设置Azure角色时的AFAIK我只有一种方法可以指定运行角色代码的进程有多少特权 - 使用<Runtime executionContext> XML标记。
然而,这看起来粗糙。如果我指定“提升”我的代码在“本地系统”下运行,这是无限制的权限,如果我指定“有限”,我的代码在一些低权限用户下运行,该用户没有我的代码需要的特权。
是否有一些方便的方法可以在某些自定义用户下运行Azure角色代码,该用户具有我自己可以控制的有限权限?
答案 0 :(得分:2)
目前,您的代码已经作为受限用户运行。实际上,VM上没有用户 - 它使用SID注入技术来获取安全上下文。从您的问题来看,您似乎需要的不仅仅是普通用户,还要少于管理员?
如果您确实想拥有不同的权限,则需要创建一些用户(使用启动任务和网络添加或DirectoryServices)并设置权限。所有这些都是可编写脚本的。
现在,更具挑战性的部分是以该用户身份运行代码。为此,您需要执行所谓的模拟。您的特权代码(通常是管理员进程)可以为本地用户获取令牌并使用该令牌来模拟用户。然后代码以用户身份运行并受到限制。模拟是.NET和其他语言中一个很好的主题。
如果你想要一个聪明的例子来运行代码作为另一个用户,请查看David Aiken的这篇文章:
http://www.davidaiken.com/2011/01/19/running-azure-startup-tasks-as-a-real-user/