Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Ausführen von subinacl via ASP

Frage Entwicklung Webentwicklung

Mitglied: antaresSchweiz

antaresSchweiz (Level 1) - Jetzt verbinden

29.10.2007 um 16:46 Uhr, 4643 Aufrufe

Trotz "integrierte Windows-Authentifizierung" für das Verzeichnis der betreffenden ASP Datei und korrekter Anmeldung als Domain Admin im aufrufenden Browser, scheinen die Credentials beim Ausführen einer cmd.exe (oder *.exe) "nur" noch dem "Netzwerkdienst" zu entsprechen.

ASP ist für mich komplett neu und ASP.NET habe ich noch überhaupt nie verwendet. Allerdings kenne ich vbscript relativ gut. Momentan versuche eine Lösung mit dem "alten" ASP.

Nun zum Problem:

Auf einem W2k3 Server läuft IIS6. In einem eigenen Verzeichnis, mit "integrierte Windows-Authentifizierung" befindet sich ein ASP File (vbscript) welches u.a. folgende Zeilen enthält:

---------test.asp-------------------------------------------------------------------------------------------------------------------------------------


Sub SUBINACL
Set WshShell = Server.CreateObject("WScript.Shell")

strCMD1 = "%COMSPEC% /C subinacl /outputlog=" & strCommonPath & "\" & strGetUserName & _
"-files_.txt /subdirectories " & strCommonPath & "\*.* /display=owner > c:\temp\output.txt"
strCMD2 = "%COMSPEC% /C whoami"
strCMD3 = "subinacl /outputlog=c:\temp\subilog.txt /subdirectories c:\temp\*.* /display=owner > c:\temp\output.txt"

Set oExec = WshShell.Exec(strCMD3)
strResult = oExec.StdOut.Readall()
Response.Write strResult
End Sub



Sub WMI
Set objRootDSE = GetObject("LDAP://rootDSE")
strRootDSE = objRootDSE.Get("defaultNamingContext")
Set objConnection = CreateObject("ADODB.Connection")
objConnection.Provider = ("ADsDSOObject")
objConnection.Open

Set objCommand = CreateObject("ADODB.Command")

objCommand.ActiveConnection = objConnection

objCommand.CommandText = _
"<LDAP://" & strRootDSE & ">;(&(objectCategory=User)" & _
"(samAccountName=" & strGetUserName & "));distinguishedName,sAMAccountName,name;subtree"

Set objRecordSet = objCommand.Execute

End Sub

----------test.asp-------------------------------------------------------------------------------------------------------------------------------------



Das Ziel wäre es eigentlich, strCMD1 auszuführen, aber zu debug Zwecken habe ich noch zwei weitere Befehle hinzugefügt.
strGetUserName und strCommonPath werden weiter unter in der WMI SUB definiert.

Folgende Punkte verstehe ich nicht:

1)
strCMD2 meldet unabhängig von der Authentifizierug im Browser, dass ich der "nt-autorität\netzwerkdienst " sei, auch wenn ich Usernamen und Passwort eines Domain Admins eingegeben habe.
Dies ändert auch nicht, wenn ich anonymen Zugriff erlaube und als Account die Credentials eines Domänen Admins spezifiziere.

2)
Im Rahmen meiner Test stellt ich für das betroffene IIS Verzeichnis die Authentifizierung von Standard (Plaintext) auf Windows integriert. Als "Nebeneffekt" funktioniert nun die WMI Abfrage nicht mehr (auch nicht mit hardcoding des samAccountName) sondern ein "Tabelle nicht vorhanden" Fehler wird generiert.
(Provider Fehler "80040e37' Die Tabelle ist nicht vorhanden. )


Bemerkung:
Da subinacl sehr hungrig nach diversen "privileges" ist, meldet strCMD3 logischerweise, dass Berechtigungen fehlen.


Wie kann ich erreichen, dass eine unprivilegierte Gruppe von Benutzern (Schüler) das ASP aufrufen kann um einen vordefinierten subinacl-Befehl abarbeiten zu können, der dann ein Resultat in Form einer Textdatei zur Verfügung stellt?

Die subinacl Zeile ist so in Ordnung, ich kann sie problemlos manuell in eine CMD Shell (eines Admins) kopieren und das gewünschte File wird erzeugt.


Vielen Dank für jegliche Tips!
antares
Ähnliche Inhalte
Windows Server
Bin zu doof für SUBINACL
gelöst Frage von emeriksWindows Server4 Kommentare

Hi, ich will mit SUBINACL auf einem Laufwerk mit Millionen von Dateien und Ordnern in den ACL die ACE's ...

Webentwicklung
ASP MVC auf IIS 8.5
Frage von hpbrunsWebentwicklung3 Kommentare

Hallo liebe Gemeinde Ich bin schier am Verzweifeln. Seit zwei Wochen doktor ich an einem Problem rum und krieg's ...

Internet
Was kennzeichnet ASP und im Unterschied dazu SaaS?
Frage von ChristianRehbein90Internet1 Kommentar

Grüßt euch, ich hoffe ihr könnt mir die folgende Frage beantworten: Was kennzeichnet ASP und im Unterschied dazu SaaS? ...

Webentwicklung
Type.mismatch nach umstellung auf einem anderssprachigen Server (ASP)
Frage von m.beckerWebentwicklung

Wir haben eine Intranetanwendung die nach einem Serverwechsel auf einen englischen Server 2008R2 den Fehler 80020005 Die Gebietsschema-ID auf ...

Neue Wissensbeiträge
Linux

Limux-Ende in München: Wie ein Linux Projekt unter Ausschluss der Öffentlichkeit zerstört wurde

Information von Frank vor 5 StundenLinux12 Kommentare

Mein persönlicher Kommentar zum Thema "Limux-Ende". Die SPD-Politikerin Anne Hübner hat die Richtung von München ganz klar definiert: "Wir ...

Batch & Shell

Open Object Rexx: Eine mittlerweile fast vergessene Skriptsprache aus dem Mainframebereich

Information von Penny.Cilin vor 1 TagBatch & Shell9 Kommentare

Ich kann mich noch sehr gut an diese Skriptsprache erinnern und nutze diese auch heute ab und an noch. ...

Humor (lol)

"gimme gimme gimme": Automatischer Test stolpert über Easter Egg im man-Tool

Information von Penny.Cilin vor 1 TagHumor (lol)6 Kommentare

Interessant, was man so alles als Easter Egg implementiert. Ist schon wieder Ostern? "gimme gimme gimme": Automatischer Test stolpert ...

MikroTik RouterOS

Mikrotik - Lets Encrypt Zertifikate mit MetaROUTER Instanz auf dem Router erzeugen

Anleitung von colinardo vor 2 TagenMikroTik RouterOS8 Kommentare

Einleitung Folgende Anleitung ist aus der Lage heraus entstanden das ein Kunde auf seinem Mikrotik sein Hotspot Captive Portal ...

Heiß diskutierte Inhalte
Router & Routing
Zwei Netzwerke erstellen
Frage von bunteblumeRouter & Routing14 Kommentare

Hallo Zusammen, Ich möchte gerne ein backup von einem bestimmten Folder welcher auf dem Server regelmässig synchronisiert wird auf ...

Off Topic
Fachkräftemangel in Deutschland? - Talentschmiede schreibt alle 2 Tage die gleichen Stellen aus
Frage von Penny.CilinOff Topic12 Kommentare

Hallo, haben wir in Deutschland Fachkräftemangel? Die Talentschmiede schreibt gefühlt alle zwei Tage dieselben Stellen aus. Und das schon ...

Linux
Limux-Ende in München: Wie ein Linux Projekt unter Ausschluss der Öffentlichkeit zerstört wurde
Information von FrankLinux12 Kommentare

Mein persönlicher Kommentar zum Thema "Limux-Ende". Die SPD-Politikerin Anne Hübner hat die Richtung von München ganz klar definiert: "Wir ...

Windows 10
Alle Programme mit bestimmtem Namen automatisch (per GPO) deinstallieren
gelöst Frage von lordofremixesWindows 1012 Kommentare

Hallo zusammen, gibt es eine Möglichkeit, alle Programme beginnend mit z.B. "Dell" im Namen per Script und somit per ...