特定のユーザーとしてxp_cmdshellコマンドを実行

Question

xp_cmdshell（TSQLプロシージャ）を実行して、ネットワークドライブをマウントし、リモートmdbファイルにアクセスしたいとします。

私はMS SQLサーバーの管理者であり、それに応じてxp_cmdshellの実行を許可しました。

• 私はxp_cmdshellを呼び出して、コマンドを実行するユーザーが、つまりSQL Serverプロセスを実行するアカウントSQL システム管理者、次のとおりです。

  はしかし、まだ問題があります。論文の

どちらのアカウント私はが私はSQLサーバーに接続していたとのアカウントとして実行されるのxp_cmdshellたい

、すなわち管理者は、管理者グループ、SQLADMINグループであり、付与されています制御サーバーに送信する。両方のユーザーが同じドメインに属しています。これらはすべて同じマシン上で実行されます。

欲しい商品が持つアカウントを指定するには、SP_ xp_ cmdshell_ PROXY_アカウントを使用しようとした管理者
ためシステム管理者ないように取り付けられているので、このための競合のため、私はネットワークドライブを使用することはできませんが実行するxp_cmdshellしかし、SysAdminはまだ使用されているアカウントです。

したがって、このコード：
select user_name(), suser_name;
exec xp_cmdshell 'echo %username%';

表示されます。
Administrator Administrator
SysAdmin

は、誰もがうまくxp_cmdshellをコマンドを偽装する方法を知っていますか？ （再）設定するものはありますか？

ありがとうございました。

Answer 1

多分PsExecを試すことができますか？このURLにあるファイルをダウンロードし、％Path％環境変数のフォルダメンバーにコピーします。

http://technet.microsoft.com/en-us/sysinternals/bb897553.aspx

exec xp_cmdshell 'psexec -u Administrator -p password net use ...' 

Answer 2

あなたはxp_cmdshellを内部のユーザ名とパスワードを使用して、 "ネット使用" を試みることができます。これにより、UNCへの接続の資格情報が確立されます。

しかし、これがどれくらい長く続くかはわかりません。無期限に（たとえば、サーバーが再起動するまで）持続する場合は、「ネット使用」を行い、後で使用できるようにする起動ストアドプロシージャを使用できます。

次のxp_cmdshell（MDBファイルにアクセスする）は、資格情報がOS内ですでに確立されているため、認証を必要としません。

Answer 3

sysadminグループのログインとしてSQLに接続するため、xp_cmdshellがサービスアカウントとして実行されます。

低特権ログインとして接続すると、代わりにxp_cmdshell_proxy_accountが使用されます。したがって、最初にEXECUTE AS LOGIN='lowprivaccount'を実行して、それが役立つかどうか確認してください。

もちろん、あなたが実際に求めていることは、予想される使用ではありません。期待されるのは、特権の高いアカウントでxp_cmdshellがサービスアカウントを使用できる一方で、他のすべてのユーザーが低特権のプロキシアカウントを使用しなければならないことです。

Answer 4

私は実際にこれを試して、ネットワーク共有上の類似したもののために、過去にこの方法を使用しなければならなかった...

- あなたのドライブをマップし、それを永続化。

は "ネット利用のトンを\\ <サーバー> < \共有> <パスワード> /ユーザー：<名> /永続：はい" のxp_cmdshell

- トンドライブ

を利用してT-SQLコードを

- 「ネット利用さt：/削除」xp_cmdshellをドライブマッピングを削除するには、実際にSQLを実行ジョブを設定することができます

をサービスが開始され、このドライブをマップするようにして、sqlが実行されている限り、常に共有にアクセスできるようにします。 sp_procoption（http://msdn.microsoft.com/en-us/library/ms181720.aspx）

Answer 5

xp_cmdshellスクリプトを配置するストアドプロシージャを作成する必要があります。ドライブをマップするsprocをセットアップして、ドライブの初期マッピングを行い、sp_procoptionその中に。

ストアドプロシージャは、管理者アカウントを使用して実行されます、したがって、あなたのxp_cmdshellをが正常に再起動サーバは、saveコマンドをコマンドplaseソリューションを実行する必要があります後、あなたがストアドプロシージャ

create procedure RunShellIndirectly 

as 

declare @tawandachinaka as varchar(50) 

set @tawandachinaka='DIR "c:\scrap measurement\"*.csv /B' 

EXEC xp_cmdshell @tawandachinaka 

Answer 6

を実行したときに実行されます...

Use Master GO 

EXEC master.dbo.sp_configure 'show advanced options', 1 RECONFIGURE WITH 
OVERRIDE GO 

EXEC master.dbo.sp_configure 'xp_cmdshell', 1 RECONFIGURE WITH OVERRIDE GO 

exec xp_cmdshell 'net use \ip\xxx pass /user:xxx /persistent:no' 

Use Master GO 

EXEC master.dbo.sp_configure 'show advanced options', 1 RECONFIGURE WITH 
OVERRIDE GO 

EXEC master.dbo.sp_configure 'xp_cmdshell', 0 RECONFIGURE WITH OVERRIDE 

Answer 7

このページは、実際にドメインアカウントを追加してリンクする過程でギャップを埋めるのに役立ちました。

http://sqlblog.com/blogs/tibor_karaszi/archive/2007/08/23/xp-cmdshell-and-permissions.aspx