Dans .NET/C# test si le processus a des privilèges d'administrateur

Est-il une manière canonique de tester pour voir si le processus a des privilèges d'administrateur sur une machine?

Je vais commencer un long processus en cours d'exécution, et plus tard dans le processus de " durée de vie, il va tenter certaines choses qui nécessitent des privilèges d'administrateur.

J'aimerais pouvoir tester en avant si le processus a ces droits plutôt que plus tard.

InformationsquelleAutor Clinton Pierce | 2009-07-06

.net c#security windows

78

Il s'agira de vérifier si l'utilisateur est dans le groupe Administrateurs local (en supposant que vous n'êtes pas vérifier pour le domaine des autorisations d'administrateur)
```
using System.Security.Principal;

public bool IsUserAdministrator()
{
    //bool value to hold our return value
    bool isAdmin;
    WindowsIdentity user = null;
    try
    {
        //get the currently logged in user
        user = WindowsIdentity.GetCurrent();
        WindowsPrincipal principal = new WindowsPrincipal(user);
        isAdmin = principal.IsInRole(WindowsBuiltInRole.Administrator);
    }
    catch (UnauthorizedAccessException ex)
    {
        isAdmin = false;
    }
    catch (Exception ex)
    {
        isAdmin = false;
    }
    finally
    {
        if (user != null)
            user.Dispose();
    }
    return isAdmin;
}
```
- Cela permettra de déterminer si l'utilisateur est dans le groupe BUILTIN\Administrateurs, mais il va montrer si l'utilisateur est élevée sur Vista?
- Est la capture de chaque exception vraiment nécessaire?
- Si quelqu'un peut le tester sur Vista, il serait grand.
- nécessaire, mais assurez-vous vous évite en bas de la route d'avoir des erreurs d'exécution, si quelque chose de bizarre qui se passe
- il cache également d'erreurs graves qui peuvent se produire dans ce bloc. Il doit être supprimé.
- Cela ne fonctionne pas sous Vista si l'UAC est activé. La raison en est que le contrôle de compte d'utilisateur crée un "split jeton" pour les utilisateurs avec des privilèges admin et le "split jeton" exclut explicitement tous les rôles d'administrateur (y compris des choses comme "Administrateur de Domaine").
- J'ai testé cela sur Windows Server 2008 avec l'UAC activé. Il fonctionne comme ceci: une augmentation de l'administrateur -> true, non-administrateur élevée -> false, l'utilisateur standard> false
- Proffitt Si vous êtes non surélevée admin principal.IsInRole(WindowsBuiltInRole.Administrator); retournera false, il ne retourne vrai si vous êtes un administrateur avec élévation de privilèges.
- comment vérifier spécifiques de l'utilisateur au lieu de l'utilisateur actuellement connecté?
- Il ne fonctionne pas à moins d'exécuter en tant qu'administrateur.Il n'est donc pas d'une grande utilité.
- l'OP veut savoir si le processus est exécuté avec des privilèges d'administrateur ou non. Ce code ne fait que cela.
- Modifié le code de disposer correctement les user objet; ce n'est pas une bonne pratique pour se prévaloir de la GC pour nettoyer pour vous. Je dois également souligner que la capture de UnauthorizedAccessException et ensuite de prendre Exception de la même manière redondante, et vous ne devriez pas vraiment faire ce dernier.
InformationsquelleAutor Wadih M.

De départ avec Wadih M du code, j'ai quelques autres P/Invoke code de l'essayer et de gérer le cas lorsque l'UAC est activé.

http://www.davidmoore.info/blog/2011/06/20/how-to-check-if-the-current-user-is-an-administrator-even-if-uac-is-on/

D'abord, nous aurons besoin d'un peu de code à l'appui de la GetTokenInformation appel d'API:

[DllImport("advapi32.dll", SetLastError = true)]
static extern bool GetTokenInformation(IntPtr tokenHandle, TokenInformationClass tokenInformationClass, IntPtr tokenInformation, int tokenInformationLength, out int returnLength);

///<summary>
///Passed to <see cref="GetTokenInformation"/> to specify what
///information about the token to return.
///</summary>
enum TokenInformationClass
{
     TokenUser = 1,
     TokenGroups,
     TokenPrivileges,
     TokenOwner,
     TokenPrimaryGroup,
     TokenDefaultDacl,
     TokenSource,
     TokenType,
     TokenImpersonationLevel,
     TokenStatistics,
     TokenRestrictedSids,
     TokenSessionId,
     TokenGroupsAndPrivileges,
     TokenSessionReference,
     TokenSandBoxInert,
     TokenAuditPolicy,
     TokenOrigin,
     TokenElevationType,
     TokenLinkedToken,
     TokenElevation,
     TokenHasRestrictions,
     TokenAccessInformation,
     TokenVirtualizationAllowed,
     TokenVirtualizationEnabled,
     TokenIntegrityLevel,
     TokenUiAccess,
     TokenMandatoryPolicy,
     TokenLogonSid,
     MaxTokenInfoClass
}

///<summary>
///The elevation type for a user token.
///</summary>
enum TokenElevationType
{
    TokenElevationTypeDefault = 1,
    TokenElevationTypeFull,
    TokenElevationTypeLimited
}

Ensuite, le code pour détecter si l'utilisateur est un Administrateur (qui renvoie true si elles le sont, sinon false).

var identity = WindowsIdentity.GetCurrent();
if (identity == null) throw new InvalidOperationException("Couldn't get the current user identity");
var principal = new WindowsPrincipal(identity);
//Check if this user has the Administrator role. If they do, return immediately.
//If UAC is on, and the process is not elevated, then this will actually return false.
if (principal.IsInRole(WindowsBuiltInRole.Administrator)) return true;
//If we're not running in Vista onwards, we don't have to worry about checking for UAC.
if (Environment.OSVersion.Platform != PlatformID.Win32NT || Environment.OSVersion.Version.Major < 6)
{
//Operating system does not support UAC; skipping elevation check.
return false;
}
int tokenInfLength = Marshal.SizeOf(typeof(int));
IntPtr tokenInformation = Marshal.AllocHGlobal(tokenInfLength);
try
{
var token = identity.Token;
var result = GetTokenInformation(token, TokenInformationClass.TokenElevationType, tokenInformation, tokenInfLength, out tokenInfLength);
if (!result)
{
var exception = Marshal.GetExceptionForHR( Marshal.GetHRForLastWin32Error() );
throw new InvalidOperationException("Couldn't get token information", exception);
}
var elevationType = (TokenElevationType)Marshal.ReadInt32(tokenInformation);
switch (elevationType)
{
case TokenElevationType.TokenElevationTypeDefault:
//TokenElevationTypeDefault - User is not using a split token, so they cannot elevate.
return false;
case TokenElevationType.TokenElevationTypeFull:
//TokenElevationTypeFull - User has a split token, and the process is running elevated. Assuming they're an administrator.
return true;
case TokenElevationType.TokenElevationTypeLimited:
//TokenElevationTypeLimited - User has a split token, but the process is not running elevated. Assuming they're an administrator.
return true;
default:
//Unknown token elevation type.
return false;
}
}
finally
{    
if (tokenInformation != IntPtr.Zero) Marshal.FreeHGlobal(tokenInformation);
}

C'est la réponse la plus complète, et aborde les questions où l'appel à IsInRole(WindowsBuiltInRole.Administrateur) renvoie faux car l'UAC est le blocage. Confirmée à travailler correctement sur Windows 8.
C'est une grande réponse, mais pas à cette question!

InformationsquelleAutor David Moore

17

Si vous voulez vous assurer que votre solution fonctionne sous windows Vista, l'UAC, et ont .Net Framework 3.5 ou mieux, vous pouvez utiliser le Système.DirectoryServices.AccountManagement espace de noms. Votre code devrait ressembler à quelque chose comme:
```
bool isAllowed = false;
using (PrincipalContext pc = new PrincipalContext(ContextType.Machine, null))
{
UserPrincipal up = UserPrincipal.Current;
GroupPrincipal gp = GroupPrincipal.FindByIdentity(pc, "Administrators");
if (up.IsMemberOf(gp))
isAllowed = true;
}
```
- doit. Je n'ai pas testé contre les builtin.Les administrateurs de compte. Ma demande a été test par rapport à un domaine. theruntime.com/blogs/jacob/archive/2009/02/13/...
- VEUILLEZ Ne pas coder en dur les Administrateurs (assez sûr que c'est le localisable chaîne, pas BUILTIN\Administrateurs bien connu de la chaîne)
- Alors, que feriez-vous de l'utilisation, de Ruben?
- Selon la page MSDN, vous pouvez utiliser le SID, qui je crois est "S-1-5-32-544". msdn.microsoft.com/en-us/library/bb359434.aspx
- Le code est mentionné par Jacob travail sur Windows XP? Tant qu'il a le nécessaire .Net framework 3.5+?
- Juste une remarque: Ce code n'a pas pour indiquer correctement mon processus était en cours d'exécution élevé. Certes, j'ai un peu étrange de l'installation où mon compte n'est pas dans le groupe Administrateurs mais peut être élevé pour inclure le nécessaire administrateur jetons sur le processus. Le code de Wadih a fourni la bonne réponse à ma situation.
InformationsquelleAutor Jacob Proffitt
3

Essayé Erwin code mais ça ne compile pas.

L'ai eu à travailler comme ça:
```
[DllImport("shell32.dll")] public static extern bool IsUserAnAdmin();
```
- Cela a fonctionné comme un champion pour moi - quelqu'un a une idée de ce que le code à l'intérieur de la IsUserAnAdmin fonction ressemble réellement?
- -1: La page MSDN pour IsUserAnAdmin lien états: "Fin de support client: Windows Vista". Cette fonction pourrait être unavailble pour les futures versions de Windows, de sorte qu'il n'est certainement pas le "canonique" façon.
- Ressemble à "la Fin de l'assistance client: Windows Vista" partie a été supprimée de l'article, mais il est encore fait allusion au possible [abandon].
InformationsquelleAutor Alex G.
3

À l'aide de l' .NET Framework 4.5, il semble être plus facile de vérifier si un utilisateur est dans le groupe d'administrateurs:
```
WindowsPrincipal principal = WindowsPrincipal.Current;
bool canBeAdmin = principal.Claims.Any((c) => c.Value == "S-1-5-32-544");
```
- Attention, il y a une grande différence entre les allégations de la liste qui est retourné entre WindowsPrincipal.Actuel.Des revendications, et de nouvelles WindowsPrincipal(WindowsIdentity.GetCurrent())).Les réclamations voir ma réponse ci-dessous
InformationsquelleAutor Jens

D'autres réponses en tirant parti de la IsInRole méthode retourne true si l'utilisateur est en cours d'exécution avec un jeton élevé, comme d'autres l'ont commenté. Voici une alternative potentielle pour vérifier juste pour appartenance au groupe local Administrateurs à la fois une norme et une élévation de contexte:

bool isAdmin = false;
using (var user = WindowsIdentity.GetCurrent())
{
var principal = new WindowsPrincipal(user);
//Check for token claim with well-known Administrators group SID
const string LOCAL_ADMININSTRATORS_GROUP_SID = "S-1-5-32-544";
if (principal.Claims.SingleOrDefault(x => x.Value == LOCAL_ADMININSTRATORS_GROUP_SID) != null)
{
isAdmin = true;
}
}
return isAdmin;

InformationsquelleAutor Noah Stahl

Utiliser pouvez utiliser WMI avec quelque chose comme ça pour savoir si le compte est un compte administrateur, et à peu près tout ce que vous voulez savoir sur compte là

using System;
using System.Management;
using System.Windows.Forms;
namespace WMISample
{
public class MyWMIQuery
{
public static void Main()
{
try
{
ManagementObjectSearcher searcher = 
new ManagementObjectSearcher("root\\CIMV2", 
"SELECT * FROM Win32_UserAccount"); 
foreach (ManagementObject queryObj in searcher.Get())
{
Console.WriteLine("-----------------------------------");
Console.WriteLine("Win32_UserAccount instance");
Console.WriteLine("-----------------------------------");
Console.WriteLine("AccountType: {0}", queryObj["AccountType"]);
Console.WriteLine("FullName: {0}", queryObj["FullName"]);
Console.WriteLine("Name: {0}", queryObj["Name"]);
}
}
catch (ManagementException e)
{
MessageBox.Show("An error occurred while querying for WMI data: " + e.Message);
}
}
}
}

Pour le rendre plus facile pour commencer à télécharger WMI Créateur

vous pouvez également utiliser cet accès active directory (LDAP) ou toute autre fonction de votre ordinateur/réseau

Sur mon quad core i7 cette accroché à la machine pendant 7 secondes jusqu'à ce que l'appel renvoyé.

InformationsquelleAutor Bob The Janitor

La suite est testé pour fonctionner dans .NET Core 3 sur Windows 10 et Ubuntu Linux:

[DllImport("libc")]
public static extern uint getuid(); //Only used on Linux but causes no issues on Windows
static bool RunningAsAdmin()
{
if (RuntimeInformation.IsOSPlatform(OSPlatform.Windows))
{
using var identity = WindowsIdentity.GetCurrent();
WindowsPrincipal principal = new WindowsPrincipal(identity);
return principal.IsInRole(WindowsBuiltInRole.Administrator);
}
else return getuid() == 0;
}

Il retourne true lorsque l'UAC est en effet (Windows) ou lorsque l'application s'exécute en tant que super-utilisateur sur Linux (par exemple sudo myapp).

Si quelqu'un a la possibilité de le tester sur MacOS, veuillez nous faire part de vos conclusions.

InformationsquelleAutor Eric J.

Ce sujet:

using System.Runtime.InteropServices;
internal static class Useful {
[DllImport("shell32.dll", EntryPoint = "IsUserAnAdmin")]
public static extern bool IsUserAnAdministrator();
}

Ce n'est pas pris en charge au-delà de Vista selon les docs de l'API: msdn.microsoft.com/en-us/library/windows/desktop/...

InformationsquelleAutor Erwin Mayer

Il existe 4 Méthodes - que je préfère:

(new WindowsPrincipal(WindowsIdentity.GetCurrent())).IsInRole(WindowsBuiltInRole.Administrator);

Voici le code pour vous donner une liste de toutes les demande de données pour votre courant de l'Identité de l'utilisateur.

REMARQUE: il y a une grande différence entre les allégations de la liste qui est retourné entre WindowsPrincipal.Actuel.Les revendications et les (nouveau WindowsPrincipal(WindowsIdentity.GetCurrent())).Les revendications

Console.WriteLine("press the ENTER key to start listing user claims:");
Console.ReadLine();
Console.WriteLine("---------------------");
Console.WriteLine("---------------------");
bool canBeAdmin = (new WindowsPrincipal(WindowsIdentity.GetCurrent())).IsInRole(WindowsBuiltInRole.Administrator);
Console.WriteLine("GetCurrent IsInRole: canBeAdmin:{0}", canBeAdmin);
Console.WriteLine("---------------------");
Console.WriteLine("---------------------");
canBeAdmin = (new WindowsPrincipal(WindowsIdentity.GetCurrent())).Claims.Any((c) => c.Value == "S-1-5-32-544");
Console.WriteLine("GetCurrent Claim: canBeAdmin?:{0}", canBeAdmin);
Console.WriteLine("---------------------");
Console.WriteLine("---------------------");
canBeAdmin = (new WindowsPrincipal(WindowsIdentity.GetCurrent())).IsInRole("Administrator");
Console.WriteLine("GetCurrent IsInRole \"Administrator\": canBeAdmin?:{0}", canBeAdmin);
Console.WriteLine("---------------------");
Console.WriteLine("---------------------");
canBeAdmin = (new WindowsPrincipal(WindowsIdentity.GetCurrent())).IsInRole("Admin");
Console.WriteLine("GetCurrent IsInRole \"Admin\": canBeAdmin?:{0}", canBeAdmin);
Console.WriteLine("---------------------");
Console.WriteLine("---------------------");
canBeAdmin = WindowsPrincipal.Current.IsInRole("Admin");
Console.WriteLine("Current IsInRole \"Admin\": canBeAdmin:{0}", canBeAdmin);
Console.WriteLine("---------------------");
Console.WriteLine("---------------------");
canBeAdmin = WindowsPrincipal.Current.IsInRole("Administrator");
Console.WriteLine("Current IsInRole \"Administrator\": canBeAdmin:{0}", canBeAdmin);
Console.WriteLine("---------------------");
Console.WriteLine("---------------------");
canBeAdmin = WindowsPrincipal.Current.Claims.Any((c) => c.Value == "S-1-5-32-544");
Console.WriteLine("Current Claim: canBeAdmin?:{0}", canBeAdmin);
Console.WriteLine("---------------------");
Console.WriteLine("---------------------");
Console.WriteLine("WindowsPrincipal Claims:");
Console.WriteLine("---------------------");
var propertyCount = 0;
foreach (var claim in WindowsPrincipal.Current.Claims)
{
Console.WriteLine("{0}", propertyCount++);
Console.WriteLine("{0}", claim.ToString());
Console.WriteLine("Issuer:{0}", claim.Issuer);
Console.WriteLine("Subject:{0}", claim.Subject);
Console.WriteLine("Type:{0}", claim.Type);
Console.WriteLine("Value:{0}", claim.Value);
Console.WriteLine("ValueType:{0}", claim.ValueType);
}
Console.WriteLine("---------------------");
Console.WriteLine("---------------------");
Console.WriteLine("WindowsPrincipal Identities Claims");
Console.WriteLine("---------------------");
propertyCount = 0;
foreach (var identity in WindowsPrincipal.Current.Identities)
{
int subPropertyCount = 0;
foreach (var claim in identity.Claims)
{
Console.WriteLine("{0} {1}", propertyCount, subPropertyCount++);
Console.WriteLine("{0}", claim.ToString());
Console.WriteLine("Issuer:{0}", claim.Issuer);
Console.WriteLine("Subject:{0}", claim.Subject);
Console.WriteLine("Type:{0}", claim.Type);
Console.WriteLine("Value:{0}", claim.Value);
Console.WriteLine("ValueType:{0}", claim.ValueType);
}
Console.WriteLine();
propertyCount++;
}
Console.WriteLine("---------------------");
Console.WriteLine("---------------------");
Console.WriteLine("Principal Id Claims");
Console.WriteLine("---------------------");
var p = new WindowsPrincipal(WindowsIdentity.GetCurrent());
foreach (var claim in (new WindowsPrincipal(WindowsIdentity.GetCurrent())).Claims)
{
Console.WriteLine("{0}", propertyCount++);
Console.WriteLine("{0}", claim.ToString());
Console.WriteLine("Issuer:{0}", claim.Issuer);
Console.WriteLine("Subject:{0}", claim.Subject);
Console.WriteLine("Type:{0}", claim.Type);
Console.WriteLine("Value:{0}", claim.Value);
Console.WriteLine("ValueType:{0}", claim.ValueType);
}
Console.WriteLine("press the ENTER key to end");
Console.ReadLine();

Ce serait probablement plus utile si vous avez indiqué que chacune de ces résultats signifie réellement, et quelle est la différence entre WindowsPrincipal et new WindowsPrincipal et pourquoi.
merci pour les commentaires. Je n'ai pas fait désormais "pourquoi" (comme vous je n'ai pas accès à Microsoft internes), je viens de trouver le "quoi", ce qui est évident à partir de l'exécution de l'expérience. Bonne chance avec la vôtre.

InformationsquelleAutor OzBob

Vous devez vous connecter pour publier un commentaire.