Udostępnij za pośrednictwem

Problemy z zabezpieczeniami publikacji usługi

  • Artykuł

System ogranicza możliwość tworzenia, modyfikowania lub usuwania obiektów punktu połączenia. Należy pamiętać o tych ograniczeniach i obsługiwać je podczas publikowania usługi.

Klienci muszą mieć możliwość zaufania do danych opublikowanych w obiekcie punktu połączenia w katalogu. Z tego powodu uprawnienia do tworzenia obiektu punktu połączenia są zwykle ograniczone do uprzywilejowanych użytkowników, takich jak administratorzy domeny. Uniemożliwia to nieautoryzowanym użytkownikom oszustwa klientów przez utworzenie nieprawidłowych punktów połączenia dla dobrze znanych usług.

Usługi nie mogą być uruchamiane z uprawnieniami administratora domeny. Oznacza to, że usługa zazwyczaj nie może utworzyć własnego punktu połączenia. Zamiast tego należy podać aplikację instalacji usługi lub konfiguracji, która tworzy punkt połączenia. Ten instalator musi być uruchamiany przez użytkownika z niezbędnymi uprawnieniami.

Chociaż usługa zwykle nie może utworzyć punktu połączenia, musi być w stanie zaktualizować właściwości punktu połączenia w czasie wykonywania. Właściwości punktu połączenia zawierają dane powiązania używane przez klientów do nawiązywania połączenia z usługą. Jeśli dane powiązania zmienią się, usługa musi zaktualizować punkt połączenia; w przeciwnym razie klienci nie mogą korzystać z usługi. Oznacza to, że instalator musi również zmodyfikować deskryptor zabezpieczeń w obiekcie punktu połączenia, aby umożliwić usłudze odczytywanie i zapisywanie odpowiednich właściwości w czasie wykonywania. Aby uzyskać więcej informacji i przykład kodu, zobacz Włączanie konta usługi w celu uzyskania dostępu do właściwości punktu połączenia usługi.

Usługa uruchomiona na koncie LocalSystem może utworzyć punkt połączenia jako obiekt podrzędny w ramach własnego obiektu komputera w katalogu. Taka usługa jest wyjątkiem od reguły usług, które nie tworzą własnych punktów połączenia. Usługa LocalSystem ma również uprawnienia do modyfikowania właściwości obiektów punktu połączenia w ramach własnego obiektu komputera. Należy pamiętać, że usługa powinna działać na koncie LocalSystem tylko wtedy, gdy jest to absolutnie konieczne. Aby uzyskać więcej informacji, zobacz wskazówki dotyczące wybierania konta logowania usługi.

Aplikacja, która tworzy obiekt punktu połączenia lub dowolny obiekt, musi mieć uprawnienia podrzędne do utworzenia klasy obiektów w kontenerze, w którym zostanie utworzony obiekt. Aby usunąć obiekt, proces wykonujący operację musi mieć uprawnienia podrzędne do usunięcia klasy obiektów w kontenerze przechowującym obiekt lub mieć uprawnienia do usuwania samego obiektu. Aby zaktualizować punkt połączenia, proces wykonujący operację musi mieć dostęp do zapisu do właściwości, które mają zostać zaktualizowane w obiekcie.