현재 직원들이 활성 디렉토리 프로필의 특정 요소를 업데이트하는 데 사용하는 .hta 파일이 있습니다. 이렇게하면 시스템 관리자가 해당 문제를 처리하지 않아도됩니다. .hta 파일에 대한 논리는 명백합니다. 그것은 많은 보안 차단을 제자리에 두었고, 기계가 다른 방법으로는 (예를 들어 활성 디렉토리 프로파일을 업데이트하는 등) 할 수있게 해줍니다.브라우저가 .hta 파일의 보안 관련 기능을 에뮬레이션 할 수 있습니까?
나는 보안상의 영향을 알고 있지만이 .hta 응용 프로그램을 브라우저 기반 .net 응용 프로그램으로 전송하도록 요청 받고 있습니다. 이것은 가능한가? 그렇다면 왜 가능합니까? 그것은 브라우저에서 상대적으로 불가능한 무언가처럼 보입니다.
브라우저 기반 .net 응용 프로그램의 의미에 따라 다릅니다. 필자는 사용자에게 웹 페이지로 제공되고 AD (또는 다른 저장소)를 업데이트하는 많은 유틸리티를 작성했습니다. 이러한 경우 응용 프로그램의 적어도 일부가 서버에서 실행됩니다. 브라우저의 웹 페이지는이 서버 코드에 대한 액세스 만 제공합니다.
여기에는 몇 가지 기술이 있습니다. 사용자가 .hta를 스스로 실행한다고 가정합니다. ASP.NET을 사용하여 비슷한 작업을 수행 할 수 있습니다. ASP.NET은 IIS에서 실행됩니다. IE를 브라우저로 사용하는 경우 Windows 통합 인증을 사용하도록 IIS (및 IE)를 구성 할 수 있습니다. 이는 IE가 Windows 보안 토큰을 IIS에 전달하여 IIS가 사용자를 알고 있으며 최근에 DC에 자신을 인증했음을 의미합니다. IIS는이 정보를 ASP.NET에 전달하므로 응용 프로그램도이를 알 수 있습니다. 사용자가 자신을 가장해서 자신의 ID를 사용하여 앱을 구성 할 수 있습니다.
또는 응용 프로그램에서 사용할 자격 증명을 정의하고 IIS ApplicationPool을 사용하여 ASP.NET 사이트를 실행하거나 AD로 호출 할 때 코드에서 직접 자격 증명을 사용할 수 있습니다. 사용자가 자신의 자격 증명으로 수행 할 수없는 작업을 수행 할 수 있기를 원했을 때 권한을 위임하여 직접 액세스 권한을 부여하고 싶지 않았기 때문에이 작업을 수행했습니다. 즉, 프로세스에 유효성 검사를 추가 할 수 있습니다.
System.DirectoryServices (별칭 : S.DS) 또는 System.DirectoryServices.Protocols (일명 SDS.P)라는 .NET 네임 스페이스를 사용하지만 사용하기가 더 어렵습니다. 또는 함께 제공된 System.DirectoryServices.AccountManagement입니다. NET 3.5)를 사용하고이를 사용하여 AD를 읽고 업데이트 할 수 있습니다.
자세한 내용을 알고 싶으면 질문을 업데이트하면 도와 드리겠습니다.