Yog*_*ogi 5 .net c# web-services visual-studio-2005 iis-5
我使用visual studio创建了一个C#Web服务来停止名为SMTPSVC的Windows服务"简单邮件传输协议(SMTP)".
以下是执行此操作的Web方法:
[WebMethod]
public string StopService()
{
String status = "";
try
{
ServiceController scAlerter = new ServiceController("SMTPSVC");
Console.WriteLine(scAlerter.DisplayName);
Console.WriteLine(scAlerter.CanStop);
scAlerter.Stop();
Console.WriteLine("Service stopped");
status = "STOPPED";
}
catch (Exception e)
{
Console.WriteLine("Exception caught here" + e.ToString());
status = "Exception" + e.ToString();
}
return status;
}
我在IIS 5.1服务器中发布了此Web服务.当我调用该服务时,它会抛出以下"拒绝访问"异常
<?xml version="1.0" encoding="utf-8" ?>
<string xmlns="http://y-square.org/">
ExceptionSystem.InvalidOperationException: Cannot open SMTPSVC service on
computer '.'. ---> System.ComponentModel.Win32Exception: Access is denied
--- End of inner exception stack trace --- at
System.ServiceProcess.ServiceController.GetServiceHandle(Int32 desiredAccess)
at System.ServiceProcess.ServiceController.Stop() at Service.RestartService()
in c:\Inetpub\wwwroot\RestartService\App_Code\Service.cs:line 38
</string>
默认情况下,该服务使用用户帐户IUSER_system-name,我已将此用户帐户添加到系统管理员组,并ASPNET在管理员组中添加了用户帐户.
我能够成功地从C#独立程序停止/启动这个Windows服务.
能告诉我这是什么问题吗?我需要更改任何权限设置或IIS用户访问权限才能运行此权限吗?
还要告诉我这个C#服务将使用哪个用户帐户来停止Windows服务?
非常感谢您的帮助.
谢谢,Yogi
IUSER_machinename(以下简称IUSER)帐户有充分理由是一个相对有限的帐户,其权限比来宾帐户多一点.不允许启动和停止Windows服务,甚至不需要查询它们(获取其状态等).
当在独立exe的上下文中运行时,上面的逻辑是成功的,因为底层帐户[可能]您可能是Administrators组的成员,或者无论如何都是一个相当强大的帐户.
在这种情况下,简单但不受推荐的方法是为IUSER帐户提供更多权限.只是尝试将此帐户添加到管理员组,bam!,它将起作用(但也会引入一些潜在危险的安全漏洞).
一个更好的方法是使特定的Windows服务,将被允许通过IIS的方式来管理的明确列表,以及它们各自的服务安全描述符设置为使IUSER帐户(或之际创建的另一个帐户/组)允许根据需要启动和/或停止它们.
实现这种方法的困难在于,据我所知,没有GUI或直观的管理工具来检查和更改服务的安全描述符:您需要使用SD并"学习"SDDL语言.以下是一些指示
| 归档时间: |
|
| 查看次数: |
8950 次 |
| 最近记录: |