Masalah Keamanan untuk Publikasi Layanan
Sistem membatasi kemampuan untuk membuat, memodifikasi, atau menghapus objek titik koneksi. Waspadalah, dan tangani, pembatasan ini saat Anda menerbitkan layanan.
Klien harus dapat mempercayai data yang diterbitkan dalam objek titik koneksi di direktori. Untuk alasan ini, izin untuk membuat objek titik koneksi biasanya dibatasi untuk pengguna istimewa, seperti administrator domain. Ini mencegah pengguna yang tidak sah menipu klien dengan membuat titik koneksi yang tidak valid untuk layanan terkenal.
Layanan tidak boleh berjalan dengan hak istimewa administrator domain. Ini berarti bahwa layanan biasanya tidak dapat membuat titik koneksinya sendiri. Sebagai gantinya, Anda menyediakan penginstalan layanan atau aplikasi konfigurasi yang membuat titik koneksi. Alat penginstal ini harus dijalankan oleh pengguna dengan hak istimewa yang diperlukan.
Meskipun layanan biasanya tidak dapat membuat titik koneksinya, layanan harus dapat memperbarui properti titik koneksi pada waktu proses. Properti titik koneksi berisi data pengikatan yang digunakan oleh klien untuk menyambungkan ke layanan. Jika data pengikatan berubah, layanan harus memperbarui titik koneksi; jika tidak, klien tidak dapat menggunakan layanan. Ini berarti bahwa alat penginstal juga harus memodifikasi deskriptor keamanan pada objek titik koneksi untuk memungkinkan layanan membaca dan menulis properti yang sesuai pada waktu proses. Untuk informasi selengkapnya dan contoh kode, lihat Mengaktifkan Akun Layanan untuk Mengakses Properti SCP.
Layanan yang berjalan di bawah akun LocalSystem dapat membuat titik koneksi sebagai objek turunan di bawah objek komputernya sendiri di direktori. Layanan semacam itu adalah pengecualian untuk aturan layanan yang tidak membuat titik koneksi mereka sendiri. Layanan LocalSystem juga memiliki izin untuk mengubah properti objek titik koneksi di bawah objek komputernya sendiri. Ketahuilah bahwa layanan harus berjalan di bawah akun LocalSystem hanya jika benar-benar diperlukan. Untuk informasi selengkapnya, lihat Panduan untuk Memilih Akun Masuk Layanan.
Aplikasi yang membuat objek titik koneksi, atau objek apa pun, harus memiliki izin membuat anak untuk kelas objek yang akan dibuat dalam kontainer tempat objek akan dibuat. Untuk menghapus objek, proses yang melakukan operasi harus memiliki izin hapus anak agar kelas objek dihapus pada kontainer yang menyimpan objek, atau memiliki izin penghapusan pada objek itu sendiri. Untuk memperbarui titik koneksi, proses yang melakukan operasi harus memiliki akses tulis ke properti yang akan diperbarui pada objek.
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk