So verwenden Sie LogonUser ordnungsgemäß, um die Identität eines Domänenbenutzers vom Arbeitsgruppenclient anzunehmen

ASP.NET Identität gegen eine domain, die auf VMWare

Diese Frage ist, was ich Fragen, aber die Antwort nicht geben details, wie die _token abgeleitet ist. Es scheint nur WindowsIdentity.GetCurrent().Token es gibt also kein Identitätswechsel passiert.

Kann ich einen Benutzer zu imitieren auf einer anderen Active Directory-Domäne .NET?

Diese Frage widersprüchliche Antworten, mit dem akzeptiert eine Haltung-ein Kommentar "ich fange an zu vermuten, dass mein problem liegt woanders." Nicht hilfreich.

LogonUser funktioniert nur für meine domain

Diese nächste Frage scheint zu implizieren, es ist nicht möglich, aber es befasst sich mit 2 domains, so bin ich nicht sicher, ob es relevant ist.

Meine eigentliche Frage ist:

  • Ist es möglich? Und wenn ja,
  • Wie? oder Wo habe ich bloß falsch gemacht?

Was ich bisher versucht habe ist, den code von http://msdn.microsoft.com/en-us/library/chf6fbt4%28v=VS.80%29.aspx

bool returnValue = LogonUser(user, domain, password,
            LOGON32_LOGON_NETWORK, LOGON32_PROVIDER_DEFAULT,
            ref tokenHandle);
//after this point, returnValue = false

Win32-Fehler ist

Anmeldung fehlgeschlagen: unbekannter Benutzername oder Falsches Kennwort

InformationsquelleAutor der Frage RichardTheKiwi | 2011-02-16

  1. 52

    Sehr wenige Beiträge vorschlagen, mit LOGON_TYPE_NEW_CREDENTIALS statt LOGON_TYPE_NETWORK oder LOGON_TYPE_INTERACTIVE. Ich hatte ein Identitätswechsel Problem mit einer Maschine mit einer Domäne verbunden ist und einer nicht, und das Festnetz.
    Das Letzte code-snippet in dieser Beitrag deutet darauf hin, dass die Identität über einen Wald macht Arbeit, aber es hat nicht speziell etwas darüber gesagt, dass Vertrauen aufgebaut wird. Dies könnte also einen Versuch Wert:

    const int LOGON_TYPE_NEW_CREDENTIALS = 9;
const int LOGON32_PROVIDER_WINNT50 = 3;
bool returnValue = LogonUser(user, domain, password,
            LOGON_TYPE_NEW_CREDENTIALS, LOGON32_PROVIDER_WINNT50,
            ref tokenHandle);

    MSDN sagt , dass LOGON_TYPE_NEW_CREDENTIALS funktioniert nur, wenn LOGON32_PROVIDER_WINNT50.

    InformationsquelleAutor der Antwort takrl

  2. 17

    dies funktioniert für mich, voll funktionsfähig Beispiel (ich wünschte, mehr Menschen würden dies tun):

    //logon impersonation
using System.Runtime.InteropServices; //DllImport
using System.Security.Principal; //WindowsImpersonationContext
using System.Security.Permissions; //PermissionSetAttribute

...

class Program {

    //obtains user token
    [DllImport("advapi32.dll", SetLastError = true)]
    public static extern bool LogonUser(string pszUsername, string pszDomain, string pszPassword,
        int dwLogonType, int dwLogonProvider, ref IntPtr phToken);

    //closes open handes returned by LogonUser
    [DllImport("kernel32.dll", CharSet = CharSet.Auto)]
    public extern static bool CloseHandle(IntPtr handle);

    public void DoWorkUnderImpersonation() {
        //elevate privileges before doing file copy to handle domain security
        WindowsImpersonationContext impersonationContext = null;
        IntPtr userHandle = IntPtr.Zero;
        const int LOGON32_PROVIDER_DEFAULT = 0;
        const int LOGON32_LOGON_INTERACTIVE = 2;
        string domain = ConfigurationManager.AppSettings["ImpersonationDomain"];
        string user = ConfigurationManager.AppSettings["ImpersonationUser"];
        string password = ConfigurationManager.AppSettings["ImpersonationPassword"];

        try {
            Console.WriteLine("windows identify before impersonation: " + WindowsIdentity.GetCurrent().Name);

            //if domain name was blank, assume local machine
            if (domain == "")
                domain = System.Environment.MachineName;

            //Call LogonUser to get a token for the user
            bool loggedOn = LogonUser(user,
                                        domain,
                                        password,
                                        LOGON32_LOGON_INTERACTIVE,
                                        LOGON32_PROVIDER_DEFAULT,
                                        ref userHandle);

            if (!loggedOn) {
                Console.WriteLine("Exception impersonating user, error code: " + Marshal.GetLastWin32Error());
                return;
            }

            //Begin impersonating the user
            impersonationContext = WindowsIdentity.Impersonate(userHandle);

            Console.WriteLine("Main() windows identify after impersonation: " + WindowsIdentity.GetCurrent().Name);

            //run the program with elevated privileges (like file copying from a domain server)
            DoWork();

        } catch (Exception ex) {
            Console.WriteLine("Exception impersonating user: " + ex.Message);
        } finally {
            //Clean up
            if (impersonationContext != null) {
                impersonationContext.Undo();
            }

            if (userHandle != IntPtr.Zero) {
                CloseHandle(userHandle);
            }
        }
    }


    private void DoWork() {
        //everything in here has elevated privileges

        //example access files on a network share through e$ 
        string[] files = System.IO.Directory.GetFiles(@"\\domainserver\e$\images", "*.jpg");
    }
}

    InformationsquelleAutor der Antwort JJ_Coder4Hire

  3. 1

    Habe ich schon erfolgreich auf die Identität von Benutzern in einer anderen Domäne, aber nur mit eine Vertrauensstellung zwischen 2 Domänen.

    var token = IntPtr.Zero;
var result = LogonUser(userID, domain, password, LOGON32_LOGON_INTERACTIVE, LOGON32_PROVIDER_DEFAULT, ref token);
if (result)
{
    return WindowsIdentity.Impersonate(token);
}

    InformationsquelleAutor der Antwort Jason

  4. 0

    Ich hatte das gleiche problem. Weiß nicht, ob Sie gelöst habe oder nicht, aber was ich wirklich versuche zu tun, war Zugriff auf ein Netzwerk-share mit AD-Anmeldeinformationen. WNetAddConnection2() ist, was Sie verwenden müssen, in diesem Fall.

    InformationsquelleAutor der Antwort Conrad

  5. 0

    Invalid login/password, könnte auch im Zusammenhang mit Themen in Ihrem DNS-server - das ist, was mir passiert ist und kostet mich gut 5 Stunden meines Lebens. Sehen Sie, wenn Sie können, geben Sie die ip-Adresse statt über die domain-Namen.

    InformationsquelleAutor der Antwort Dan

  6. 0

    Es ist besser ein SecureString:

    var password = new SecureString();
var phPassword phPassword = Marshal.SecureStringToGlobalAllocUnicode(password);
IntPtr phUserToken;
LogonUser(username, domain, phPassword, LOGON32_LOGON_INTERACTIVE,  LOGON32_PROVIDER_DEFAULT, out phUserToken);

    Und:

    Marshal.ZeroFreeGlobalAllocUnicode(phPassword);
password.Dispose();

    Funktion definition:

    private static extern bool LogonUser(
  string pszUserName,
  string pszDomain,
  IntPtr pszPassword,
  int dwLogonType,
  int dwLogonProvider,
  out IntPtr phToken);

    InformationsquelleAutor der Antwort Tovich

Schreibe einen Kommentar