Я поставщик, предоставляющий моим пользователям инструкции для ситуации, когда они хотят создать пользователей на сервере Windows просто для аутентификации.
Примечание: Active Directory не задействована и не доступна.
Эти пользователи не должны иметь никаких других привилегий, никакого интерактивного или сетевого доступа к этому серверу.
Эти пользователи создаются с помощью следующего сценария CMD.
@echo off
echo Create group dbFrontUsers.
net localgroup dbFrontUsers /ADD
for /F "tokens=*" %%A in (UserList.txt) do (
echo Create user '%%A'
net user %%A changeM3! /add /comment:"10.5.2011" /fullname:"dbFront User %%A"
net localgroup "dbFrontUsers" %%A /add
ntrights -u %%A +r SeDenyNetworkLogonRight
ntrights -u %%A +r SeDenyInteractiveLogonRight
ntrights -u %%A +r SeBatchLogonRight
ntrights -u %%A -r SeDenyBatchLogonRight
ntrights -u %%A +r SeDenyServiceLogonRight
ntrights -u %%A +r SeDenyRemoteInteractiveLogonRight
)
куда UserList.txt текстовый файл, содержащий простой список допустимых имен пользователей. И права это набор ресурсов инструмент для настройки индивидуальных прав пользователя.
Затем мое приложение настроено на проверку всех запросов на вход, запрашивая сервер, используя LoginType of Batch.
Мой вопрос: есть ли у этих пользователей неожиданные привилегии, которыми можно злоупотреблять извне, или это каким-то образом ставит под угрозу хостинг-сервер?
Чтобы поднять ставки, некоторые из моих клиентов могут намеренно делать это на веб-сервере.