7

我在 ASP.NET 2.0 的模拟上下文中启动进程时遇到问题。

我正在我的 Web 服务代码中启动新进程。IIS 5.1、.NET 2.0

[WebMethod]
public string HelloWorld()
{
    string path = @"C:\KB\GetWindowUser.exe";
    ProcessStartInfo startInfo = new ProcessStartInfo();
    startInfo.WorkingDirectory = Path.GetDirectoryName(path);
    startInfo.FileName = path;
    startInfo.UseShellExecute = false;
    startInfo.CreateNoWindow = true;
    startInfo.ErrorDialog = false;
    startInfo.RedirectStandardOutput = true;
    startInfo.RedirectStandardError = true;
    Process docCreateProcess = Process.Start(startInfo);

    string errors = docCreateProcess.StandardError.ReadToEnd();
    string output = docCreateProcess.StandardOutput.ReadToEnd();
}

“C:\KB\GetWindowUser.exe”是包含以下代码的控制台应用程序:

static void Main(string[] args)
{
    Console.WriteLine("Windows: " + WindowsIdentity.GetCurrent().Name);
}

当我在没有模拟的情况下调用 Web 服务时,一切正常。

当我打开模拟时,以下错误写入 Web 服务代码中的“错误”变量:

未处理的异常: System.Security.SecurityException: 访问被拒绝。\r\n\r\n 在 System.Security.Principal.WindowsIdentity.GetCurrentInternal(TokenAccessLevels desiredAccess, Boolean threadOnly)\r\n 在 System.Security.Principal.WindowsIdentity .GetCurrent()\r\n at ObfuscatedMdc.Program.Main(String[] args)\r\n失败的程序集区域是:\r\nMyComputer

模拟用户是本地管理员,可以访问 C:\KB\GetWindowUser.exe 可执行文件。

当我在 ProcesStartInfo 属性域、用户和密码中明确指定窗口用户时,我收到以下消息:http: //img201.imageshack.us/img201/5870/pstartah8.jpg

是否可以从 asp.net (IIS 5.1) 使用与 ASPNET 不同的凭据启动进程?

4

4 回答 4

3

您必须将特权代码放入 GAC(或以完全信任的方式运行)。

GAC 中的代码必须声明 XXXPermission,其中 XXX 是您请求的任何权限,无论是模拟、访问硬盘驱动器还是您拥有的权限。

您应该在之后立即恢复断言。

您应该确保您放在 GAC 中的 DLL 上的 API 没有被滥用的机会。例如,如果您正在编写一个允许用户通过命令行应用程序备份服务器的网站,那么您的 API 应该旧时公开一个类似“BackUp()”的方法,而不是“LaunchAribitraryProcess(string path)”

web.config 文件也必须设置模拟,否则您将遇到 NTFS 权限问题以及 CAS。

这是完整的解释

于 2008-12-08T18:59:56.190 回答
1

您也可以尝试将代码包装在里面

using (Impersonator person = new Impersonator("domainName", "userName",
"password")
{
    // do something requiring special permissions
}

http://www.devnewsgroups.net/group/microsoft.public.dotnet.framework.windowsforms/topic62740.aspx中所述

于 2009-05-12T02:32:39.033 回答
0

你到底想做什么?我不太明白您的代码在创建不同的可执行文件方面有什么意义。它看起来很奇怪。或许先说明您要解决的业务问题会更有帮助。

于 2008-12-08T18:01:19.630 回答
0

看起来您正试图让 IIS 服务模拟具有比服务本身更高权限的用户(在本例中为管理员)。Windows 将此作为安全漏洞加以阻止,因为此时您基本上是在乞求某人接管您的系统。可能有一种方法可以解决这个限制,但不要这样做——这是为了你自己好。

相反,让 IIS 模拟具有有限权限的用户,该用户具有您需要的权限。例如,创建一个用户帐户,该帐户仅拥有您希望 Web 服务写入的文件夹,或任何其他适当的权限组合。如果冒充受限用户,您将不会看到此错误代码,但应该仍然能够调用您在此处拥有的良性可执行文件。

于 2008-12-08T18:26:07.647 回答