुछ उपयोगकर्ता को अपने वेब पेज पर कुछ क्रिया करने की अनुमति देना पड़ता है, और उस कार्रवाई के लिए व्यवस्थापक विशेषाधिकार की आवश्यकता होती है।

मेरे लिए सबसे अजीब समाधान प्रशासक समूह में "नेटवर्क सेवा" जोड़ना प्रतीत होता है, और यह वास्तव में काम करता है।

मेरा प्रश्न है, कैसे डेंजर यह समाधान है, और यह मेरे वेब सर्वर की सुरक्षा से किस तरह से समझौता कर सकता है?

Answer 1

यह आमतौर पर "एक बुरा विचार" है। यदि यह एक सार्वजनिक सामना करने वाला सर्वर है तो यह वास्तव में एक बुरा विचार है।

आपको क्या करना चाहिए, और इस तरह हम इस तरह की समस्याओं से कैसे संपर्क करते हैं, यह उन विशिष्ट व्यवस्थापक कार्यों को सैंडबॉक्स करता है जिन्हें आपको एक अन्य प्रक्रिया में चलाने की आवश्यकता होती है जैसे विंडोज सेवा जिसमें उच्च अधिकार हैं।

हम फिर विंडोज सेवा में एक रिमोटिंग सर्वर होस्ट करते हैं और सेवा के साथ या तो एक नामित पाइप या टीसीपी/आईपी (यदि मशीन टू मशीन और यह बैक एंड प्राइवेट नेटवर्क पर है) पर संचार के साथ संवाद करते हैं।

Windows User Account that executes only IIS7 Provisions

इससे भी बेहतर दृष्टिकोण वेब के बीच सीधा संचार की आवश्यकता नहीं है के लिए होगा:

अधिक जानकारी के लिए कृपया एक ऐसी ही समस्या के संबंध में इस सवाल का जवाब जो मैं किसी अन्य उपयोगकर्ता के लिए छोड़ दिया देखना आवेदन और खिड़कियां सेवा, लेकिन एक मध्यस्थ के माध्यम से नौकरी या संदेश कतार के माध्यम से जाओ। आपका कम विशेषाधिकार प्राप्त एप्लिकेशन प्रशासन कार्य को करने के लिए अनुरोध करता है, आपकी उन्नत विशेषाधिकार प्राप्त सेवा इन कार्यों को कतार से पढ़ती है और उन्हें बाहर ले जाती है।

दोनों मामलों में आपको यह सुनिश्चित करना चाहिए कि आप प्रत्येक कार्य की ज़िम्मेदारी को ओवरसीप नहीं करते हैं। यानी यह सुनिश्चित करें कि यदि कार्य सर्वर पर एक नया विंडोज खाता बनाना है तो उस नए खाते को इसकी आवश्यकता से अधिक अधिकार प्राप्त करने की अनुमति न दें।

Answer 2

यदि मैं कुछ वेब फ़ंक्शन लिखना चाहता था, जिसके लिए बॉक्स-स्तरीय व्यवस्थापक की आवश्यकता होती है, तो मैं इसे अपने स्वयं के ऐप पूल में अपना स्वयं का एप्लिकेशन बनाउंगा, उस एप्लिकेशन को कसकर उतना ही बंद कर दूंगा जितना मैं कर सकता था, उस ऐप पूल को एक नामित खाता दें (एक डोमेन संसाधन, यदि एक सक्रिय निर्देशिका पर है), और फिर उस खाते को व्यवस्थापक विशेषाधिकार बॉक्स पर दें। इसे अपने ऐप पूल में रखने से प्रभावी ढंग से इसे आपके नियमित एप्लिकेशन से हटा दिया जाता है।

एनटी अथॉरिटी/नेटवर्क सेवा आपकी मशीन पर सामान के एक टन के साथ बातचीत करती है। मैं नेटवर्क सेवा व्यवस्थापक विशेषाधिकार प्राप्त करने के किसी भी अच्छे कारण से नहीं आ सकता हूं।

Answer 3

किसी भी परिस्थिति में ऐसा नहीं होता है।

यदि आप व्यवस्थापक समूह में नेटवर्क सेवा जोड़ते हैं, तो आपके वेब ऐप तक पहुंचने वाले सभी अज्ञात उपयोगकर्ता डिफ़ॉल्ट रूप से व्यवस्थापक होंगे और क्षति की संभावना भारी है।

अपने प्रश्न

मैं कुछ उपयोगकर्ता अपने वेब पृष्ठ पर कुछ कार्रवाई करने के लिए अनुमति देने के लिए हैं तो आप प्रति

, और उस क्रिया व्यवस्थापक विशेषाधिकार की आवश्यकता है।

यह ठीक है - उस वेब पेज पर Windows प्रमाणीकरण का उपयोग करें और उपयोगकर्ता एक सामान्य विंडोज व्यवस्थापक हैं। अब वे, और अन्य सभी व्यवस्थापक, आपके द्वारा सेट किए गए कार्यों को निष्पादित कर सकते हैं।