我们正在使用一些第三方软件,这些软件作为服务在一台计算机上运行,并访问第二台计算机上的 IIS 资源。第二台计算机与第一台计算机不在同一个域中,并且它们之间直接有防火墙。
两台服务器都是Windows 2003,运行IIS6。
该服务无法执行其所需的操作,因为它无权访问 IIS 资源(HTTP 错误 401)。该资源无法匿名运行(如果我将 IIS 设置为匿名运行,它会发出警告),并且使用 Windows 身份验证。该软件假定两台计算机都在同一个域中。
如果不将第二台计算机添加到与第一台计算机相同的域(这一定是可能的,但涉及摆弄路由),我可以让服务访问资源吗?
我尝试找到将第一台计算机添加为第二台计算机的授权用户的方法,但是我做不到。
答案1
自诞生以来,Windows 操作系统就支持一种粗暴的黑客手段来实现跨域登录:允许从 Web 服务器所在域中的指定用户账户对 Web 资源进行 Windows 集成身份验证,并创建一个具有相同的帐户名称和托管服务的服务器上的密码。
是的,无论域成员身份如何,这都会始终有效。
编辑:添加一个明显的安全隐患,以防万一不是很明显:你可以使用这个技巧从一台有(重复)帐户的计算机访问特权域帐户不是特权。