4

我试图弄清楚当前的 Windows 用户是本地管理员还是可以使用 UAC 来“获得”该组成员身份。

到目前为止,我想出的是这样的:

var adminIdentifier = new SecurityIdentifier("S-1-5-32-544");
var current = WindowsIdentity.GetCurrent();
bool isAdmin = current.Groups.Contains(adminIdentifier);
bool canBeAdmin = isAdmin;

if (!isAdmin)
{
    var adminGroupName = adminIdentifier.Translate(typeof(NTAccount)).Value;
    adminGroupName = adminGroupName.Substring(adminGroupName.LastIndexOf('\\'));
    string path = "WinNT://./" + adminGroupName + ",group";

    using (DirectoryEntry groupEntry = new DirectoryEntry(path))
    {
      foreach (object member in (IEnumerable)groupEntry.Invoke("Members"))
      {
        using (DirectoryEntry memberEntry = new DirectoryEntry(member))
        {
              object obVal = memberEntry.Properties["objectSid"].Value;
              SecurityIdentifier sid = null;
              if (null != obVal)
              {
                 sid = new SecurityIdentifier((Byte[])obVal,0);
              }

              canBeAdmin = Equals(current.User, sid);
              if (canBeAdmin)
                break;
        }
     }
   }
 }
 Console.WriteLine(canBeAdmin +" "+isAdmin);

此解决方案需要几毫秒的时间来计算。比我之前尝试过的基于 System.DirectoryServices.AccountManagement 的方法快得多。

不过,还有最后一件事困扰着我。我必须将管理组的 SecurityIdentifier 转换为名称。应该有一种方法可以通过使用 SID 直接获取 DirectoryEntry。根据谷歌的说法,这应该有效:

string path = "LDAP://<SID=" + adminIdentifier.ToString() + ">";

但是,这似乎不起作用。知道语法应该是什么样子吗?

4

3 回答 3

2

您是否尝试过WindowsPrincipal.IsInRole

WindowsPrincipal wp = new WindowsPrincipal(WindowsIdentity.GetCurrent());
wp.IsInRole(new SecurityIdentifier("S-1-5-32-544"));
wp.IsInRole(WindowsBuiltInRole.Administrator);
于 2009-04-05T12:41:16.407 回答
1

您是否尝试过在与当前用户对应的 UserPrincipal 对象上使用GetAuthorizationGroups ?如果 GetAuthorizationGroups 不包含机器本地组,您可能必须检查用户是否直接在本地管理员组中,或者本地管理员组是否包含用户所在的任何授权组。我没有在机器上下文中尝试过这个,所以我不确定如果它在使用时不使用域/全局/通用组计算本地组成员身份,是否还需要搜索域上下文以查找后一个匹配项机器上下文。

于 2009-04-04T12:14:37.790 回答
0

这应该是你想要的,除非我误解:

var groupName = adminIdentifier.Translate(typeof(NTAccount)).Value;
于 2009-04-05T12:19:29.657 回答