Re[18]: Как воспользоваться Cloaking?
От: Lexey Россия  
Дата: 01.03.02 08:38
Оценка:
Здравствуйте VladD2, Вы писали:

VD>Здравствуйте Konstantin Sokolovskiy, Вы писали:

KS>>Здравствуйте Lexey, Вы писали:

L>>>Мда, зря я вначале не обратил внимания на LogonUser в строчке про имперсонацию. Просто он у меня с имперсонацией клиента сервером никак не ассоциируется, да и по сути это не имперсонация, а почти полноценный logon. В этом случае, сетевые подключения действительно будут работать, а ошибка с привилегиями скорее всего связана с отсутсвием привилегии на сетевой логон (тут, думаю, нужно с флагами LogonUser играться).

С привилегией сетевого логона я похоже глупость сморозил. Похоже, что тут удаленный процесс пытается создаваться с правами владельца процесса, а не имперсонированного юзера. Возможно, тут может помочь замена primary token процесса, но это уже не будет имперсонацией.

KS>>Прошу прощения за двусмысленность того моего вопроса.

KS>>Итак, вопрос остается. Почему работают _оба_ варианта:
KS>>1. Service на Comp1 запущен под именем Comp1\LocalUser. Делаем LogonUser под именем domain\admin.
KS>>2. Service на Comp1 запущен под именем domain\admin. Делаем LogonUser под именем Comp1\LocalUser.

Реальная картина видимо устроена так:
1) сначала проверяется принципиальная возможность доступа к сетевому ресурсу от имени имперсонированного юзера, и если такой доступ возможен, то работает этот вариант. Облом тут может наступить по нескольким причинам — юзер вообще не имеет доступа ко второй машине (локальный), либо требуется делегация, которая невозможна без Kerberos и дополнительных условий.

2) если в 1) облом, то используется identity владельца процесса.

Проще всего наверное это проверить, запустив network monitor и посмотрев, что идет в аутентификационных пакетах между Comp1 и Comp2.

Можно еще позвать AF, может он расставит точки над Ё.

VD>Тут много составляющих...
VD>Думаю все это можно разгрести если прочесть http://www.rsdn.ru/forum/message.asp?mid=32450&only
Автор: VladD2
Дата: 01.03.02



KS>>Comp1\LocalUser, само собой, получить доступа к удаленным файлам не может.

VD>Это почему? Если его сид будет в дакле, то вроде должен.

Не Vlad, тут ты не прав. Это же локальный юзер, его сида в принципе не может быть на другой машине (точнее, теоретически он там может быть, да только смысл у него будет совсем другой).
Тут возможет вариант, когда на Comp2 есть юзер с таким же точно именем и таким же паролем.
 
Подождите ...
Wait...
Пока на собственное сообщение не было ответов, его можно удалить.