据我所知,当我设置 Azure 角色时,我只有一种方法来指定运行角色代码的进程将拥有多少权限 - 使用 <Runtime executionContext> XML 标签。
然而,这看起来很粗粒度。如果我指定“提升”,我的代码将在“本地系统”下运行,这是无限的权限,如果我指定“有限”,我的代码将在一些没有我的代码所需的权限的低权限用户下运行。
是否有一些方便的方法可以在某些自定义用户下运行 Azure 角色代码,而这些用户的权限有限,而我自己可以控制?
最佳答案
现在,您的代码已经作为受限用户运行。事实上,VM 上没有用户 - 它正在使用 SID 注入(inject)技术来获取安全上下文。从您的问题来看,您似乎需要的不仅仅是普通用户,而是管理员?
如果您确实想要拥有不同的权限,则需要创建一些用户(使用启动任务和 net add 或 DirectoryServices)并设置权限。所有这些都是可编写脚本的。
现在更具挑战性的部分是作为该用户运行您的代码。为此,您需要执行所谓的模拟。您的特权代码(通常是管理进程)可以获取本地用户的 token 并使用它来模拟用户。然后代码以用户身份运行并受到限制。模拟是 .NET 和其他语言中广泛讨论的主题。
如果您想要以其他用户身份运行代码的巧妙示例,请查看 David Aiken 的这篇文章:
http://www.davidaiken.com/2011/01/19/running-azure-startup-tasks-as-a-real-user/
关于windows - 如何更好地管理 Azure 角色的权限?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/6856666/