問題タブ [windows-security]

TFS を使用して PSExec を開始し、インストーラーを作成する InstallShield プロセスを実行しています。TFS ビルド エージェントは、NETWORK SERVICE アカウントで実行されます。

-u -p オプションを使用して PSExec を実行すると、コマンドを実行して、リモート マシンに対してコマンド プロンプトからインストーラーを正常にビルドできます。

ただし、TFS では、常に 2250 エラー コードが表示され、インストーラーがビルドされません。

問題を切り分けるために、psexec コマンドを次のように変更しました...

コマンドラインから上記を実行すると、ファイルがコピーされます。TFS から上記を実行すると (バッチ ファイルで上記を呼び出す)、2250 で失敗します。

TFSが何をしているかをシミュレートするために...

1. 昇格された管理者権限でコマンド プロンプトを開始しました
2. 発行済みpsexec -i -u "nt authority\network service" cmd.exe
3. 上記の xcopy コマンドを含むバッチ ファイルを実行します。

したがって、ステップ 2 では、NETWORK SERVICE アカウントを使用してコマンド プロンプトを起動します。このコマンド プロンプトから手順 3 を実行すると、同じ 2250 エラーが発生しました。したがって、これは良いb / cであり、TFSは見えなくなり、本当の問題に近づいています。

ちょっと笑っただけで、ネットワークサービスをリモートボックスの管理者グループに追加しました。それは問題を解決しませんでした。

だから、ここが私がいる場所です...

1. 管理者グループのログインを使用して TFS ボックスにログインし、コマンド プロンプトを開き、-u -p パラメータを指定して xcopy コマンド バッチ ファイルを実行すると、すべて正常に動作します。
2. NETWORK SERVICE アカウントで cmd プロンプトを開始し、手順 1 と同じバッチ ファイルを実行すると、2250 アクセスが拒否されます。

したがって、私の考えでは、この問題は明らかに NETWORK SERVICE アカウントに関連しています。質問は、このアカウントで psexec を実行するにはどうすればよいですか?

アップデート

次に示すのは、管理者グループの NETWORK_SERVICE アカウントと、パス (c:\temp) へのフル アクセスがあることを示すダイアログです。

FirewallAPI.dll の COM オブジェクトを使用して、C# アプリケーションから Windows ファイアウォール ルールをプログラムで設定しようとしています。アプリケーションは、管理者グループ以外のユーザー アカウントで実行する必要があります。

このユーザー アカウントのアクセス許可を設定してファイアウォールを変更するのに苦労しています。

このユーザーに HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy へのフル アクセスを許可しましたが、役に立ちません。

INetFwRule::put_RemoteAddresses を使用しようとすると、アクセス拒否例外が発生します。どの権利が欠けているかについての情報を得るにはどうすればよいですか？

私の会社では、多数の Windows モバイル デバイスでソフトウェアを管理しています。これらのデバイスのユーザーは、全国に散らばっています。ソフトウェアを更新する必要があるたびに、物理的に移動して各ユーザーに会い、新しいソフトウェアをデバイスにインストールする必要がありました。だから私はアップデータを書きました。

アップデーターはサーバーにチェックインし、新しいソフトウェアをダウンロードします。誰も車を運転する必要はありません。ユーザーにソフトウェアを実行するかどうかを尋ねるプロンプトが表示され、決定するのに約3秒しか与えられないという事実を除いて、それはすべて非常にうまく機能します.

私たちのユーザーの多くは、控えめに言っても技術に精通しておらず、[OK] をクリックせず、[OK] ボタンが点滅したときに [OK] ボタンに到達する能力がありません。

ユーザー アクセス制御を無効にすることはできますか (デスクトップ バージョンの Windows ではそう呼ばれます)。

特定のユーザーがDeployUsersProductionグループのメンバーであることを確認できないようです。これが私がこれまでに持っているものです：

私が知る限り、config、spn、db、perms などはすべて正しいです。Modes.Prod を返す必要があるユーザーが 1 人だけいますが、そうではありません。

Inno Setup インストールの一部として Windows セキュリティ グループを設定するにはどうすればよいですか?

私はそれを理解するためにグーグルに適切なテキストを考えることができないようです. おそらく、何を検索するかについてのヒントで十分でしょう。

私が達成しようとしているのは、プロセスが管理者以外のユーザー（Windowsログインユーザー）の下で管理者として実行されている場合のセッションIDからの実際のトークンハンドルです。

私の問題は、WTSQueryUserToken を呼び出すときに発生します。エラー 1314 で失敗します。これは、SE_TCB_NAME 特権で呼び出しトークンを付与する必要があることを意味します。

だから私は次のコードでそうしようとしました:

しかし、どのトークンを正確に提供する必要があるかは完全にはわかりません。%%WHICH_TOKEN_EXACTLLY%%プレースホルダーでマークしました。私のテストでは、プロセスのトークン (管理者の権限) を AdjustTokenPriviliges しようとしましたが、どちらも役に立ちませんでした。