サービス・タスク系のアカウント問題 のバックアップ(No.1)

[ トップ ]   [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

• バックアップ一覧
• 差分 を表示
• 現在との差分 を表示
• ソース を表示
• サービス・タスク系のアカウント問題 へ行く。
  • 1 (2019-01-23 (水) 11:02:56)
  • 2 (2019-01-23 (水) 12:46:16)
  • 3 (2019-01-31 (木) 11:06:58)
  • 4 (2021-05-31 (月) 10:14:14)

---

「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

• 戻る
  • Windows
  • アカウント
  • あるある

目次 †

概要 †

タスク ＝ タスク・スケジューラ ＝ Windowsサービスのため

「タスク・スケジューラもWindowsサービス」です。

Windowsサービス全般の実行アカウント問題を中心としたトラブルシュートについて説明します。

アカウント関係 †

• 通常、Windowsサービスの実行アカウントとして
  サービスで使用されるビルトイン システム アカウントが使用されます。

• IISでは、「Network Service」を使用します。
• タスク スケジューラでは、「System」（LocalSystem?）を使用します。

• このため、Windowsサービスやタスク スケジューラからの実行では、
  普段意識していないOSやAPIの認証機構の存在を意識する必要があります。

runasコマンド実行アカウントを指定する（アンマッチ） †

runasコマンドで一時的にほかのユーザー権限でプログラムを実行する事ができますが、
コマンドからパスワードは与えられず、ユーザに入力を求めるダイアログが表示されますので
非対話型のセッションから実行されるWindowsサービスやタスク スケジューラではアンマッチです。

• 一時的にほかのユーザー権限でプログラムを
  実行する方法（runasコマンドを利用する方法） － ＠IT
  http://www.atmarkit.co.jp/fwin2k/win2ktips/758runascmd/runascmd.html

タスク スケジューラの実行アカウントを指定する †

タスク スケジューラの機能を使用する †

以下のKBにあるように、タスク スケジューラは実行アカウントを指定して実行させる事ができます。

• ユーザー アカウントにパスワードがないとタスク スケジューラでタスクが実行されない
  http://support.microsoft.com/kb/299854/ja

コマンドからは以下の様に設定します。

• TechNet?

• Command-line Reference > A-Z List
  • Atコマンド
    http://technet.microsoft.com/ja-jp/library/cc772590.aspx
  • Schtasksコマンド
    http://technet.microsoft.com/ja-jp/library/cc725744.aspx

• タスクのセキュリティ コンテキスト
  http://technet.microsoft.com/ja-jp/library/cc722152.aspx

タスク スケジューラに特権を付与する †

こちらを参照して下さい。

タスク スケジューラからUIをコントロールする場合、 †

バックグラウンドからのUIオートメーションはサポートされない。
従って、以下のように設定をして、フォアグラウンドで実行できるようにする。

• ログオン・ユーザの実行アカウントで実行させ、
• タスクスケジューラに以下の設定を行う。
  • 「ユーザがログオンしている時のみ実行する。」にチェックを入れる
  • 「操作の編集ダイアログ」の
    • 「プログラム/スクリプト」に「cscript」を定義し、
    • 「引数の追加」に「UIオートメーションを実行するVBScriptのパス」を指定する。

参考：

• タスクスケジューラでvbsを実行した時、起動したソフトが最前面… - 人力検索はてな
  http://q.hatena.ne.jp/1373728119
• Windows10 - 管理者権限が必要なアプリを自動起動（スタートアップ） - PC設定のカルマ
  https://pc-karuma.net/windows-10-task-schedule-without-uac-prompt/

Windowsサービスの実行アカウントを指定する †

IISやSQL Serverなど †

IIS（のワーカ・プロセス）やSQL Serverなど、
専用の設定画面を持ち、ここから設定が可能です。

• IIS
  • IIS7.5（のワーカ・プロセス）からは、アプリケーションプール IDが導入され、
    既定で「Network Service」ではなく「DefaultAppPool」が使用されます。

• IIS 7 のアクセス許可
  http://awoni.net/tips/iis_acl/

• アプリケーション プール IDの権限設定をする場合、
  IIS_AppPool?\ApplicationPoolName?ユーザか、IIS_IUSRSグループに対して権限を設定する。

  IIS 7 以降でのアプリケーションプールと権限について調べた - しばやん雑記
  http://blog.shibayan.jp/entry/20150127/1422369253

• SQL Server
  • SQL Server インストールのセキュリティに関する注意点
    http://msdn.microsoft.com/ja-jp/library/ms144228.aspx
  • サーバーの構成 - サービス アカウント
    http://msdn.microsoft.com/ja-jp/library/cc281953.aspx
  • SQL Server のサービス開始アカウントの変更 (SQL Server 構成マネージャー)
    http://msdn.microsoft.com/ja-jp/library/ms345578.aspx

ASP.NET（偽装） †

ASP.NETでは、偽装を使用する事によって、
実行アカウントを指定することもできます。

ASP.NET アプリケーションに偽装を実装する方法
http://support.microsoft.com/kb/306158/ja

偽装には、

• サーバ信頼セキュリティ モデル

  特定のアカウントに偽装する。

• ベース クライアント セキュリティ モデル

  Windowsサービスにアクセスしてきたユーザの認証アカウントに偽装する。

があります。

匿名アカウントを実行アカウントにする場合は偽装が必要になります。
通常は、IIS（のワーカ・プロセス）の実行アカウントで実行される。

• ＠IT：連載：プログラミングASP.NET　第17回　ASP.NETにおける認証と認定
  http://www.atmarkit.co.jp/fdotnet/aspnet/aspnet17/aspnet17_03.html
  

APIを使用した偽装 †

ASP.NETのように、偽装の機能が実装されているWindowsサービスも有りますが、
Win32APIを使用して偽装することもできます（区間的、部分的な偽装）。

• 参考
  • ASP.NET アプリケーションに偽装を実装する方法
    http://support.microsoft.com/kb/306158/ja
  • コード内で認証中のユーザーを偽装する
  • コード内で特定のユーザーを偽装する

• Open棟梁のIdentityImpersonation.ImpersonateValidUser＋UndoImpersonationメソッド
  • 区間偽装のサンプル - Open 棟梁 Wiki

WindowsサービスからEXEを起動 †

偽装スレッドからEXEを起動 †

また、ASP.NETなどの偽装スレッドからEXE起動をした場合、
EXEが偽装スレッドの実行アカウントで実行されない問題があります。

• Microsoft ASP.NET で偽装ユーザーの
  コンテキストで実行されるプロセスを生成する方法。
  http://support.microsoft.com/kb/889251/ja

  偽装ユーザーのコンテキストで実行されるプロセスを起動するのには、
  System.Diagnostics.Process.Startメソッドを使用できません。

偽装スレッドの実行アカウントでEXEを起動する場合は、
DuplicateTokenEx?→CreateProcessAsUser?関数を使用し、
独自に、ユーザ権限を割り当てる必要があるようです。

以下の点に注意が必要のようです。

• ASP.NET偽装や、ImpersonateValidUser?の偽装レベルは
  SecurityImpersonation?なので、これに合わせる必要がある。

• 独自偽装の、偽装レベルは、どちらでも良いが、双方を合わせる必要がある。
  • SecurityImpersonation?
  • SecurityDelegation?

• 実行アカウントには、以下の設定が必要になる。

• 「プロセス レベル トークンの置き換え」セキュリティ・ポリシー
  このセキュリティ設定は、あるWindowsサービスから別のWindowsサービスを開始するために、
  CreateProcessAsUser?() Win32APIを呼び出せるユーザ アカウントを決定します。
  このユーザー権利を使用するプロセスの 1 つがタスク スケジューラです。

• 既定値:Network Service、Local System

• 参考情報
  • CreateProcessAsUser? すなのかたまり
    http://msmania.wordpress.com/tag/createprocessasuser/
    • [Win32] [C++] LogonUser? と CreateProcessAsUser? すなのかたまり
      http://msmania.wordpress.com/2011/02/06/win32-c-logonuser-%e3%81%a8-createprocessasuser/
    • [Win32] [C++] CreateProcessAsUser? #1 特権編 すなのかたまり
      http://msmania.wordpress.com/2011/12/31/win32-c-createprocessasuser-1-%E7%89%B9%E6%A8%A9%E7%B7%A8/
    • [Win32] [C++] CreateProcessAsUser? #2 トークン編 すなのかたまり
      http://msmania.wordpress.com/2011/12/31/win32-c-createprocessasuser-2-%E3%83%88%E3%83%BC%E3%82%AF%E3%83%B3%E7%B7%A8/
    • [Win32] [C++] CreateProcessAsUser? #3 ソース すなのかたまり
      http://msmania.wordpress.com/2011/12/31/win32-c-createprocessasuser-3-%E3%82%BD%E3%83%BC%E3%82%B9/
    • [Win32] [C++] CreateProcessAsUser? #4 セキュリティ記述子 すなのかたまり
      http://msmania.wordpress.com/2012/01/01/win32-c-createprocessasuser-4-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E8%A8%98%E8%BF%B0%E5%AD%90/

• Open棟梁のIdentityImpersonation.CreateProcessAsImpersonationUserメソッド

[[「ブロックの解除」がされていないEXEを起動>]] †

コンピューター スタートアップ スクリプトの実行アカウント †

スタートアップ スクリプトは Local System アカウントとして実行されるらしい。

• コンピューター スタートアップ スクリプトを割り当てる
  https://technet.microsoft.com/ja-jp/library/cc770556.aspx

実行アカウントの確認方法 †

.NET †

以下を参照下さい。

• ＠IT：.NET TIPS ユーザーのセキュリティ権限を確認するには？（基本編）
  http://www.atmarkit.co.jp/fdotnet/dotnettips/346rolebasesec1/rolebasesec1.html

サービスで使用されるビルトイン システム アカウントの問題 †

• タスクの実行には、サービスで使用されるビルトイン システム アカウントが使用される事が多いです。
• しかし、サービスで使用されるビルトイン システム アカウントを使用するとネットワーク間で認証できません。
• サービスで使用されるビルトイン システム アカウントはADのグループに入れる事ができないのでAD環境下でもNGです。

一般的に匿名アクセスを許可する以外、

ネットワーク間の認証には

• ミラーアカウント
• ドメイン アカウント
• net use(WNetAddConnection)

の何れかを使用する必要があります。

• ミラーアカウント
  WORKGROUP環境で利用。

• ドメイン アカウント
  Active Directory環境で利用。
  • コンピュータ・アカウント
    AD環境下の場合、サービスで使用されるビルトイン システム アカウントを使用する場合、
    コンピュータ・アカウントのアクセス許可をリソースに付与するだけでも良い。
  • 仮想アカウント
    AD環境下の場合、仮想アカウントは自動的に管理され、
    ドメイン環境でネットワークにアクセスすることができる。

• net use(WNetAddConnection)
  WORKGROUP環境・Active Directory環境でも利用可能。

ネットワークアクセス †

ネットワーク経由で、ファイル共有やプリンタにアクセスする場合。

リモート・コマンド †

• RSH（rshsvcサービス）や
• PowerShell（WinRMサービス）で

リモート・コマンドを実行する場合、
リモートでコマンドを実行する際の
実行アカウントを考慮する必要があります。

RSH †

rshsvc.exeは、渡されたシェルを実行しますが、シェルの実行アカウントは、
サービスで使用されるビルトイン システム アカウントであるLocal Systemとなるようです。

WinRM †

WinRMサービスは、渡されたPowerShellを実行しますが、PowerShellの実行アカウントは、
サービスで使用されるビルトイン システム アカウントであるNetwork Serviceとなるようです。

しかし、WinRMサービスは実行時にCredentialを渡す事で実行アカウントを指定でき、
また、色々設定を行う事によってWinRMではダブルホップも可能であるようです。

PsExec? †

RSH（rshsvcサービス）など、上記の実行アカウントで
実行できないコマンドをリモート実行したい場合、PsExec?が利用できる。

• リモート・コンピュータ上でプログラムを実行する（PsExec?編） － ＠IT
  http://www.atmarkit.co.jp/fwin2k/win2ktips/1416psexec/psexec.html
  

• ローカル・アカウントと同じ資格情報得で偽装しリモート・タスクを実行する。
  ただし、この偽装アカウントはダブルホップ問題を持つため適切な設定が無いと
  リモート・タスク上のネットワーク・アクセス時の認証等に失敗する。

• リモートで実行するときのアカウントを指定できる。

• Systemアカウントでプログラムを実行するよう指定できる。

参考情報 †

ローカルの実行アカウントを引き継いでリモートアクセスする場合に知っておきたい
「ダブルホップ」については「ベース クライアント セキュリティ モデル」→「委任」を参照。

サービスで使用されるビルトイン システム アカウントで実行 †

サービスで使用されるビルトイン システム アカウントでプログラムを実行しようとしても、
runasコマンドにはサービスで使用されるビルトイン システム アカウントを指定きません。

• 参考：サービスで使用されるビルトイン システム アカウント

この場合、「System」（LocalSystem?）であれば、
タスク スケジューラが既定で、「System」（LocalSystem?）の
サービスで使用されるビルトイン システム アカウントを使用する性質を利用できます。

• 一時的にSystemアカウントでプログラムを実行する － ＠IT
  http://www.atmarkit.co.jp/fwin2k/win2ktips/1165atsys/atsys.html
  

---

Tags: :あるある, :Windows, :アカウント, :セキュリティ, :障害対応, :デバッグ

     

Site admin: dotNetDevelopmentInfrastructure

PukiWiki 1.4.7 Copyright © 2001-2006 PukiWiki Developers Team. License is GPL.
Based on "PukiWiki" 1.3 by yu-ji. Powered by PHP 5.3.3. HTML convert time: 0.053 sec.