Làm thế nào để chạy ứng dụng C# với tín dụng quản trị?

Question

Tôi đã viết một ứng dụng C# để mở khóa người dùng khi họ bị khóa tài khoản của họ (Active Directory). Ứng dụng tìm kiếm người dùng trong một OU cụ thể và sẽ liệt kê những người dùng bị khóa trong một ComboBox. Sau đó, bạn chọn người dùng đó từ ComboBox và chọn mở khóa.

Nếu bạn đăng nhập với tư cách quản trị viên, nó hoạt động hoàn hảo. Nếu bạn là người dùng bình thường thì không.

Tôi muốn chạy ứng dụng của mình với tín dụng quản trị nhưng dưới người dùng thông thường cũng an toàn nhất có thể.

Tôi đã đọc có thể lập trình dịch vụ cửa sổ nhưng tôi không rõ cách lập trình ứng dụng để cài đặt, chạy dưới dạng dịch vụ và chạy dưới quyền quản trị.

Answer 1

Có vẻ như bạn muốn mạo danh người dùng quản trị.Đây là article and demo. Hình như được viết bằng .Net 1 nhưng sẽ giúp bạn bắt đầu. Ngoài ra, hãy xem lớp học WindowsIdentity.

Answer 2

Mục tiêu đằng sau ứng dụng này đánh tôi là sai. Về cơ bản, bạn đang cố gắng tạo một phương tiện cho phép người dùng không phải quản trị viên mở khóa các tài khoản ... đó là, vì lý do chính đáng, một tính năng không khả dụng đối với người dùng thông thường.

Answer 3

Bạn không thể sử dụng Dịch vụ Windows (dễ dàng), vì Dịch vụ Windows không thể có GUI. Cách duy nhất để làm điều này như một dịch vụ sẽ là cài đặt dịch vụ, và sau đó tạo một ứng dụng GUI sử dụng IPC để truyền đạt yêu cầu đến dịch vụ. Điều này sẽ mở ra một lỗ hổng tiềm năng, mặc dù.

Nếu bạn đang chạy trên Vista, một tùy chọn tốt sẽ là edit the manifest file và thêm requireAdministrator.

---

Edit:

Có vẻ như đề nghị đầu tiên của tôi có thể là những gì bạn muốn ... Để làm điều này, quá trình cơ bản là:

• Hãy ứng dụng của bạn một dịch vụ cửa sổ. Có walkthrough of this process trên MSDN.
• Làm cho dịch vụ của bạn phản hồi một số hình thức IPC. Bạn có thể sử dụng ổ cắm, đường ống hoặc bất kỳ hình thức giao tiếp nào khác. Dịch vụ sẽ "nghe" yêu cầu mở khóa người dùng, sau đó thực hiện việc này.
• Cài đặt dịch vụ trên máy. Điều này sẽ làm cho nó chạy như một quản trị viên, và chỉ là luôn luôn trên.
• Làm cho ứng dụng thứ hai hoạt động như một khách hàng. Sử dụng cùng một công nghệ IPC để giao tiếp với máy chủ. Thao tác này sẽ gửi yêu cầu mở khóa ứng dụng khách đến dịch vụ.

Sau đó, bạn có thể chạy ứng dụng khách như một người dùng bình thường (vì nó chỉ cần nói chuyện với dịch vụ, nó không làm bất cứ điều gì yêu cầu quyền).

Answer 4

Bạn không phải sử dụng dịch vụ cửa sổ để làm điều gì đó với tư cách người khác. Bạn có thể sử dụng mạo danh để đăng nhập với tư cách người dùng khác để thực hiện chuyển đổi thực tế. Dưới đây là một ví dụ tôi thấy rằng sử dụng Windows dll "advapi32.dll" để đăng nhập.

Lấy mã mẫu ra dưới cùng của trang. Tôi không muốn chỉ sao chép mã của anh ấy ở đây.

http://csharptuning.blogspot.com/2007/06/impersonation-in-c.html

Một cavet với Mạo danh mặc dù là máy tính làm mạo danh cần phải được trên cùng một tên miền như là người dùng đó đang mạo danh của bạn.

Answer 5

Tôi có một tiện ích tương tự trên trang mạng nội bộ của mình, vì vậy các thành viên của bộ phận CNTT nằm trong các múi giờ khác nhau có thể xử lý đặt lại mật khẩu cũng thực hiện mở khóa tài khoản khi quản trị viên miền trên bờ biển phía tây không có sẵn. Đây là một nhiệm vụ khá đơn giản và đây là một ngoại trừ như thế nào tôi đã làm điều này ...

 using System.DirectoryServices; 

     // Impersonate the Admin to Reset the Password/Unlock Account // 
     // Change variables below. 
     ImpersonateUser iu = new ImpersonateUser(); 
     if (iu.impersonateValidUser("AdminUserName", "DomainName", "AdminPassword")) 
     { 
      resetPassword("AdminUserName", "AdminPassword", UserToReset, "NewPassword"); 
      iu.undoImpersonation(); 
     } 

     // Perform the Reset/Unlock // 
     public void resetPassword(string username, string password, string acct, string newpassword) 
     { 
      string Path = // LDAP Connection String 
      string Username = username; 
      string Password = password; 
      string Domain = "DomainName\\"; // Change to your domain name 

      DirectoryEntry de = new DirectoryEntry(Path, Domain + Username, Password, AuthenticationTypes.Secure); 

      DirectorySearcher ds = new DirectorySearcher(de); 

      ds.Filter = "(&(objectClass=user)(|(sAMAccountName=" + acct + ")))"; 

      ds.PropertiesToLoad.Add("displayName"); 
      ds.PropertiesToLoad.Add("sAMAccountName"); 
      ds.PropertiesToLoad.Add("DistinguishedName"); 
      ds.PropertiesToLoad.Add("CN"); 

      SearchResult result = ds.FindOne(); 

      string dn = result.Properties["DistinguishedName"][0].ToString(); 

      DirectoryEntry uEntry = new DirectoryEntry("LDAP://" + dn, username, password); 

      uEntry.Invoke("SetPassword", new object[] { newpassword }); 
      uEntry.Properties["LockOutTime"].Value = 0; 
      uEntry.CommitChanges(); 
      uEntry.Close(); 
     } 

Tôi hoàn toàn đồng ý rằng điều này có thể dẫn đến các vấn đề bảo mật nếu sử dụng không đúng cách, chúng tôi đã từng thay đổi đăng nhập và gửi qua email cho tên miền quản trị viên (vì vậy họ trong vòng lặp) và chúng tôi tự động tạo mật khẩu. Điều này đã giúp ích rất nhiều cho bộ phận CNTT nhỏ của chúng tôi, vì quản trị viên không còn phải thức dậy lúc 4 giờ sáng để đặt lại mật khẩu.

Answer 6

Mã này sẽ cho phép bạn gọi một tệp thực thi khác và chạy nó là quản trị viên.

try 
{ 
    path = path_to_your_executable; 

    ProcessStartInfo myProcess = new ProcessStartInfo(path); 
    myProcess.Domain = domain; 
    myProcess.UserName = username; 
    myProcess.Password = password; 
    myProcess.UseShellExecute = false; 

    Process.Start(myProcess); 
} 
catch (Exception myException) 
{ 
    // error handling 
} 

Không chính xác những gì bạn đang tìm nhưng đó là giải pháp khả thi.

Answer 7

Đây là lớp tôi sử dụng để thực hiện mạo danh trên một trang web ASP.NET 2.0, chạy trên Windows 2000.

Ví dụ Cách sử dụng:

if (iu.impersonateValidUser("AdminUserName", "DomainName", "AdminPassword")) 
{    
    // Do Something Under Other Users Security Context 
    iu.undoImpersonation(); 
} 

Vậy đó ... Toàn bộ lớp bên dưới.

using System; 
using System.Runtime.InteropServices; 
using System.Security.Principal; 


public class ImpersonateUser 
{ 
    public const int LOGON32_LOGON_INTERACTIVE = 2; 
    public const int LOGON32_PROVIDER_DEFAULT = 0; 

    WindowsImpersonationContext impersonationContext; 

    [DllImport("advapi32.dll")] 
    public static extern int LogonUserA(String lpszUserName, 
     String lpszDomain, 
     String lpszPassword, 
     int dwLogonType, 
     int dwLogonProvider, 
     ref IntPtr phToken); 
    [DllImport("advapi32.dll", CharSet = CharSet.Auto, SetLastError = true)] 
    public static extern int DuplicateToken(IntPtr hToken, 
     int impersonationLevel, 
     ref IntPtr hNewToken); 

    [DllImport("advapi32.dll", CharSet = CharSet.Auto, SetLastError = true)] 
    public static extern bool RevertToSelf(); 

    [DllImport("kernel32.dll", CharSet = CharSet.Auto)] 
    public static extern bool CloseHandle(IntPtr handle); 

    public bool impersonateValidUser(String userName, String domain, String password) 
    { 
     WindowsIdentity tempWindowsIdentity; 
     IntPtr token = IntPtr.Zero; 
     IntPtr tokenDuplicate = IntPtr.Zero; 

     if (RevertToSelf()) 
     { 
      if (LogonUserA(userName, domain, password, LOGON32_LOGON_INTERACTIVE, 
       LOGON32_PROVIDER_DEFAULT, ref token) != 0) 
      { 
       if (DuplicateToken(token, 2, ref tokenDuplicate) != 0) 
       { 
        tempWindowsIdentity = new WindowsIdentity(tokenDuplicate); 
        impersonationContext = tempWindowsIdentity.Impersonate(); 
        if (impersonationContext != null) 
        { 
         CloseHandle(token); 
         CloseHandle(tokenDuplicate); 
         return true; 
        } 
       } 
      } 
     } 
     if (token != IntPtr.Zero) 
      CloseHandle(token); 
     if (tokenDuplicate != IntPtr.Zero) 
      CloseHandle(tokenDuplicate); 
     return false; 
    } 

    public void undoImpersonation() 
    { 
     impersonationContext.Undo(); 
    } 
}