問題タブ [windows-security]

sysdeo プラグインを使用して、Eclipse から Tomcat を実行しています。すべてのアプリが適切にデプロイされ、tomcat-uses 構成で指定されたユーザー名を使用してマネージャーにアクセスできます。ある特定のアプリケーション/サーブレットが、それに送信されたすべてのリクエストに対して 401 エラーを返します。

その URL に直接アクセスすると、ユーザー名とパスワードを要求する Windows セキュリティ ダイアログが表示されます。「{{サーブレット名}} のサーバー localhost にはユーザー名とパスワードが必要です。警告: このサーバーは、ユーザー名とパスワードを安全でない方法 (安全な接続を使用しない基本認証) で送信することを要求しています。」.

Tomcat とシステムのユーザー名とパスワードを入力しようとしましたが、失敗して同じ画面が再び表示されます。

これは認証設定に関係していることは知っていますが、正確にどこを調べればよいかわかりません。助言がありますか？ありがとうございました。

ユーザーが自分のアカウントでいくつかのセルフサービスを実行するのに役立つカスタムの Active Directory 統合 Web アプリがあります (写真の更新、電話番号の変更、パスワードのリセットなど)。サーバー アカウントを使用して AD に対して認証できます。

アプリのクライアントがアプリのインスタンスを見つけるために使用するサービス接続ポイントを使用します。(私たちのアプリ クライアントは、サービス接続ポイントのキーワード属性で公開されている特定のキーワードを探すようにハードコードされています。)

最近、誰かがサービス接続ポイントの 1 つでキーワードを (偶然だと信じていますが) 変更して停止したという状況がありました。 これは、クライアントが AD にキーワードを問い合わせたときに SCP を見つけることができなくなったためです。

顧客はこれに少し腹を立てており、SCP のキーワードを誰が変更できるかを決定する機能を提供することを望んでいます。このフィードバックは営業担当者から私たちに伝えられたので、SCP のキーワードを誰が変更できるかを彼らが見つけられるようにする何らかの方法を提供する必要があります。

そのため、Active Directory サービス接続ポイント オブジェクトの有効なアクセス許可を決定するのに役立つ API を探しています。これにより、顧客のこの状況を軽減できます。SCP のキーワードやその他の属性への有効な書き込みアクセス権を持つすべてのユーザーを一覧表示するのに役立つ有効なアクセス許可/アクセス API を見つけることができませんでした。

Active Directory オブジェクトの有効なアクセス許可を決定するために使用できる API またはその他の方法はありますか?

Active Directory オブジェクトの特定の属性セットに対して特定のアクセス権を持つすべてのユーザーを一覧表示できる必要があります。

私には独特の悩みがあります。

ユーザーアカウントのアクセス許可をテストするクラスを開発しています。ほとんどの基礎をカバーしました。しかし、私が最も関心を持っているのは、Nullまたはに対するテストSIDです。

私が懸念している理由は次のとおりです。

明らかに簡単な実装ですが、WindowsBuiltInRoleチェックは個々のマシンまたはドメインに対して厳密に行われますか? ユーザーのドメイン アカウントが実際に管理者である場合、テストは成功しますか?

SIDまたは、5 つまたは 6 つのドメイントークンに対してテストするより良い方法はありますか? ネットワーク サービス アカウントなどの他のユーザー アカウントは、同じように操作されますか? トークン値の信頼性を確保する最善の方法は何でしょうか。

どんな入力も素晴らしいでしょう。

ドメイン資格情報を使用して SQL Server に接続できないという問題があります。SA資格情報を使用すると機能し、クエリは期待どおりに実行されます。しかし、ドメイン資格情報を使用すると、エラーが発生します。

スクリプトは次のとおりです。

そして、スクリプトを実行したときに表示されるエラーは次のとおりです。

"1" 個の引数を指定して "Fill" を呼び出し中に例外が発生しました: "SQL Server への接続を確立しているときに、ネットワーク関連またはインスタンス固有のエラーが発生しました。サーバーが見つからないか、アクセスできませんでした。インスタンス名が正しいことを確認してくださいSQL Server がリモート接続を許可するように構成されていること (プロバイダー: 名前付きパイプ プロバイダー、エラー: 40 - SQL Server への接続を開けませんでした)

C:\scripts\PowerShell\myscript.ps1:28 文字:1
+ $SqlAdapter.Fill($DataSet)
+ ~~~~~~~~~~~~~~~~~~~~~~~ ~~
+ CategoryInfo : NotSpecified: (:) []、MethodInvocationException
+ FullyQualifiedErrorId : SqlException

ドメイン内にないコンピューターから SQL Server に接続しているという事実を指摘しておく必要があります (したがって、どのような種類の認証パススルーも使用できません)。

ドメイン資格情報に接続できない理由についてのアイデアはありますか? 接続やファイアウォールなどのチェックに関するアドバイスを提供する他の投稿をフォローしました。これですべて正常に動作し、スクリプトは sa (ローカル) ユーザーとして完全に実行されます。ドメイン上にないだけです..

私のアプリケーションの小さな部分には管理者権限が必要です (ソフトウェアのアクティベーションは HKLM に行く必要があります)。このために、アクションに管理者権限が必要なボタンに盾のアイコンを描画し、クリックすると、「runas」動詞を使用して適切なパラメーターでアプリケーションを再起動します。

これはとてもうまくいきます！ただし、ユーザーがネットワーク共有からアプリケーションを実行する場合があります。ここで「管理者権限ボタン」をクリックすると、ネットワークドライブが管理者用にマップされていないため、エラーメッセージが表示され、実行可能ファイルが見つかりません:-(

これを回避する最善の方法は何ですか?

それは誰でも助けることができますか?この問題は私を 2 日産んだ IIS で Web サイトを公開したとき、Crystal レポート (CRRedist2005_X64) を既にインストールしていましたが、そのときにレポートを確認したい場合、Windows アカウントとパスワードを入力する必要があります。

Windows サーバー 2008 R 64 ビット。

ドメイン環境と非ドメイン (ローカル デスクトップ) 環境の両方で実行される Windows フォーム アプリケーションがあります。これらのさまざまな環境で Windows セキュリティがどのように機能するかを理解しようとしています。アプリケーションを管理者として実行しているWindowsユーザーが、ドメイン環境とローカル環境で異なると想定している場合（そしておそらくUACが制御されている場合は??）をプログラムで特定する必要があります。

また、UAC がオンになっている場合にドメイン ログインに取って代わるかどうかについても少し混乱していますか?

製品のほとんどのリモート ユーザーもローカル管理者として設定され、UAC によって制限されると思います。

これらの条件下で特権を確認するにはどうすればよいですか? (vb.net アプリですが、C# も問題ありません - ありがとうございます)

乾杯、ティム。

リモート コンピューターで Process.Start を使用して .exe ファイルを開始するクライアント/サーバー アプリを作成しました。ホーム ネットワークに 4 台のコンピューターがあり、PC2 にサーバー アプリを設定し、PC1 にクライアント アプリを設定し、ソケットと TCP を使用して PC2 でリッスンを開始します。次に、準備ができたら、PC1 からコマンドを送信して特定のプログラムを起動します。取得したのは、「別のユーザーとして実行」を求める「Windows セキュリティ」ボックスで、入力するユーザー名とパスワードの両方のボックスが表示されます。管理者ユーザーと関連するパスワードを入力すると、ボックスが消え、プログラムが意図したとおりに起動します。問題は、リモート PC でプログラムを起動するたびに、リモート PC でユーザー名とパスワードを入力したくないことです。パソコン。開始したばかりのプロセスをシャットダウンするコマンドを送信すると、正常に動作します。しかし、プログラムを再度起動しようとすると、ユーザー名とパスワードが再度必要になります。C#でこれを回避する方法はありますか? Windows セキュリティ ボックスが常にポップアップしないように、C# を介してユーザー名とパスワードを自動的に送信する方法はありますか?

Process.Start を使用するときの補足として、私は ProcessStartInfo を使用して動詞引数「runas」を渡します。これにより、管理者として実行されると考えられます。