网页内的 ActiveX 控件用于创建用户帐户

Question

我想知道是否有任何方法可以通过网页上的 ActiveX 控件编写脚本来在 Windows XP 计算机上创建用户帐户。 具体来说，我想知道是否有任何方法可以在计算机（我预先配置和交付的）上部署 ActiveX 控件，从而允许使用该计算机上的网页来检测 ActiveX 控件是否存在，并允许自动创建计算机上的本地 (Windows XP) 用户帐户。 本质上，将此视为预安装 ActiveX 控件（如果需要）并在桌面上提供链接的问题； 用户收到机器并登录（具有管理员权限）并访问网站，我的服务器在该网站上确定适当的用户帐户是什么，将它们以 HTML 形式发送回，然后 ActiveX 控件创建我指定的用户帐户。

这种事情看起来应该是可能的，但同时，也可能涉及明显的安全缺陷。 对这些机器的访问将非常有限，因此安全问题不太值得关注。

有谁知道这是否可能？ 任何内置 WMI 组件是否会执行类似的操作？ XP 的安全模型允许这样做吗？ 或者这只是打开了一个应该完全避免的巨大安全漏洞？

Answer 1

我认为 Windows 的安全模型（尤其是 IE 中）不可能允许这样做。 您可以使用 WMI 中的 Win32_UserAccount 来通过 WMI 执行此操作，因此更好的方法可能是编写一个 PowerShell 或 VBScript 脚本来查询网页以查看需要创建哪些帐户，然后创建它们。 用户需要是本地管理员。 这在 PowerShell 中更容易； 如果您从 www.sapienpress.com/powershell.asp（页面底部，免费）获取示例脚本，您将看到如何向 URL 提交查询并以文本形式返回结果的示例。 然后，您可以解析文本并相应地创建帐户。

Answer 2

您必须使用 url 证据或强名称证据将 caspol 安全设置设置为完全信任（或自定义设置）。

确保您的控件始终获得完全信任设置后，您可以对控件执行的操作没有任何限制，可以通过嵌入式控件执行普通应用程序可以完成的任何操作。 当然，Vista UAC 和 IE 保护模式将是您必须考虑的问题。 例如，可以通过将站点添加到受信任站点区域来解决保护模式。

编辑：忽略 Vista 细节。