%20%E3%81%AE%E6%A8%A9%E9%99%90%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6%E8%AA%AC%E6%98%8E%E3%81%97%E3%81%BE%E3%81%99.png)
低権限の仮想アカウント (Win10 Pro) で PHP-CGI を実行しようとしています。
これはどのように(スクリーンショット#1を参照)可能?
私は(仮想)アカウントでPHP-CGIサービスを実行していますNT サービス\PHP. C:\ 内のそのユーザーの有効な権限はすべて禁断ただし、PHPシェルスクリプト(PHP-CGI.exe経由で実行されている)でMKDIRコマンドを実行すると、NT サービス\PHPユーザー)私できるC:\ にディレクトリを作成します.... これはセキュリティ/権限に関するとんでもない欠陥でしょうか、それとも私が何かを見逃しているのでしょうか?
PHP シェルで「whoami」を実行すると、次の結果が出力されます。nt サービス\php
ボーナスの補足質問: 複数のサービスに対してファイルシステムのアクセス許可を一度に簡単に設定できるように、仮想アカウント (サービス アカウント) のグループを作成するにはどうすればよいでしょうか?
答え1
さて、原因が分かりました。「NT Service\PHP」ユーザーは「Authenticated Users」グループに属しています。
ボーナスの質問: lusrmgr.msc を開き、グループを作成し、適切な NT サービス名アカウントをグループに追加します。