CreateProcessWithLogonW() Probleme -, Brauchen zum starten von sub-Prozessen mit den gleichen Benutzer

Ich habe ein Windows ausführbare Datei, die gestartet wird, innerhalb eines service durch den Aufruf CreateProcessWithLogonW() mit einer Reihe von angegebenen user-details.

Dieser funktioniert einwandfrei und der Prozess gestartet wird, wie erwartet. Jedoch, wenn dieser Prozess versucht, zu starten andere Prozesse selbst, die derzeit nur mit CreateProcess (), diese beginnen dann sterben sofort - Sie sind ausführbare Dateien, die erfordern den desktop-Zugriff.

Nach dem Lesen auf Microsoft ' s Artikel über CreateProcess() - http://msdn.microsoft.com/en-us/library/ms682425(VS.85).aspx

Denke ich kann sehen, warum dies geschieht, und es macht Sinn, zu einem gewissen Grad. CreateProcess() weiß der aufrufende Prozess wird die Identität eines Benutzers so, es nutzt seine übergeordnete Prozess, der in diesem Fall ist das Lokale System-Konto. Aber natürlich ist alles, was Sie ausführen in das lokale system-Konto keinen Zugang haben, die wir brauchen, so startete der Prozess stirbt.

Seltsam, wenn ich zuvor mit LogonUser() und CreateProcessAsUser() zu starten, die erste ausführbare Datei im service, es hat gut funktioniert. Aber ich hatte dies zu ändern, um die CreateProcessWithLogonW () - aufgrund von Problemen mit nicht mit die richtigen Berechtigungen.

Weiß jemand eine Lösung für dieses? Ich habe gesehen, sprechen die an anderer Stelle auf dem web, aber nicht mit einer endgültigen Lösung. Es scheint, dass ich möglicherweise müssen Sie den token des Benutzers, ich bin die Anmeldung mit in CreateProcessWithLogonW() mit, so kann ich es verwenden, um das starten der anderen Prozesse später? Aber ich habe keine Möglichkeit, halten Sie dieses token, kann das sein retreived für den aktuellen Benutzer in irgendeiner Weise?

Jede Hilfe wäre sehr geschätzt, danke 🙂

InformationsquelleAutor Adam Cobb | 2009-02-27
  1. 1

    Besitzen Sie den code gestartet mit CreateProcessWithLogonW (und die wiederum ruft CreateProcess)? Wenn Sie dies nicht tun, dann müssen Sie möglicherweise führen Sie IAT (oder API -) hook auf es (D. H. zur Laufzeit), als Ersatz irgendwelche Anrufe zu CreateProcess mit einem entsprechenden Verfahren, die auch verwendet CreateProcessWithLogonW oder CreateProcessWithTokenW. Sehen APIHijack, Umwege.

    Nachdem dies geschehen ist, wird der Kind-Prozess kann verlangen, Zugriff auf HKCU. Wenn Sie nicht bereits sind, dies zu tun, sollten Sie laden das Profil der einzelnen imitierten Benutzers, pro user einmal, bevor Sie CreateProcessWithLogonW.

    Standardmäßig CreateProcessWithLogonW
    lädt nicht die angegebenen Benutzer
    Profil in der registry HKEY_USERS
    Schlüssel. Dies bedeutet, dass der Zugang zu
    Informationen in der HKEY_CURRENT_USER
    registry-Schlüssel können nicht die Ergebnisse erzielen,
    dass im Einklang mit einem normalen
    interaktive Anmeldung. Es ist Ihre
    Verantwortung zum laden der Benutzer
    Registrierungsstruktur in HKEY_USERS vor
    Aufruf CreateProcessWithLogonW, durch
    mit LOGON_WITH_PROFILE, oder
    Aufruf der Funktion LoadUserProfile.

    InformationsquelleAutor vladr
  2. 2

    Lösten wir das problem mit einigen code, den ich gefunden vor langer Zeit. Das "copyright" Abschnitt, der einer der source-Module enthält die folgenden:

    /////////////////////////////////////////////////////////////
//CreateProcessAsUser.cpp
//
//Written by Valery Pryamikov (1999)
//
//Command line utility that executes a command under specified user identity 
//by temporarily installing itself as a service.
//
//Based on Keith Brown's AsLocalSystem utility (http://www.develop.com/kbrown)
//Uses some code from Mike Nelson's dcomperm sample utility 
//  and from tlist sample (Microsoft Source Code Samples)
//
//Use:
// CreateProcessAsUser.exe [-i[nteractive]]|[-s[ystem]]|
//      [-u"UserName" -d"DomainName" -p"Password"]|[-a"AppID"] command
// Command must begin with the process (path to the exe file) to launch
// -i        process will be launched under credentials of the 
//           "Interactive User" (retrieved from winlogon\shell process)
// -a        process will be launched under credentials of the user 
//           specified in "RunAs" parameter of AppID.
// -s        process will be launched as local system
// -u -d -p  process will be launched on the result token of the 
//           LogonUser(userName,domainName,password,LOGON32_LOGON_BATCH...)
//
//either (-s) or (-i) or (-a) or (-u -d -p) parameters must supplied
//
//Examples:
//CreateProcessAsUser -s cmd.exe
//CreateProcessAsUser -a"{731A63AF-2990-11D1-B12E-00C04FC2F56F}" winfile.exe
//
/////////////////////////////////////////////////////////////

    Vielleicht diese Informationen wird der Ertrag hat in Ihrer Google-Suche - ich versuchte ein paar schnelle versucht, aber kam mit leeren Händen.
    Wir zerlegten die Interna in einen Satz von API, ergab die Ergebnisse, die wir brauchten.

    InformationsquelleAutor SAMills
  3. 0

    Gibt es nicht eine option für Dienste, um Ihnen zu erlauben, mit dem desktop interagieren? Wenn Einstellung, die option für Ihren Dienst ist eine Möglichkeit, das wäre wahrscheinlich die einfachste Lösung.

    • Diese option ist bereits festgelegt, es ist nicht die Dienstleistung selbst, das ist das problem, es startet die ausführbare Datei einwandfrei unter dem richtigen Benutzer, es zu weiteren Prozessen, die das ausführbare versuche zu starten, die die Probleme verursachen...
    • Interessant. Ich hätte gedacht, dass die Erlaubnis hätte vererbt werden Kind-Prozesse.
    InformationsquelleAutor Eric Petroelje
  4. 0

    Gehe ich davon aus, dass dieser Prozess ein Dienst ist, der nicht in der angegebenen Frage, aber scheint logisch, gegeben, dass Sie als Lokales System ausgeführt wird Konto.

    Wo sind Sie stecken, nicht in CreateProcess Es in "CreateService" . Wenn Sie möchten, dass Ihr Dienst in der Lage, mit dem desktop interagieren, müssen Sie angeben, SERVICE_INTERACTIVE_PROCESS als eine der Fahnen, um das argument dwServiceType. Diese Einstellung vererbt sich an Kind-Prozesse des service.

    Können Sie auch einen bestehenden service ändern Sie die Einstellung mithilfe des Tools Dienste, wählen Sie die Eigenschaften für den Dienst, klicken Sie auf die Registerkarte "Anmelden" und aktivieren Sie das Kontrollkästchen "Allow service to interact with desktop".

    • Oops, sehe ich aus den obigen Ausführungen zu der weiteren Frage, dass dies bereits ausgeschlossen.
    InformationsquelleAutor Jared Oberhaus
Schreibe einen Kommentar