目前,我們有一個.hta文件,員工用它來更新其活動目錄配置文件的某些元素。這減輕了系統管理員必須處理這個問題。 .hta文件的推理是顯而易見的。它提升了很多安全阻止,並允許一臺機器執行其他方法無法完成的任務(如更新活動目錄配置文件)(據我所知)。瀏覽器可以模擬.hta文件的安全相關功能嗎?
我意識到安全隱患,但我們被要求將這個.hta應用程序轉移到基於瀏覽器的.net應用程序。這甚至有可能嗎?如果是這樣,爲什麼可能呢?這似乎是一些(而且應該是)瀏覽器相對不可能的東西。
我想這取決於你的意思是基於瀏覽器的.net應用程序。我編寫了許多實用程序,它們以網頁形式呈現給用戶,並更新AD(或其他存儲庫)。在這些情況下,至少有一部分應用程序在服務器上運行。瀏覽器中的網頁僅允許訪問此服務器代碼。
背後有幾種技術。我假設你的用戶以自己的身份運行.hta。你可以使用ASP.NET做類似的事情。 ASP.NET在IIS上運行。如果您使用IE作爲瀏覽器,則可以配置IIS(和IE)以使用Windows集成身份驗證。這意味着IE將Windows安全令牌傳遞給IIS,以便IIS知道用戶是誰,並且他們最近已向DC認證了自己。 IIS將此傳遞給ASP.NET,以便您的應用程序也可以知道這一點。您可以配置您的應用程序,以便「模擬」用戶並使用其ID進行操作。
或者,您可以定義應用程序使用的憑據,並使用IIS應用程序池運行ASP.NET網站,或者在向AD發出呼叫時直接在代碼中使用憑證。當我希望用戶能夠做自己無法做到的事情時,我已經這樣做了,我不想通過將權限授予他們直接授予他們。這意味着我可以爲過程添加驗證。
您使用名爲System.DirectoryServices,又名S.DS(或System.DirectoryServices.Protocols(又名SDS.P))的.NET名稱空間,但這很難使用,或者使用System.DirectoryServices.AccountManagement。 NET 3.5),您可以使用它讀取和更新AD。
如果你想知道更多,更新你的問題,我會盡力幫助。