Au début d'un processus avec des références à partir d'un Service Windows

J'ai un service Windows qui s'exécute en tant que mydomain\user. Je veux être en mesure d'exécuter arbitraire .exe à partir du service. Normalement, j'utilise du Processus.Start() et il fonctionne très bien, mais dans certains cas, je veux lancer l'exécutable en tant qu'utilisateur différent (mydomain\userB).

Si je change le ProcessStartInfo-je utiliser pour démarrer le processus pour inclure des informations d'identification, je commence à avoir des erreurs - une boîte de dialogue d'erreur qui dit que "L'application n'a pas réussi à s'initialiser correctement (0xc0000142). Cliquez sur OK pour fermer l'application.", ou un "Accès refusé" Win32Exception. Si je lance le processus de démarrage de code à partir de la ligne de commande au lieu de l'exécuter dans le service, le processus commence à utiliser les informations d'identification correctes (j'ai vérifié en mettant l'ProcessStartInfo à exécuter whoami.exe et la capture de la sortie de ligne de commande).

J'ai aussi essayé d'usurpation d'identité à l'aide de WindowsIdentity.Usurper l'identité d'(), mais cela n'a pas fonctionné comme je le comprends, l'usurpation d'identité n'affecte que le thread en cours, et de commencer un nouveau processus hérite du processus de descripteur de sécurité, ne pas le thread courant.

Je suis en cours d'exécution dans un test isolé de domaine, si bien que l'utilisateur a et utilisateur b sont les admins du domaine, et les deux ont la session en tant que Service de droit à l'échelle du domaine.

  • Est-il Vista OS? T-il se passer lorsque vous lancez Notepad.exe ainsi?
  • Pouvez-vous mettre un exemple de code de vos arguments?
  • Désolé, je n'ai pas été en mesure de revenir à vous plus tôt. Si vous avez encore besoin d'un exemple de code que j'ai édité ma réponse pour ajouter un lien vers un article que j'ai récemment publié avec le code source.
InformationsquelleAutor Zack Elan | 2009-03-24
  1. 18

    Lorsque vous lancez un nouveau processus à l'aide de ProcessStartInfo le processus est lancé dans la même fenêtre de la station et bureau en tant que le processus de lancement. Si vous utilisez des informations d'identification de l'utilisateur, en général, pas de droits suffisants pour exécuter dans ce bureau. L'échec d'initialisation erreurs sont causées par user32.dll tentatives d'initialisation dans le nouveau processus et ne le peuvent pas.

    Pour contourner ce problème, vous devez d'abord récupérer les descripteurs de sécurité associé à la fenêtre de la gare et du bureau et ajouter les autorisations appropriées à la DACL pour votre utilisateur, puis lancer votre processus en vertu de ces nouvelles informations.

    EDIT: UNE description détaillée sur la façon de faire et des exemples de code était un peu long pour ici, donc j'ai mis en place un l'article avec code.

            //The following security adjustments are necessary to give the new 
        //process sufficient permission to run in the service's window station
        //and desktop. This uses classes from the AsproLock library also from 
        //Asprosys.
        IntPtr hWinSta = GetProcessWindowStation();
        WindowStationSecurity ws = new WindowStationSecurity(hWinSta,
          System.Security.AccessControl.AccessControlSections.Access);
        ws.AddAccessRule(new WindowStationAccessRule("LaunchProcessUser",
            WindowStationRights.AllAccess, System.Security.AccessControl.AccessControlType.Allow));
        ws.AcceptChanges();

        IntPtr hDesk = GetThreadDesktop(GetCurrentThreadId());
        DesktopSecurity ds = new DesktopSecurity(hDesk,
            System.Security.AccessControl.AccessControlSections.Access);
        ds.AddAccessRule(new DesktopAccessRule("LaunchProcessUser",
            DesktopRights.AllAccess, System.Security.AccessControl.AccessControlType.Allow));
        ds.AcceptChanges();

        EventLog.WriteEntry("Launching application.", EventLogEntryType.Information);

        using (Process process = Process.Start(psi))
        {
        }
    • Merci; il ressemble à ce qui est la cause du problème. Avez-vous des suggestions sur la meilleure façon de récupérer la liste et ajouter des autorisations pour le 2ème utilisateur?
    • Vous n'avez pas besoin de définir la Fenêtre de la Station et Bureau Dacl si vous créez le service interactif.
    • Est-il de même pour le démarrage d'un processus avec des informations d'identification à partir d'un "Service WCF" ?
    • Pour le manque d'interopérabilité des méthodes dont vous avez besoin après que vous avez ajouté AsproLock. Ici, ils sont: [DllImport("user32.dll", SetLastError = true)] public static extern IntPtr GetProcessWindowStation(); [DllImport("user32.dll", SetLastError = true)] public static extern IntPtr GetThreadDesktop(int dwThreadId); [DllImport("kernel32.dll", SetLastError = true)] public static extern int GetCurrentThreadId();
    • Merci pour cette réponse. J'ai posté une réponse avec un "compact" autonome code qui ne nécessitent pas la AsproLock de la bibliothèque.
    • Est-il un moyen de donner à l'enfant le processus de sa propre station de fenêtre et de bureau? Ou est-ce l'approche de laisser partager la station mère de bureau et considéré comme OK?

    InformationsquelleAutor Stephen Martin
  2. 12

    Basé sur la réponse par @StephenMartin.

    Un nouveau processus lancé à l'aide de la Process classe fonctionne dans la même fenêtre de la station et bureau en tant que le processus de lancement. Si vous exécutez le nouveau processus à l'aide d'informations d'identification différentes, alors le nouveau processus n'avez pas les permissions pour accéder à la fenêtre de la station et bureau. Quels sont les résultats sur les erreurs comme 0xC0000142.

    Ce qui suit est un "compact" autonome code pour accorder à un utilisateur un accès à la fenêtre actuelle de la station et bureau. Il ne nécessite pas la AsproLock bibliothèque.

    Appeler le GrantAccessToWindowStationAndDesktop méthode avec le nom d'utilisateur que vous utilisez pour exécuter le Process (Process.StartInfo.UserName), avant d'appeler Process.Start.

    public static void GrantAccessToWindowStationAndDesktop(string username)
{
IntPtr handle;
const int WindowStationAllAccess = 0x000f037f;
handle = GetProcessWindowStation();
GrantAccess(username, handle, WindowStationAllAccess);
const int DesktopRightsAllAccess = 0x000f01ff;
handle = GetThreadDesktop(GetCurrentThreadId());
GrantAccess(username, handle, DesktopRightsAllAccess);
}
private static void GrantAccess(string username, IntPtr handle, int accessMask)
{
SafeHandle safeHandle = new NoopSafeHandle(handle);
GenericSecurity security =
new GenericSecurity(
false, ResourceType.WindowObject, safeHandle, AccessControlSections.Access);
security.AddAccessRule(
new GenericAccessRule(
new NTAccount(username), accessMask, AccessControlType.Allow));
security.Persist(safeHandle, AccessControlSections.Access);
}
[DllImport("user32.dll", SetLastError = true)]
private static extern IntPtr GetProcessWindowStation();
[DllImport("user32.dll", SetLastError = true)]
private static extern IntPtr GetThreadDesktop(int dwThreadId);
[DllImport("kernel32.dll", SetLastError = true)]
private static extern int GetCurrentThreadId();
//All the code to manipulate a security object is available in .NET framework,
//but its API tries to be type-safe and handle-safe, enforcing a special implementation
//(to an otherwise generic WinAPI) for each handle type. This is to make sure
//only a correct set of permissions can be set for corresponding object types and
//mainly that handles do not leak.
//Hence the AccessRule and the NativeObjectSecurity classes are abstract.
//This is the simplest possible implementation that yet allows us to make use
//of the existing .NET implementation, sparing necessity to
//P/Invoke the underlying WinAPI.
private class GenericAccessRule : AccessRule
{
public GenericAccessRule(
IdentityReference identity, int accessMask, AccessControlType type) :
base(identity, accessMask, false, InheritanceFlags.None,
PropagationFlags.None, type)
{
}
}
private class GenericSecurity : NativeObjectSecurity
{
public GenericSecurity(
bool isContainer, ResourceType resType, SafeHandle objectHandle,
AccessControlSections sectionsRequested)
: base(isContainer, resType, objectHandle, sectionsRequested)
{
}
new public void Persist(SafeHandle handle, AccessControlSections includeSections)
{
base.Persist(handle, includeSections);
}
new public void AddAccessRule(AccessRule rule)
{
base.AddAccessRule(rule);
}
#region NativeObjectSecurity Abstract Method Overrides
public override Type AccessRightType
{
get { throw new NotImplementedException(); }
}
public override AccessRule AccessRuleFactory(
System.Security.Principal.IdentityReference identityReference, 
int accessMask, bool isInherited, InheritanceFlags inheritanceFlags,
PropagationFlags propagationFlags, AccessControlType type)
{
throw new NotImplementedException();
}
public override Type AccessRuleType
{
get { return typeof(AccessRule); }
}
public override AuditRule AuditRuleFactory(
System.Security.Principal.IdentityReference identityReference, int accessMask,
bool isInherited, InheritanceFlags inheritanceFlags,
PropagationFlags propagationFlags, AuditFlags flags)
{
throw new NotImplementedException();
}
public override Type AuditRuleType
{
get { return typeof(AuditRule); }
}
#endregion
}
//Handles returned by GetProcessWindowStation and GetThreadDesktop should not be closed
private class NoopSafeHandle : SafeHandle
{
public NoopSafeHandle(IntPtr handle) :
base(handle, false)
{
}
public override bool IsInvalid
{
get { return false; }
}
protected override bool ReleaseHandle()
{
return true;
}
}
    • Cela m'a aidé à résoudre un gros problème. Merci beaucoup. Maintenir le bon travail
    • Ce code est un joyau caché en ligne. J'espère que ce ne disparaît jamais. Il est impossible de créer un service windows qui génère des processus enfants, sur des comptes différents, sans l'aide de ce code.
    • Je suis d'accord, c'est tout à fait indispensable de code qui n'est pas limité à des services d' - elle résout également le même problème lors du démarrage de processus en tant qu'un autre utilisateur à partir d'applications Web/Api d'exécution dans les pools d'applications IIS. Merci beaucoup.
    InformationsquelleAutor Martin Prikryl
  3. 3

    En fonction de la réponse par @Stephen Martin et Martin Prikryl.

    Ce code vous permet d'exécuter un processus avec différents identifiants de l'utilisateur à partir d'un service.

    J'ai maintenant optimisé le code source.

    L'enlèvement et la fixation des droits est désormais également possible.

    namespace QlikConnectorPSExecute
{
#region Usings
using System;
using System.Collections.Generic;
using System.Linq;
using System.Runtime.InteropServices;
using System.Security.AccessControl;
using System.Security.Principal;
#endregion
//inspired by: http://stackoverflow.com/questions/677874/starting-a-process-with-credentials-from-a-windows-service
public class WindowsGrandAccess : IDisposable
{
#region DLL-Import
//All the code to manipulate a security object is available in .NET framework,
//but its API tries to be type-safe and handle-safe, enforcing a special implementation
//(to an otherwise generic WinAPI) for each handle type. This is to make sure
//only a correct set of permissions can be set for corresponding object types and
//mainly that handles do not leak.
//Hence the AccessRule and the NativeObjectSecurity classes are abstract.
//This is the simplest possible implementation that yet allows us to make use
//of the existing .NET implementation, sparing necessity to
//P/Invoke the underlying WinAPI.
[DllImport("user32.dll", SetLastError = true)]
private static extern IntPtr GetProcessWindowStation();
[DllImport("user32.dll", SetLastError = true)]
private static extern IntPtr GetThreadDesktop(int dwThreadId);
[DllImport("kernel32.dll", SetLastError = true)]
private static extern int GetCurrentThreadId();
#endregion
#region Variables && Properties
public static int WindowStationAllAccess { get; private set; } = 0x000f037f;
public static int DesktopRightsAllAccess { get; private set; } = 0x000f01ff;
private GenericSecurity WindowStationSecurity {get; set;}
private GenericSecurity DesktopSecurity { get; set; }
private int? OldWindowStationMask { get; set; }
private int? OldDesktopMask { get; set; }
private NTAccount AccountInfo { get; set; }
private SafeHandle WsSafeHandle { get; set; }
private SafeHandle DSafeHandle { get; set; }
#endregion
#region Constructor & Dispose
public WindowsGrandAccess(NTAccount accountInfo, int windowStationMask, int desktopMask)
{
if (accountInfo != null)
Init(accountInfo, windowStationMask, desktopMask);
}
public void Dispose()
{
try
{
if (AccountInfo == null)
return;
RestAccessMask(OldWindowStationMask, WindowStationAllAccess, WindowStationSecurity, WsSafeHandle);
RestAccessMask(OldDesktopMask, DesktopRightsAllAccess, DesktopSecurity, DSafeHandle);
}
catch (Exception ex)
{
throw new Exception($"The object \"{nameof(WindowsGrandAccess)}\" could not be dispose.", ex);
}
}
#endregion
#region Methods
private void Init(NTAccount accountInfo, int windowStationMask, int desktopMask)
{
AccountInfo = accountInfo;
WsSafeHandle = new NoopSafeHandle(GetProcessWindowStation());
WindowStationSecurity = new GenericSecurity(false, ResourceType.WindowObject, WsSafeHandle, AccessControlSections.Access);
DSafeHandle = new NoopSafeHandle(GetThreadDesktop(GetCurrentThreadId()));
DesktopSecurity = new GenericSecurity(false, ResourceType.WindowObject, DSafeHandle, AccessControlSections.Access);
OldWindowStationMask = ReadAccessMask(WindowStationSecurity, WsSafeHandle, windowStationMask);
OldDesktopMask = ReadAccessMask(DesktopSecurity, DSafeHandle, desktopMask);
}
private AuthorizationRuleCollection GetAccessRules(GenericSecurity security)
{
return security.GetAccessRules(true, false, typeof(NTAccount));
}
private int? ReadAccessMask(GenericSecurity security, SafeHandle safeHandle, int accessMask)
{
var ruels = GetAccessRules(security);
var username = AccountInfo.Value;
if (!username.Contains("\\"))
username = $"{Environment.MachineName}\\{username}";
var userResult = ruels.Cast<GrantAccessRule>().SingleOrDefault(r => r.IdentityReference.Value.ToLower() == username.ToLower() && accessMask == r.PublicAccessMask);
if (userResult == null)
{
AddGrandAccess(security, accessMask, safeHandle);
userResult = ruels.Cast<GrantAccessRule>().SingleOrDefault(r => r.IdentityReference.Value.ToLower() == username.ToLower());
if (userResult != null)
return userResult.PublicAccessMask;
}
else
return userResult.PublicAccessMask;
return null;
}
private void AddGrandAccess(GenericSecurity security, int accessMask, SafeHandle safeHandle)
{
var rule = new GrantAccessRule(AccountInfo, accessMask, AccessControlType.Allow);
security.AddAccessRule(rule);
security.Persist(safeHandle, AccessControlSections.Access);
}
private void RemoveGrantAccess(GenericSecurity security, int accessMask, SafeHandle safeHandle)
{
var rule = new GrantAccessRule(AccountInfo, accessMask, AccessControlType.Allow);
security.RemoveAccessRule(rule);
security.Persist(safeHandle, AccessControlSections.Access);
}
private void SetGrandAccess(GenericSecurity security, int accessMask, SafeHandle safeHandle)
{
var rule = new GrantAccessRule(AccountInfo, accessMask, AccessControlType.Allow);
security.SetAccessRule(rule);
security.Persist(safeHandle, AccessControlSections.Access);
}
private void RestAccessMask(int? oldAccessMask, int fullAccessMask, GenericSecurity security, SafeHandle safeHandle)
{
if (oldAccessMask == null)
RemoveGrantAccess(security, fullAccessMask, safeHandle);
else if (oldAccessMask != fullAccessMask)
{
SetGrandAccess(security, oldAccessMask.Value, safeHandle);
}
}
#endregion
#region private classes
private class GenericSecurity : NativeObjectSecurity
{
public GenericSecurity(
bool isContainer, ResourceType resType, SafeHandle objectHandle,
AccessControlSections sectionsRequested)
: base(isContainer, resType, objectHandle, sectionsRequested) { }
new public void Persist(SafeHandle handle, AccessControlSections includeSections)
{
base.Persist(handle, includeSections);
}
new public void AddAccessRule(AccessRule rule)
{
base.AddAccessRule(rule);
}
new public bool RemoveAccessRule(AccessRule rule)
{
return base.RemoveAccessRule(rule);
}
new public void SetAccessRule(AccessRule rule)
{
base.SetAccessRule(rule);
}
new public AuthorizationRuleCollection GetAccessRules(bool includeExplicit, bool includeInherited, Type targetType)
{
return base.GetAccessRules(includeExplicit, includeInherited, targetType);
}
public override Type AccessRightType
{
get { throw new NotImplementedException(); }
}
public override AccessRule AccessRuleFactory(
System.Security.Principal.IdentityReference identityReference,
int accessMask, bool isInherited, InheritanceFlags inheritanceFlags,
PropagationFlags propagationFlags, AccessControlType type)
{
return new GrantAccessRule(identityReference, accessMask, isInherited, inheritanceFlags, propagationFlags, type);
}
public override Type AccessRuleType
{
get { return typeof(AccessRule); }
}
public override AuditRule AuditRuleFactory(
System.Security.Principal.IdentityReference identityReference, int accessMask,
bool isInherited, InheritanceFlags inheritanceFlags,
PropagationFlags propagationFlags, AuditFlags flags)
{
throw new NotImplementedException();
}
public override Type AuditRuleType
{
get { return typeof(AuditRule); }
}
}
private class GrantAccessRule : AccessRule
{
public GrantAccessRule(IdentityReference identity, int accessMask, bool isInherited,
InheritanceFlags inheritanceFlags, PropagationFlags propagationFlags,
AccessControlType type) :
base(identity, accessMask, isInherited,
inheritanceFlags, propagationFlags, type) { }
public GrantAccessRule(IdentityReference identity, int accessMask, AccessControlType type) :
base(identity, accessMask, false, InheritanceFlags.None,
PropagationFlags.None, type) { }
public int PublicAccessMask
{
get { return base.AccessMask; }
}
}
//Handles returned by GetProcessWindowStation and GetThreadDesktop should not be closed
private class NoopSafeHandle : SafeHandle
{
public NoopSafeHandle(IntPtr handle) :
base(handle, false) {}
public override bool IsInvalid
{
get { return false; }
}
protected override bool ReleaseHandle()
{
return true;
}
}
#endregion
}
}

    Échantillon À L'Aide De

    using (var windowsAccess = new WindowsGrandAccess(accountInfo, WindowsGrandAccess.WindowStationAllAccess, WindowsGrandAccess.DesktopRightsAllAccess))
{
...
}

    Merci.

    InformationsquelleAutor
  4. 2

    Ceci est symptomatique de :

    - l'insuffisance des droits;

    - l'échec de la charge d'une bibliothèque;

    Utiliser Filemon pour détecter des refus d'accès ou

    WinDbg pour lancer l'application dans un débogueur et afficher n'importe quel problème.

    • maintenant j'ai lu votre réponse... +1 pour le Filemon référence, je pense que ce sera le point le problème.
    InformationsquelleAutor lsalamon
  5. 2

    J'ai ré-implémenté Martin Prikryl réponse en Python, qui, je l'espère, quelqu'un la trouve utile.

    Je suis tombé sur ce problème de l'exécution d'un sous-processus dans un script Python. J'ai été en utilisant le pythonnet package pour exécuter System.Diagnostics.Process en tant qu'utilisateur différent. Mon problème était que le sous-processus n'était pas en cours d'exécution et je n'ai reçu aucune stdout ou stderr.

    # Import .NET objects using pythonnet
from System.Diagnostics import Process
# Use .NET API to run a subprocess using the given executable
# as the target user, in the provided working directory.
process = Process()
process.StartInfo.UseShellExecute = False
process.StartInfo.CreateNoWindow = True
process.StartInfo.LoadUserProfile = True
process.StartInfo.RedirectStandardOutput = True
process.StartInfo.RedirectStandardError = True
process.StartInfo.WorkingDirectory = working_dir
process.StartInfo.Domain = "mydomain"
process.StartInfo.UserName = username.lower().replace("mydomain\\", "")
process.StartInfo.PasswordInClearText = password
process.StartInfo.FileName = executable
process.StartInfo.Arguments = " ".join(args)
# Run the subprocess.
process.Start()
# Read subprocess console output
stdout = process.StandardOutput.ReadToEnd()
stderr = process.StandardError.ReadToEnd()
log.info(f"\n{executable} subprocess stdout:\n\n{stdout}")
log.info(f"{executable} subprocess stderr:\n\n{stderr}")
log.info(f"Done running {executable} as {username}.")

    J'ai utilisé Martin Prikryl réponse, mais je ré-implémenté en Python à l'aide de la pyWin32 de la bibliothèque, qui a résolu mon problème.:

    import win32api, win32process, win32service, win32security
WINDOW_STATION_ALL_ACCESS = 983935
DESKTOP_RIGHTS_ALL_ACCESS = 983551
SE_WINDOW_OBJECT = 7
DACL_SECURITY_INFORMATION = 4
def set_access(user, handle, access):
info = win32security.GetSecurityInfo(
handle, SE_WINDOW_OBJECT, DACL_SECURITY_INFORMATION
)
dacl = info.GetSecurityDescriptorDacl()
dacl.AddAccessAllowedAce(win32security.ACL_REVISION, access, user)
win32security.SetSecurityInfo(
handle, SE_WINDOW_OBJECT, DACL_SECURITY_INFORMATION, None, None, dacl, None
)
username = "mattsegal"
user, domain, user_type = win32security.LookupAccountName("", username)
thread_id = win32api.GetCurrentThreadId()
station_handle = win32process.GetProcessWindowStation()
desktop_handle = win32service.GetThreadDesktop(thread_id)
set_access(user, station_handle, WINDOW_STATION_ALL_ACCESS)
set_access(user, desktop_handle, DESKTOP_RIGHTS_ALL_ACCESS)
    InformationsquelleAutor MatthewSegal
  6. 0

    Comment vous mettez-vous le domaine, l'utilisateur et le mot de passe? Êtes-vous définissant le domaine correctement ainsi que le mot de passe (il doit utiliser un SecureString).

    Aussi, êtes-vous du réglage de l'WorkingDirectory propriété? Lors de l'utilisation d'un nom d'utilisateur et le Mot de passe, la documentation indique que vous devez définir la WorkingDirectory propriété.

    • Je suis de domaine, nom d'utilisateur et le mot de passe (comme un SecureString) correctement - si j'exécute ce code à l'extérieur du service Windows, il fonctionne comme prévu. Réglage de la WorkingDirectory ne semble pas avoir d'effet, soit.
    InformationsquelleAutor casperOne
  7. 0

    Il se peut que tout le processus a débuté par un service doit également avoir le "ouvrir une session en tant que Service" privelege.

    Si l'id utilisateur que vous utilisez pour démarrer le deuxième processus n'a pas les droits d'administration de la box, cela pourrait être le cas.

    Un moyen simple serait de modifier la stratégie de sécurité locale pour donner le nom d'utilisateur "ouvrir une session en tant que service" et essayez à nouveau.

    Edit: d'Après les informations supplémentaires..

    Pâturage sur Google, sur ce point, il semble que 0xc0000142 se rapporte à ne pas être en mesure d'initialiser une DLL. Il y a une chose que le service a ouvert que le processus générés dynamiquement besoins? En tout cas, on dirait qu'il a à faire avec le processus qui a débuté, et non pas comment vous le faites.

    • Les deux utilisateurs ont Connecter en tant que Service activé.
    • Ajout d'un peu plus de ma réponse. Il semble que vous pouvez avoir quelques conflits entre le service et l'a engendré processus basé sur l'erreur 0xc0000142.
    InformationsquelleAutor Moose
  8. 0

    J'ai eu ce problème aujourd'hui, et j'ai passé assez de temps à essayer de le comprendre. Ce que j'ai fait a été de créer un service interactif (à l'aide d'Autoriser le service à interagir avec le bureau de case à cocher dans les services.msc). Dès que je n'ai que la 0xc0000142 erreurs s'en alla.

    InformationsquelleAutor Adam Ruth