Obtenir le nom d'utilisateur lors de l'emprunt d'identité

Je suis en utilisant la méthode suivante pour usurper l'identité d'un utilisateur dans mon code:

Comment voulez-vous faire d'emprunt d'identité .NET?

Dans une autre classe, j'ai besoin de savoir le courant de l'utilisateur (comme "mydomain\moose"), mais je n'ai aucune idée de si je suis en train d'usurper l'identité d'un autre utilisateur ou pas.

Comment puis-je obtenir le nom d'utilisateur, si je suis d'usurper l'identité de quelqu'un?

Système.De l'environnement.Nom d'utilisateur et le Système.De sécurité.Principal.WindowsIdentity.GetCurrent().Nom fois de retour à l'utilisateur d'origine, pas le actuellement avec emprunt d'identité de l'utilisateur.

Plus De Détails:

Je suis en train de faire cette usurpation d'identité afin que je puisse accéder à certains fichiers dans un netowrk part de l'utilisateur n'a généralement pas accès.

Si j'utilise un type de connexion de LOGON32_LOGON_INTERACTIVE, je ne vois que le nouvel utilisateur, mais je ne peut pas accéder au partage réseau. Si j'utilise un type de connexion de LOGON32_LOGON_NEW_CREDENTIALS (d'une valeur de 9), je peux accéder au partage réseau, mais je ne vois pas le nouvel utilisateur dans l'Environnement.Nom d'utilisateur.

Il devrait être de retour à l'identité de l'utilisateur. Êtes-vous absolument sûr que vous êtes représenté dans l'appel de la méthode que vous regardez en haut de l'utilisateur actuel.?
Je viens de tester à l'aide de l'identité de l'utilisateur pour accéder à un répertoire de mon utilisateur connecté n'a pas accès. Je peux accéder à l'annuaire, mais les deux méthodes de toujours retourner à l'utilisateur d'origine. une fois que j'ai arrêter l'usurpation d'identité, je reçois accès refusé essayez d'accéder à l'annuaire, donc je sais que c'est usurper l'identité correctement.
Ajouté plus de détails. Semble être le type d'ouverture de session à l'origine du problème.
Voir msdn.microsoft.com/en-us/library/windows/desktop/.... Vous pouvez essayer de LOGON32_LOGON_BATCH. Pour NEW_CREDENTIALS cela ne fonctionne pas car "La nouvelle ouverture de session a le même identifiant local, mais utilise les informations d'identification différentes pour d'autres connexions réseau."

OriginalL'auteur Moose | 2011-09-30

  1. 19

    COMMENCER EDIT:
    J'ai réalisé que ma première tentative de répondre à la question n'était pas très clair. Donc, j'aimerais
    démarrer une autre tentative:

    Tout d'abord, je tiens à souligner ce que la propriété WindowsIdentity.GetCurrent().Name sera de retour
    si vous utilisez LOGON32_LOGON_NEW_CREDENTIALS ou LOGON32_LOGON_INTERACTIVE que le type de connexion pour le LogonUser (à l'intérieur de l'usurpation de l'identité de la classe de) fonction:

    1. À l'aide de LOGON32_LOGON_INTERACTIVE

      //Assuming this code runs under USER_B

using (var imp = new Impersonation("treyresearch", "USER_A", "SecurePwd", LOGON32_LOGON_INTERACTIVE ))
{
  //Now, we run under USER_A
  Console.Out.WriteLine(WindowsIdentity.GetCurrent().Name); //Will return USER_A
}

    2. À l'aide de LOGON32_LOGON_NEW_CREDENTIALS

      //Assuming this codes runs under USER_B

using (var imp = new Impersonation("treyresearch", "USER_A", "SecurePwd", LOGON32_LOGON_NEW_CREDENTIALS ))
{
  Console.Out.WriteLine(WindowsIdentity.GetCurrent().Name); //Will return USER_B
}

    C'est le comportement que vous avez décrit dans votre question et est conforme à la description sur le site MSDN pour la LogonUser fonction. Pour LOGON32_LOGON_NEW_CREDENTIALS l'utilisateur créé jeton est juste un clone de l'utilisateur actuel jeton. Cela signifie que la création de la session utilisateur a le même identifiant que le thread appelant. La transmission des informations d'identification pour le LogonUser fonction ne sont utilisés que pour les connexions réseau.

    Deuxièmement, permettez-moi de souligner deux situation où le décrit la différence entre LOGON32_LOGON_INTERACTIVE et LOGON32_LOGON_NEW_CREDENTIALS devient clair:

    • Deux de domaine des ordinateurs connectés: computer_A, computer_B
    • Deux utilisateurs: user_A (admin local sur computer_A), user_b' (uniquement des droits d'utilisateur standard sur B)
    • Un partageréseau sur computer_B (monpartageréseau, user_b'n'avez la permission d'accéder à partager).
    • Un dossier local sur computer_A (seulement user_A a la permission d'écrire dans ce dossier).

    Vous exécutez votre programme sur computer_A (sous le compte de user_A). Vous vous faites passer pour user_b' (à l'aide de LOGON32_LOGON_INTERACTIVE). Ensuite, vous vous connectez sur le partage réseau sur computer_B et essayez de copier un fichier vers le dossier local (uniquement user_A a la permission d'écrire dans ce dossier). Ensuite, vous obtenez un message d'erreur accès refusé, parce que l'opération de fichier se fait avec les autorisations de user_b'qui n'a pas l'autorisation sur le dossier local.

    Même situation que ci-dessus. Mais maintenant, nous utilisons LOGON32_LOGON_NEW_CREDENTIALS à usurper l'identité d'user_b'. Nous vous connecter à un lecteur réseau " et copier un fichier à partir du lecteur réseau vers le dossier local. Dans ce cas, l'opération réussit, car l'opération de fichier se fait avec les autorisations de user_A.

    FIN MODIFIER

    Espère que, cela aide.

    Cela ne l'aide. Malheureusement, la seule méthode qui me met à l'accès au partage réseau j'ai besoin est d'utiliser LOGON32_LOGON_NEW_CREDENTIALS, mais je ne vois pas qui je suis. Donc, je vais devoir essayer de ne pas utiliser l'emprunt d'identité dans ce cas particulier, je pense que c'est la vraie solution de toute façon. Je suis marquage ce l'un à la réponse, car elle a le plus de détail sur les différences dans le type d'ouverture de session transmis à LogonUser().
    Si vous avez juste besoin de savoir si ou non vous usurpant l'identité de alors un coup d'oeil a la suite de stackoverflow question/réponse: stackoverflow.com/questions/3973982/...
    J'ai juste besoin de savoir comment faire pour obtenir l'identité de l'utilisateur et cela m'a donné exactement ce que je cherchais. GÉNIAL!
    C'est une EXCELLENTE explication de la façon dont LOGON32_LOGON_NEW_CREDENTIALS œuvres. Merci!!!!

    OriginalL'auteur

  2. 5

    Selon l'exemple à http://msdn.microsoft.com/en-us/library/chf6fbt4.aspx d'identité en cours de modifications au cours de l'usurpation d'identité. Êtes-vous sûr que votre code est à l'intérieur de l'identité de bloc de code?

    Oui, juste testé. Toujours pas de chance. Je sais que je suis de l'usurpation de l'identité de la droite, mais c'est toujours ramener l'utilisateur d'origine.

    OriginalL'auteur

  3. 2

    J'ai écrit une classe d'assistance qui n':

    public static class ImpersonationUtils
{
private const int SW_SHOW = 5;
private const int TOKEN_QUERY = 0x0008;
private const int TOKEN_DUPLICATE = 0x0002;
private const int TOKEN_ASSIGN_PRIMARY = 0x0001;
private const int STARTF_USESHOWWINDOW = 0x00000001;
private const int STARTF_FORCEONFEEDBACK = 0x00000040;
private const int CREATE_UNICODE_ENVIRONMENT = 0x00000400;
private const int TOKEN_IMPERSONATE = 0x0004;
private const int TOKEN_QUERY_SOURCE = 0x0010;
private const int TOKEN_ADJUST_PRIVILEGES = 0x0020;
private const int TOKEN_ADJUST_GROUPS = 0x0040;
private const int TOKEN_ADJUST_DEFAULT = 0x0080;
private const int TOKEN_ADJUST_SESSIONID = 0x0100;
private const int STANDARD_RIGHTS_REQUIRED = 0x000F0000;
private const int TOKEN_ALL_ACCESS =
STANDARD_RIGHTS_REQUIRED |
TOKEN_ASSIGN_PRIMARY |
TOKEN_DUPLICATE |
TOKEN_IMPERSONATE |
TOKEN_QUERY |
TOKEN_QUERY_SOURCE |
TOKEN_ADJUST_PRIVILEGES |
TOKEN_ADJUST_GROUPS |
TOKEN_ADJUST_DEFAULT |
TOKEN_ADJUST_SESSIONID;
[StructLayout(LayoutKind.Sequential)]
private struct PROCESS_INFORMATION
{
public IntPtr hProcess;
public IntPtr hThread;
public int dwProcessId;
public int dwThreadId;
}
[StructLayout(LayoutKind.Sequential)]
private struct SECURITY_ATTRIBUTES
{
public int nLength;
public IntPtr lpSecurityDescriptor;
public bool bInheritHandle;
}
[StructLayout(LayoutKind.Sequential)]
private struct STARTUPINFO
{
public int cb;
public string lpReserved;
public string lpDesktop;
public string lpTitle;
public int dwX;
public int dwY;
public int dwXSize;
public int dwYSize;
public int dwXCountChars;
public int dwYCountChars;
public int dwFillAttribute;
public int dwFlags;
public short wShowWindow;
public short cbReserved2;
public IntPtr lpReserved2;
public IntPtr hStdInput;
public IntPtr hStdOutput;
public IntPtr hStdError;
}
private enum SECURITY_IMPERSONATION_LEVEL
{
SecurityAnonymous,
SecurityIdentification,
SecurityImpersonation,
SecurityDelegation
}
private enum TOKEN_TYPE
{
TokenPrimary = 1,
TokenImpersonation
}
[DllImport("advapi32.dll", SetLastError = true)]
private static extern bool CreateProcessAsUser(
IntPtr hToken,
string lpApplicationName,
string lpCommandLine,
ref SECURITY_ATTRIBUTES lpProcessAttributes,
ref SECURITY_ATTRIBUTES lpThreadAttributes,
bool bInheritHandles,
int dwCreationFlags,
IntPtr lpEnvironment,
string lpCurrentDirectory,
ref STARTUPINFO lpStartupInfo,
out PROCESS_INFORMATION lpProcessInformation);
[DllImport("advapi32.dll", SetLastError = true)]
private static extern bool DuplicateTokenEx(
IntPtr hExistingToken,
int dwDesiredAccess,
ref SECURITY_ATTRIBUTES lpThreadAttributes,
int ImpersonationLevel,
int dwTokenType,
ref IntPtr phNewToken);
[DllImport("advapi32.dll", SetLastError = true)]
private static extern bool OpenProcessToken(
IntPtr ProcessHandle,
int DesiredAccess,
ref IntPtr TokenHandle);
[DllImport("userenv.dll", SetLastError = true)]
private static extern bool CreateEnvironmentBlock(
ref IntPtr lpEnvironment,
IntPtr hToken,
bool bInherit);
[DllImport("userenv.dll", SetLastError = true)]
private static extern bool DestroyEnvironmentBlock(
IntPtr lpEnvironment);
[DllImport("kernel32.dll", SetLastError = true)]
private static extern bool CloseHandle(
IntPtr hObject);
private static void LaunchProcessAsUser(string cmdLine, IntPtr token, IntPtr envBlock, int sessionId)
{
var pi = new PROCESS_INFORMATION();
var saProcess = new SECURITY_ATTRIBUTES();
var saThread = new SECURITY_ATTRIBUTES();
saProcess.nLength = Marshal.SizeOf(saProcess);
saThread.nLength = Marshal.SizeOf(saThread);
var si = new STARTUPINFO();
si.cb = Marshal.SizeOf(si);
si.lpDesktop = @"WinSta0\Default";
si.dwFlags = STARTF_USESHOWWINDOW | STARTF_FORCEONFEEDBACK;
si.wShowWindow = SW_SHOW;
if (!CreateProcessAsUser(
token,
null,
cmdLine,
ref saProcess,
ref saThread,
false,
CREATE_UNICODE_ENVIRONMENT,
envBlock,
null,
ref si,
out pi))
{
throw new Win32Exception(Marshal.GetLastWin32Error(), "CreateProcessAsUser failed");
}
}
private static IDisposable Impersonate(IntPtr token)
{
var identity = new WindowsIdentity(token);
return identity.Impersonate();
}
private static IntPtr GetPrimaryToken(Process process)
{
var token = IntPtr.Zero;
var primaryToken = IntPtr.Zero;
if (OpenProcessToken(process.Handle, TOKEN_DUPLICATE, ref token))
{
var sa = new SECURITY_ATTRIBUTES();
sa.nLength = Marshal.SizeOf(sa);
if (!DuplicateTokenEx(
token,
TOKEN_ALL_ACCESS,
ref sa,
(int)SECURITY_IMPERSONATION_LEVEL.SecurityImpersonation,
(int)TOKEN_TYPE.TokenPrimary,
ref primaryToken))
{
throw new Win32Exception(Marshal.GetLastWin32Error(), "DuplicateTokenEx failed");
}
CloseHandle(token);
}
else
{
throw new Win32Exception(Marshal.GetLastWin32Error(), "OpenProcessToken failed");
}
return primaryToken;
}
private static IntPtr GetEnvironmentBlock(IntPtr token)
{
var envBlock = IntPtr.Zero;
if (!CreateEnvironmentBlock(ref envBlock, token, false))
{
throw new Win32Exception(Marshal.GetLastWin32Error(), "CreateEnvironmentBlock failed");
}
return envBlock;
}
public static void LaunchAsCurrentUser(string cmdLine)
{
var process = Process.GetProcessesByName("explorer").FirstOrDefault();
if (process != null)
{
var token = GetPrimaryToken(process);
if (token != IntPtr.Zero)
{
var envBlock = GetEnvironmentBlock(token);
if (envBlock != IntPtr.Zero)
{
LaunchProcessAsUser(cmdLine, token, envBlock, process.SessionId);
if (!DestroyEnvironmentBlock(envBlock))
{
throw new Win32Exception(Marshal.GetLastWin32Error(), "DestroyEnvironmentBlock failed");
}
}
CloseHandle(token);
}
}
}
public static IDisposable ImpersonateCurrentUser()
{
var process = Process.GetProcessesByName("explorer").FirstOrDefault();
if (process != null)
{
var token = GetPrimaryToken(process);
if (token != IntPtr.Zero)
{
return Impersonate(token);
}
}
throw new Exception("Could not find explorer.exe");
}
}

    Vous pouvez l'utiliser comme ça:

    ImpersonationUtils.LaunchAsCurrentUser("notepad");
using (ImpersonationUtils.ImpersonateCurrentUser())
{
}

    Plus d'explications et des exemples que vous pouvez trouver ici :

    Usurpation de l'identité d'CurrentUser de SYSTÈME

    OriginalL'auteur

  4. 1

    Prendre un coup d'oeil à QueryCredentialsAttributes.

    Voulez-vous dire GetTokenInformation? Pas sûr qu'il est même possible d'obtenir une CredHandle pour nourrir QueryCredentialAttributes donné un jeton d'emprunt d'identité HANDLE renvoyé de LogonUser.

    OriginalL'auteur