Элемент управления ActiveX на веб-странице для создания учетной записи пользователя

Question

Мне интересно, есть ли способ создать учетную запись пользователя на компьютере под управлением Windows XP, что можно сделать с помощью сценариев из элемента управления ActiveX на веб-странице. В частности, я хотел бы знать, есть ли способ развернуть элемент управления ActiveX на компьютерах (которые я предварительно настроил и отправляю), которые позволят использовать мою веб-страницу с этого компьютера для обнаружения присутствия элемента управления ActiveX и возможности автоматического создания локальных (Windows XP) учетных записей пользователей на компьютере. По сути, рассмотрите это как вопрос предварительной установки элемента управления ActiveX (при необходимости) и предоставления ссылки на рабочий стол; пользователь получает компьютер и входит в систему (с правами администратора) и заходит на веб-сайт, где мой сервер определяет, какие учетные записи пользователей являются соответствующими, отправляет их обратно в виде HTML, а элемент управления ActiveX создает указанные мной учетные записи пользователей.

Подобные вещи кажутся вполне вероятными, но в то же время существуют потенциальные недостатки безопасности. Доступ к этим машинам будет очень ограничен, поэтому проблемы безопасности не так важны.

Кто-нибудь знает, возможно ли это? Делает ли что-нибудь подобное из встроенных компонентов WMI? Это даже разрешено моделью безопасности XP? Или это просто открывает огромную дыру в безопасности, которую следует полностью избегать?

Answer 1

Вы должны установить для параметров безопасности caspol значение fulltrust (или пользовательский набор) либо с использованием доказательства URL, либо подтверждения строгого имени.

После того, как вы убедились, что ваш элемент управления всегда получает настройку полного доверия, нет никаких ограничений на то, что вы можете сделать с вашим элементом управления, все, что можно сделать с помощью обычного приложения, станет возможным благодаря встроенному элементу управления. Конечно, Vista UAC и IE Protected Mode будут проблемами, на которые вам стоит обратить внимание. Например. Защищенный режим можно обойти, добавив свой сайт в зону надежных сайтов.

Редактировать: игнорировать особенности Vista.

Answer 2

Я не думаю, что вы могли бы когда-либо получить модель безопасности Windows - особенно в IE - чтобы разрешить это. Это можно сделать с помощью WMI, используя Win32_UserAccount в WMI, поэтому лучшим подходом может быть написание сценария PowerShell или VBScript, который запрашивает веб-страницу, чтобы узнать, какие учетные записи необходимо создать, а затем создает их. Пользователь должен быть локальным администратором. Это проще в PowerShell; если вы получите примеры сценариев с сайта www.sapienpress.com/powershell.asp (внизу страницы, бесплатно), вы увидите пример того, как отправить запрос на URL-адрес и получить результаты обратно в виде текста. Затем вы можете разобрать текст и создать учетные записи соответственно.