Die Ausführung von code in einem anderen Benutzer-Kontext

Ich habe eine Anwendung mit einem manifest, das erfordert, die als administrator ausgeführt, aber ein Teil der app ist das anzeigen eines Laufwerks mit WNetAddConnection2, die ich glauben verlangt, führen Sie in die normal-user-Kontext aufgrund Anmeldeinformationen etc. Gibt es eine Möglichkeit zum ausführen dieses Stück code in die normal-user-Kontext, ohne die Schaffung einer separaten Prozess.

BEARBEITEN

Aus den Kommentaren habe ich so weit gekommen, aber es funktioniert nicht. Ich erwartete es nicht zu, da ich nicht wirklich verstehe durchaus, wie sollte ich diesen verwenden. Vielleicht ist es am besten, wenn ich öffnen Sie eine neue Frage?

class Program
{
    [DllImport("advapi32.DLL")]
    public static extern bool ImpersonateLoggedOnUser(IntPtr hToken);
    [DllImport("advapi32.DLL")]
    public static extern bool RevertToSelf();

    static void Main(string[] args)
    {
        IntPtr phToken = IntPtr.Zero;
        ImpersonateLoggedOnUser(phToken);
        MapDrives();
        RevertToSelf();
    }
}

BEARBEITEN

Wenn der aktuelle Benutzer hat admin-Rechte, dann der wichtigste Prozess erhoben mit dem manifest, in dem code, die ist erhöht, ich möchte einen Befehl ausführen, in der der Nutzer nicht mit erhöhten rechten Platz wie diesem zu haben scheint, verschiedene Umgebungsvariablen, etc. Ich glaube, dass sobald ein thread gestartet wird, kann es nicht die Veränderung selbst, die es braucht, um führen Sie einen neuen ein.

  • Die Art und Weise, um die aktuelle Benutzer-Authentifizierung token wird durch WindowsIdentity.GetCurrent().Token. Ich denke aber, in deinem Fall wird es wieder die token der Benutzer "administrator" (wie Sie Ihre Anwendung als administrator ausgeführt).
  • Dies ist der Identitätswechsel. Eine sehr praktische nuget package und die post, um das gleiche zu erreichen durch LogonUser() p/invoke-Aufruf.
InformationsquelleAutor Charles Gargent | 2010-06-04
  1. 4

    werfen Sie einen Blick auf Eine kleine C# - Klasse für die Identität eines Benutzers code project Artikel. Es implementiert eine Klasse IDisposable (das löst die Authentifizierung token, die nach Ihrer Nutzung). Die ich gesehen habe .NET-code undicht, der durch die nicht Freigabe der Identitätswechsel-Token.

    Können Sie die Identität eines Benutzers nur für einen block von code, der auf die Netzwerk-Ressource, die Sie zugreifen müssen, als ein anderer Benutzer. Ihr code Aussehen

    using ( new Impersonator( "myUsername", "myDomainname", "myPassword" ) )
{
   /* code that executes under the new context */
   ...
}

    Ich hoffe, es hilft.

    InformationsquelleAutor CARLOS LOTH
  2. 1

    Zuerst müssen Sie erhalten die Benutzer-token, die Sie wollen, starten Sie die app, Sie können dies tun, indem WTSQueryUserToken. Wenn der Benutzer noch nicht angemeldet, können Sie LogonUser Win32-API einen neuen beantragen, in eine neue Sitzung. Erhalten Sie alle Sitzungen auf Ihrem computer, die Sie verwenden können WTSEnumerateSessions.

    Dann, nachdem Sie das token, das Sie verwenden können, CreateProcessAsUser oder sonst ImpersonateLoggedOnUser Win32-APIs.

    Bitte stellen Sie sicher, dass call CloseHandle auf die Griffe, die Sie erhalten, sind Sie besonders schlecht Lecks für diese Art von Arbeit.

    • Bitte vergessen Sie nicht zu erwähnen, um rufen Sie die CloseHandle-Funktion auf, nachdem Sie fertig, um das token zurückgegeben, die von LogonUser-Funktion. Wenn Sie dies nicht tun können Sie haben ein Betriebssystem-Ebene handle-Leck. Ich habe gesehen, das geschehen vor.
    • Dito, Sie sind besonders schlecht, Lecks zu. Ich habe einen Kommentar darüber.
    • Arent beide CreateProcessAsUser und ImpersonateLoggedOnUser verwendet, um einen neuen thread erstellen mit verschiedenen Zugangsdaten? Wie bekomme ich WNetAddConnections2 laufen in diesem neuen Prozess?
    • CreateProcessAsUser erstellt einen neuen Prozess, da die angegebenen Benutzer. ImpersonateLoggedOnUser führt den code innerhalb des gleichen Prozess und thread. WNetAddConnections2 ist für etwas ganz anderes, authentifizieren Sie sich mit einem LAN-Maschine oder eine andere Ressource.
    • Also, was ich will, ist meine WNetAddConnections2 Funktion, die aufgerufen werden mit ImpersonateLoggedOnUser ?
    • Ja oder in einem neuen Prozess erstellen Sie mit CreateProcessAsUser.

    InformationsquelleAutor Brian R. Bondy
  3. 0

    Ich bin nicht sicher, dies ist ein Weg, dies zu tun, ohne das erstellen eines neuen Prozess, ImpersonateLoggedOnUser funktioniert nur von einem service, und ich nicht wollen, um die Anmeldeinformationen bereitzustellen.

    mich korrigieren, wenn ich falsch bin

    • Wie wollen Sie einen Benutzer zu imitieren, ohne die Anmeldeinformationen angeben? Ich meine, möchten Sie nur den Benutzernamen? Oder was sonst?
    • Wenn der aktuelle Benutzer hat admin-Rechte, dann der wichtigste Prozess erhoben mit dem manifest, in diesem code, die ist erhöht, ich möchte einen Befehl ausführen, in der der Nutzer nicht mit erhöhten rechten Platz wie diesem zu haben scheint, verschiedene Umgebungsvariablen, etc. Ich glaube, dass sobald ein thread gestartet wird, kann es nicht die Veränderung selbst, die es braucht, um führen Sie eine neue ein
    • Dies ist, wie Sie tun, in-proc-Identitätswechsel. Eine sehr praktische nuget package und die post, um das gleiche zu erreichen durch LogonUser() p/invoke-Aufruf.
    InformationsquelleAutor Charles Gargent
Schreibe einen Kommentar