0

我们有一个域boo.com并且有人定义了一个替代的 UPN 后缀bc。有一个帐户被创建为 foo @bc。我需要模拟该帐户以连接到 SQL Server。

这就是我所做的:

[DllImport("advapi32.dll", SetLastError = true)]
public static extern bool LogonUser(String lpszUsername, 
                                    String lpszDomain,
                                    String lpszPassword, 
                                    int dwLogonType,
                                    int dwLogonProvider, 
                                    ref IntPtr phToken);

LogonUser( 
    "foo",//foo@bc
    "boo.com",//"@bc"
     "Password",
     (int)LogonType.LOGON32_LOGON_INTERACTIVE,//(int)LogonType.LOGON32_LOGON_SERVICE,//(int)LogonType.LOGON32_LOGON_NEW_CREDENTIALS,//(int)LogonType.LOGON32_LOGON_NETWORK,//
     (int)LogonProvider.LOGON32_PROVIDER_DEFAULT,//(int)LogonProvider.LOGON32_PROVIDER_WINNT50,//
     ref m_Token);
...

模拟似乎有效- LogonUser(...) 成功,但我的脚本没有适当的访问权限。根据参数的组合,我得到

System.IO.FileLoadException:文件名:'System.Data,...

在 Sysinternals Process Monitor 中,我可以看到“BAD IMPERSONATION”错误。

或者,如果我使用 LogonType 和 LogonProvider

System.Data.SqlClient.SqlException:'登录失败。登录来自不受信任的域,不能用于 Windows 身份验证。

有没有办法模拟使用替代 UPN 后缀定义的 AD 帐户?

哦,如果我从“foo”帐户下运行一切正常,这意味着 foo 拥有它需要的所有访问权限。不幸的是,我需要从另一个服务帐户运行。

谢谢!!!

4

1 回答 1

0

通过反复试验,这对我有用:

LogonUser( 
"foo@bc",//username with suffix
 NULL,   //domain
 "Password",
 (int)LogonType.LOGON32_LOGON_NEW_CREDENTIALS, //logon type
 (int)LogonProvider.LOGON32_PROVIDER_DEFAULT,
 ref m_Token);

Console.WriteLine("Current user: " + WindowsIdentity.GetCurrent().Name);
//John Doe - person running the app

WindowsIdentity identity = new WindowsIdentity(m_Token);
identity.Impersonate();

Console.WriteLine("Current user: " + WindowsIdentity.GetCurrent().Name);
//still John Doe!! NOT foo@bc

//database access successful (Integrated Security)

出奇

WindowsIdentity.GetCurrent().Name

返回模拟前后运行应用程序的帐户名。但是无论如何都会授予对数据库的访问权限。

于 2019-10-09T18:27:57.670 回答