0

我正在编写一个应用程序,允许用户管理 Active Directory 中的组。我想使用当前登录用户的身份,这样他们就不必登录应用程序。该应用程序远程工作没有问题,但在部署到测试服务器(Windows 2008R2 IIS6)后,它试图使用 IIS APPPOOL 身份而不是我的身份。

相关的 web.config 设置:

<authentication mode="Windows"></authentication>
<identity impersonate="true" />

验证身份的代码:

Session("Username") = ActiveDirectory.GetUsername( _
    WindowsIdentity.GetCurrent.User.Translate(GetType(NTAccount)).Value _
)

ActiveDirectory 是一类辅助函数,不包含任何模拟逻辑。

如何获取访问应用程序的用户而不是 IIS APPPOOL 用户的身份?

4

2 回答 2

2

我相信应用程序将以应用程序池的身份运行。为了以不同的身份运行,您需要模拟用户。MSDN有一篇关于它的文章。这是我根据帮助我完成类似事情的文章编写的课程。

class Impersonator : IDisposable
  {
      [DllImport("advapi32.dll", SetLastError = true, CharSet = CharSet.Unicode)]
      private static extern bool LogonUser(String lpszUsername, String lpszDomain, String lpszPassword,
          int dwLogonType, int dwLogonProvider, out SafeTokenHandle phToken);

      [DllImport("kernel32.dll", CharSet = CharSet.Auto)]
      private extern static bool CloseHandle(IntPtr handle);

      WindowsIdentity newId;
      WindowsImpersonationContext impersonatedUser;
      private bool isDisposed;

      public Impersonator(string user, string password, string domain)
      {
          SafeTokenHandle safeTokenHandle;
          const int LOGON32_PROVIDER_DEFAULT = 0;
          //This parameter causes LogonUser to create a primary token. 
          const int LOGON32_LOGON_INTERACTIVE = 2;

          // Call LogonUser to obtain a handle to an access token. 
          bool returnValue = LogonUser(user, domain, password, LOGON32_LOGON_INTERACTIVE, LOGON32_PROVIDER_DEFAULT, out safeTokenHandle);

          newId = new WindowsIdentity(safeTokenHandle.DangerousGetHandle());
          impersonatedUser = newId.Impersonate();
      }

      public void Dispose()
      {

          this.Dispose(true);
          GC.SuppressFinalize(this);
      }

      public void Dispose(bool disposing)
      {
          if (!this.isDisposed)
          {
              if (disposing)
              {
                  if (impersonatedUser != null)
                  {
                      this.impersonatedUser.Dispose();
                  }

                  if (newId != null)
                  {
                      this.newId.Dispose();
                  }
              }
          }

          this.isDisposed = true;
      }

      ~Impersonator()
      {
          Dispose(false);
      }

      private sealed class SafeTokenHandle : SafeHandleZeroOrMinusOneIsInvalid
      {
          private SafeTokenHandle()
              : base(true)
          {
          }

          [DllImport("kernel32.dll")]
          [ReliabilityContract(Consistency.WillNotCorruptState, Cer.Success)]
          [SuppressUnmanagedCodeSecurity]
          [return: MarshalAs(UnmanagedType.Bool)]
          private static extern bool CloseHandle(IntPtr handle);

          protected override bool ReleaseHandle()
          {
              return CloseHandle(handle);
          }
      }
  }

当您想模拟用户并在完成后处理该类时,基本上创建一个类的新实例。

我希望这有帮助!

于 2013-03-29T15:17:04.060 回答
1

我不确定这是否符合您正在尝试做的事情。但是要检索用户,您将使用以下内容:

WindowsIdentity user = WindowsIdentity.GetCurrent();
WindowsPrincipal role = new WindowsPrincipal(user);

使用上述解决方案,您实际上也可以检查角色,或定义Identity.Name为您提供信息。

另一种解决方案:

Environment.UserName;
Environment.GetEnvironmentVariable("USERNAME");

现在我知道WindowsIdentity将跨越一个,但其他人我不确定他们将如何处理Active Directory。因此,您可能必须对Domain Context做一些事情。

// Define Context
PrincipalContext context = new PrincipalContext(ContextType.Domain);

// Find User
UserPrincipal user = UserPrincipal.Current;

// Check User
if (user != null)
{
    string loginName = user.SamAccountName; // Whatever "Login Name Means"
}

这里也有很好的资源:

管理目录安全:

MSDN 帐户管理文档

不确定这是否正是您的意思,但希望对您有所帮助。

于 2013-03-29T15:12:27.200 回答