stephanm
Goto Top

Admin-Rechte per Web?

Ist es irgendwie möglich, dass ein anonymer User, der auf eine ASP-Seite zugreift, dort ein Tool mit Admin-Rechten ausführt?

Hallo zusammen!

Ich habe da so ein Problem: Ich habe eine ASP-Seite programmiert, die mit dem IIS gehostet wird, und der es den Mitarbeitern einer Abteilung ermöglicht, einen VPN-Gastaccount für einen bestimmten Zeitraum zu aktivieren, ein neues Passwort für diesen Account erstellt und das dem freischaltenden Mitarbeiter mitteilt.

Dummerweise braucht der Task Adminrechte, sonst tut er's nicht. Und das ist mein Problem: Wie bekomme ich den IIS dazu, Teile des Codes oder einzelne Dateien mit Admin-Rechten auszuführen?

Ich habe dann aushilfsweise probiert, eine EXE-Datei mit AutoIT zu basteln, die sich erst im Quellcode die Adminrechte schnappt, aber diese Anwendung wird gestartet und bleibt dann im Speicher hängen und tut nix.

Wobei das eigentlich funktionieren sollte:

Set objWsh = Server.CreateObject("WScript.Shell")  
nRetVal = objWsh.Run("%comspec% /c irgendwas.exe", 0, true)  

Ist irgendwas.exe z.B. eine net send Anweisung, dann klappt's prima, aber bei einer eigenen Exe-Datei, die intern auch nur net send ausführt, bleibt's wieder kleben.

Ich bin ziemlich ratlos...

Weiß jemand Rat?

CU,

Stephan

Content-ID: 28557

Url: https://administrator.de/forum/admin-rechte-per-web-28557.html

Ausgedruckt am: 24.12.2024 um 02:12 Uhr

filippg
filippg 20.03.2006 um 20:43:24 Uhr
Goto Top
Hallo,

du könntest es mal mit "runas" probieren. Mit dem Schalter "/savecred" must du dabei auch nich das Admin-Kennwort im Skript speichern und die Sache ist wohl relativ sicher (Achtung: vor Ausführung durch Skript einmal in Kommandozeile eingebem, beim ersten mal Fragt er nach dem Kennwort).
Daneben könntest du im IIS eine neue Website anlegen und diese Standardtmässig vom Admin ausführen lassen (->Verzeichnissicherheit -> Steuerung des anonymen Zugriffs... -> Bearbeiten -> Admin-Daten eingeben). Das ist aber ziemlich unsicher, weil eben der ganze Prozess dann mit Admin-Rechten läuft.

Filipp
StephanM
StephanM 20.03.2006 um 21:30:30 Uhr
Goto Top
Hi Filipp!

Danke für die schnelle Antwort, aber /savecred will ich nicht benutzen, weil dann der Rechner, der den IIS ausführt, enorm unsicher wird... Ich probiere mal das mit dem anderen Web aus, vielleicht klappt das ja, ich melde mich wieder face-smile

Cu,

Stephan
StephanM
StephanM 20.03.2006 um 21:53:28 Uhr
Goto Top
Ich glaube, ich stelle mich dumm an. Ich habe in der Verzeichnissicherheit die Admin-Daten eingetragen und habe trotzdem nur die IUSR-XXX Rechte von vorher.

Stephan
7704
7704 23.03.2006 um 19:16:00 Uhr
Goto Top
Sonst bau doch eine Authentifizierung ein, wo sich nur ein Administrator anmelden kann. Das kannst du im IIS einstellen (Ordnerspezifisch).
StephanM
StephanM 10.04.2006 um 10:48:56 Uhr
Goto Top
Danke für die Antwort, aber das geht an der Aufgabenstellung vorbei... Ich will, dass NICHT-Admins vordefinierte Admin-Dinge ausführen können.

Das Problem ist auch gelöst, ich habe mich von meinem Windows 2000 IIS gelöst und habe das Projekt auf Windows 2003 Server portiert. Nun geht alles wie es soll.

Vielen Dank trotzdem an alle!

Mfg,

Stephan