Die Identität eines Windows-Benutzers

Ich bin mit dem code, um die Identität eines Benutzerkontos für den Zugriff auf eine Datei teilen.

public class Impersonator :
    IDisposable
{
    #region Public methods.
    //------------------------------------------------------------------

    ///<summary>
    ///Constructor. Starts the impersonation with the given credentials.
    ///Please note that the account that instantiates the Impersonator class
    ///needs to have the 'Act as part of operating system' privilege set.
    ///</summary>
    ///<param name="userName">The name of the user to act as.</param>
    ///<param name="domainName">The domain name of the user to act as.</param>
    ///<param name="password">The password of the user to act as.</param>
    public Impersonator(
        string userName,
        string domainName,
        string password )
    {
        ImpersonateValidUser( userName, domainName, password );
    }

    //------------------------------------------------------------------
    #endregion

    #region IDisposable member.
    //------------------------------------------------------------------

    public void Dispose()
    {
        UndoImpersonation();
    }

    //------------------------------------------------------------------
    #endregion

    #region P/Invoke.
    //------------------------------------------------------------------

    [DllImport("advapi32.dll", SetLastError=true)]
    private static extern int LogonUser(
        string lpszUserName,
        string lpszDomain,
        string lpszPassword,
        int dwLogonType,
        int dwLogonProvider,
        ref IntPtr phToken);

    [DllImport("advapi32.dll", CharSet=CharSet.Auto, SetLastError=true)]
    private static extern int DuplicateToken(
        IntPtr hToken,
        int impersonationLevel,
        ref IntPtr hNewToken);

    [DllImport("advapi32.dll", CharSet=CharSet.Auto, SetLastError=true)]
    private static extern bool RevertToSelf();

    [DllImport("kernel32.dll", CharSet=CharSet.Auto)]
    private static extern  bool CloseHandle(
        IntPtr handle);

    private const int LOGON32_LOGON_INTERACTIVE = 2;
    private const int LOGON32_PROVIDER_DEFAULT = 0;

    //------------------------------------------------------------------
    #endregion

    #region Private member.
    //------------------------------------------------------------------

    ///<summary>
    ///Does the actual impersonation.
    ///</summary>
    ///<param name="userName">The name of the user to act as.</param>
    ///<param name="domainName">The domain name of the user to act as.</param>
    ///<param name="password">The password of the user to act as.</param>
    private void ImpersonateValidUser(
        string userName, 
        string domain, 
        string password )
    {
        WindowsIdentity tempWindowsIdentity = null;
        IntPtr token = IntPtr.Zero;
        IntPtr tokenDuplicate = IntPtr.Zero;

        try
        {
            if ( RevertToSelf() )
            {
                if ( LogonUser(
                    userName, 
                    domain, 
                    password, 
                    LOGON32_LOGON_INTERACTIVE,
                    LOGON32_PROVIDER_DEFAULT, 
                    ref token ) != 0 )
                {
                    if ( DuplicateToken( token, 2, ref tokenDuplicate ) != 0 )
                    {
                        tempWindowsIdentity = new WindowsIdentity( tokenDuplicate );
                        impersonationContext = tempWindowsIdentity.Impersonate();
                    }
                    else
                    {
                        throw new Win32Exception( Marshal.GetLastWin32Error() );
                    }
                }
                else
                {
                    throw new Win32Exception( Marshal.GetLastWin32Error() );
                }
            }
            else
            {
                throw new Win32Exception( Marshal.GetLastWin32Error() );
            }
        }
        finally
        {
            if ( token!= IntPtr.Zero )
            {
                CloseHandle( token );
            }
            if ( tokenDuplicate!=IntPtr.Zero )
            {
                CloseHandle( tokenDuplicate );
            }
        }
    }

    ///<summary>
    ///Reverts the impersonation.
    ///</summary>
    private void UndoImpersonation()
    {
        if ( impersonationContext!=null )
        {
            impersonationContext.Undo();
        }   
    }

    private WindowsImpersonationContext impersonationContext = null;

    //------------------------------------------------------------------
    #endregion
}

Dann mit:

using (new Impersonator("username", "domain", "password"))
        {
            Process.Start("explorer.exe", @"/root,\\server01-Prod\abc");
        }

Bekomme ich eine "Zugriff Verweigert" - Fehler.

Dieser Benutzer vermutlich Zugriff auf diese Freigabe. Kann ich ein Laufwerk zuzuordnen, verwenden Sie "net use" aber dieser code wird nicht funktionieren. Nun ich denke es ist der code. Hat jemand etwas sehen? Gibt es einen besseren Weg, dies zu tun?

  • Wo ist diese Ausführung aus? Wenn dies ist eine app, die auf IIS gehostet wird, dann wird der Standard-IIS-Benutzer haben nicht die Rechte zu imitieren
  • Ja. gehostete web-Anwendung in IIS
  • Ich erinnere mich, ich hatte ein ähnliches problem, versuchen Sie, diesen code in eine einfache Konsolenanwendung, die mit Ihrem admin-Benutzer an. Ich bin nicht wirklich sicher, Sie werden in der Lage sein, dies zu tun aus einer web-Anwendung auf dem IIS ausgeführt wird. Dies ist etwas zu tun mit den Berechtigungen des ASP.NET Benutzer (soweit ich mich erinnere)
InformationsquelleAutor Kyle Johnson | 2012-03-28
  1. 6

    versuchen Sie dies : 

    [DllImport("advapi32.dll", SetLastError = true)]
    public static extern bool LogonUser(
            string lpszUsername,
            string lpszDomain,
            string lpszPassword,
            int dwLogonType,
            int dwLogonProvider,
            out IntPtr phToken);

    Verwendung :

    IntPtr userToken = IntPtr.Zero;

bool success = External.LogonUser(
  "john.doe", 
  "domain.com", 
  "MyPassword", 
  (int) AdvApi32Utility.LogonType.LOGON32_LOGON_INTERACTIVE, //2
  (int) AdvApi32Utility.LogonProvider.LOGON32_PROVIDER_DEFAULT, //0
  out userToken);

if (!success)
{
  throw new SecurityException("Logon user failed");
}

using (WindowsIdentity.Impersonate(userToken))
{
 Process.Start("explorer.exe", @"/root,\\server01-Prod\abc");
}
    • Ich bin mit dem gleichen Stück code und sehen dieses Verhalten, das ich kann nicht scheinen, um in der Lage zu erklären: manchmal LogonUser gibt exit-code 0 und die Win32Exceptionis: "- System.ComponentModel.Win32Exception: Der Verzeichnisname ist ungültig". Aber dann wieder läuft die gleiche Funktion, die 10 Minuten später funktioniert. Haben Sie zufällig wissen, warum? Ich könnte Sie mit mehr Kontext, wenn nötig.
    InformationsquelleAutor Royi Namir
  2. 2

    Wenn ich verstehen richtig, die Absicht ist, führen Sie den Prozess in der identitätswechselkontext.

    Den doc von CreateProcess (die verwendet wird, durch den Prozess.Start) sagt:
    Wenn der aufrufende Prozess wird die Identität anderer Benutzer, der neue Prozess verwendet das token für den aufrufenden Prozess, nicht der Identitätswechsel-token. Ausgeführt wird der neue Prozess im Sicherheitskontext des Benutzers, vertreten durch den Identitätswechsel-token, verwenden Sie die CreateProcessAsUser-oder CreateProcessWithLogonW-Funktion.

    So, bist du mit dem falschen API zu tun.

    InformationsquelleAutor Peter
  3. 1

    Statt mit Ihrem Impersonator Klasse, was passiert, wenn Sie anrufen Process.Start und pass in eine ProcessStartInfo - Instanz, enthält den Benutzernamen, das Passwort und die Domäne, die Sie möchten, führen Sie den Prozess wie?

    Vielleicht, wenn das funktioniert, dann ist dein Impersonator Klasse sollte eine ProcessStartInfo - Instanz und verwenden die, neue Prozesse zu erstellen (zu Kapseln, die innerhalb der Klasse selbst).

    var psi = new ProcessStartInfo("explorer.exe", @"/root,\\server01-Prod\abc");
psi.Domain = domain;
psi.UserName = username;
psi.Password = password;
psi.WorkingDirectory = workingDir;

Process.Start(psi);

    Darüber hinaus pro die MSDN docs...

    Einstellung der Domäne, den Benutzernamen und das Passwort Eigenschaften in einem
    ProcessStartInfo-Objekt ist die empfohlene Methode zum starten eines
    Prozess mit der Benutzer-Anmeldeinformationen.

    Muss man auch das Arbeitsverzeichnis beim Start eines Prozesses mit unterschiedlichen Benutzer-creds.

    • Ich nicht eine Fehlermeldung erhalten, aber ich hatte erwartet, das explorer-Fenster zu öffnen. psi.Domain = "Domain"; psi.UserName = "usera"; psi.Password = pwd; psi.FileName = "explorer.exe"; psi.Arguments = @"/root,\\server01-pv - \abc"; psi.ErrorDialog = true; psi.UseShellExecute = false; Process.Start(psi);
    • Was passiert, wenn Sie UseShellExecute = true?
    • Plus, wenn Sie ErrorDialog = true dachte ich, Sie musste UseShellExecute = true. Und auch WorkingDirectory auf die ProcessStartInfo Instanz.
    • Tat, und ich bekam eine Fehlermeldung. Das Prozess-Objekt muss die Eigenschaft UseShellExecute auf false gesetzt, um einen Prozess starten, als Benutzer - Code- psi.Domain = "Domain"; psi.UserName = "usera"; psi.Password = pwd; psi.WorkingDirectory = @"C:\WINDOWS"; psi.FileName = "explorer.exe"; psi.Arguments = @"/root,\\server-01-PV - \abc"; psi.ErrorDialog = true; psi.UseShellExecute = true; Process.Start(psi);
    • psi.UseShellExecute = false, nicht?
    • Geräusche Rechte zu mir. ja, es ist

    InformationsquelleAutor David Hoerster
Schreibe einen Kommentar