Оригинал Поиск Дополнительно Вход
ДомойОсновная Компоненты FreePascal Начинающим KOL Игры Corba Media Журнал WinAPI Сети Прочее Базы .Net
Конференция "WinAPI" » Доступ из службы к сетевому компбютеру [D7, Win2k, WinXP]
 
  • __Алексей__ (21.09.09 15:55) [0]
    Разрабатывается служба, которая осуществляет подключение к WMI удаленного компьютера. Известны логин/пароль на удаленном компьютере. В GUI приложении все отлично работает, информация получается. Сервис же не хочет никак коннектиться. Выяснилось, что WMI работает от имени той учетной записи, под которой было запущено приложение. GUI запускается под учетной записью пользователя, имеющего доступ в сеть. Служба запускается от имени SYSTEM, который, как известно, по-умолчанию только локальный.

    Вопрос: Как мне в службе перед подключением к WMI поиметь права пользователя, имя и пароль которого я бы заранее указал?
  • sniknik © (21.09.09 17:01) [1]
    а не проще запустить службу от имени имеющего права? "стандартные" виндовые службы так же запускаются от какого то net юзера...
  • __Алексей__ (21.09.09 21:52) [2]
    Заработало-таки.


    > виндовые службы так же запускаются от какого то net юзера.


    Запускаются они от системной учетной записи NT AUTHORITY\NetworkService. Пароль пустой.

    Если делать иначе, пришлось при установке заставлять юзера задавать учетку, от которой можно запустить службу, с правами входа в сеть, что не есть гут.
  • __Алексей__ (22.09.09 20:59) [3]
    Поспешил радоваться... В общем, для WMI этот случай не прокатил на реальных компьютерах, а не на виртуалках. Долгие чтения форумов привели к вердикту: WMI может работать только под админской учеткой. Поэтому служба должна запускаться от имени такой учетной записи. Либо перед подключением к WMI каким-то образом поиметь такие права. Как решается последнее - открытый вопрос.
  • Сергей М. © (22.09.09 21:10) [4]

    > не прокатил на реальных компьютерах, а не на виртуалках


    А какая принципиальная разница между "реалкой" и "виртуалкой" ?
    Никакой, думаю)
  • Anatoly Podgoretsky © (23.09.09 09:41) [5]
    > Сергей М.  (22.09.2009 21:10:04)  [4]

    И какая разница под какой учеткой запускается служба, все равно это функция администратора.
    А за поиметь права, могут поиметь тебя/его.
  • __Алексей__ (23.09.09 10:23) [6]

    Сергей М. ©   (22.09.09 21:10) [4]
    > А какая принципиальная разница между "реалкой" и "виртуалкой"
    > ?
    > Никакой, думаю)


    Какая-то разница все-таки нашлась. Раз на виртуалках от Network Service работало. Что-то с правами, было, видимо.


    Anatoly Podgoretsky ©   (23.09.09 09:41) [5]
    > А за поиметь права, могут поиметь тебя/его.


    Не понятен смысл. Я не же не хочу украсть у него пароль и незаконно вторгнуться в чьи-то сетевые владения.


    > Как мне в службе перед подключением к WMI поиметь права
    > пользователя, имя и пароль которого я бы заранее указал?
    >  


    Не понятно, в чем Вы усмотрели криминал. Я сам админ, в GUI имею право подключиться как админ к другому компу, а в службе уже нет? В *nix свободно можно в выполняемом процессе повысить права. В Windows тоже это возможно, есть куча функций установки привилегий.
    Вопрос был лишь в том, как именно это сделать. Если б возможности такой не было, я даже бы и вопрос не задал.
  • Anatoly Podgoretsky © (23.09.09 13:18) [7]
    > __Алексей__  (23.09.2009 10:23:06)  [6]

    Если ты админ, то какая проблема, запусти службу от админа.
    И не надо ссылки на Линукс, там система защиты ни какая, но раз хочешь, то запускай под линуксом.
    Только я посмотрю на тебя как ты повысишь права в том же Линуксе, в тоже время с правами нет проблем
    Тебе с вопросом надо в другой форум, в WinAPI, а не в Сети. Сообственно туда и перемещаю.
  • __Алексей__ (23.09.09 14:07) [8]

    > Anatoly Podgoretsky ©   (23.09.09 13:18) [7]
    > Тебе с вопросом надо в другой форум, в WinAPI, а не в Сети.
    >


    Речь изначально шла о сетевом взаимодействии моего сервиса и службы WMI (DCOM). Извиняйте, если что-то напутал с разделом...

    Под админом нет никаких проблем запускать. Просто программа будет устанавливаться не раз и не на одном компьютере. Не хотелось юзера программы (админа конечно же!) заставлять при установке вводить свой логин и пароль, чтобы служба прописалась именно так, а не иначе. Если б работало все от системной учетки Network Service, коя имеется во всех версиях Windows семейства NT, было бы проще.  

    Хотя, если б даже и получилось повышать права в сервисе, зная логин и пароль админа, то появился бы вопрос о хранении этих секурных данных в файлах настройки. Что тоже не правильно. Согласен с Вами  - дыра. Поэтому выход один - писать мануал по установке и настройке службы. Пусть система сама заботится о безопасности.

    Во всяком случае, спасибо за внимание к вопросу.
  • Eraser © (23.09.09 16:23) [9]
    > [8] __Алексей__   (23.09.09 14:07)

    Это "соединение к WMI" может происходить когда угодно или только, когда есть инерактивный пользователь и он совершает какие-то действия?
  • __Алексей__ (23.09.09 17:49) [10]
    Постоянно. Даже в отсутствие интерактивного пользователя (т.е. без логина в систему)
  • Anatoly Podgoretsky © (24.09.09 09:29) [11]
    > __Алексей__  (23.09.2009 14:07:08)  [8]

    Это только тебе кажется, а твой вопрос про повышение прав, Сеть же обманка.
 
Конференция "WinAPI" » Доступ из службы к сетевому компбютеру [D7, Win2k, WinXP]
ДомойОсновная Компоненты FreePascal Начинающим KOL Игры Corba Media Журнал WinAPI Сети Прочее Базы .Net
Есть новые Нет новых   [134433   +24][b:0][p:0]