如何使用管理员权限运行C#应用程序？

if (iu.impersonateValidUser("AdminUserName", "DomainName", "AdminPassword"))
{            
    // Do Something Under Other Users Security Context
    iu.undoImpersonation();
}

就是这样... 下面是完整的类。

using System;
using System.Runtime.InteropServices;
using System.Security.Principal;


public class ImpersonateUser
{
    public const int LOGON32_LOGON_INTERACTIVE = 2;
    public const int LOGON32_PROVIDER_DEFAULT = 0;

    WindowsImpersonationContext impersonationContext;

    [DllImport("advapi32.dll")]
    public static extern int LogonUserA(String lpszUserName,
        String lpszDomain,
        String lpszPassword,
        int dwLogonType,
        int dwLogonProvider,
        ref IntPtr phToken);
    [DllImport("advapi32.dll", CharSet = CharSet.Auto, SetLastError = true)]
    public static extern int DuplicateToken(IntPtr hToken,
        int impersonationLevel,
        ref IntPtr hNewToken);

    [DllImport("advapi32.dll", CharSet = CharSet.Auto, SetLastError = true)]
    public static extern bool RevertToSelf();

    [DllImport("kernel32.dll", CharSet = CharSet.Auto)]
    public static extern bool CloseHandle(IntPtr handle);

    public bool impersonateValidUser(String userName, String domain, String password)
    {
        WindowsIdentity tempWindowsIdentity;
        IntPtr token = IntPtr.Zero;
        IntPtr tokenDuplicate = IntPtr.Zero;

        if (RevertToSelf())
        {
            if (LogonUserA(userName, domain, password, LOGON32_LOGON_INTERACTIVE,
                LOGON32_PROVIDER_DEFAULT, ref token) != 0)
            {
                if (DuplicateToken(token, 2, ref tokenDuplicate) != 0)
                {
                    tempWindowsIdentity = new WindowsIdentity(tokenDuplicate);
                    impersonationContext = tempWindowsIdentity.Impersonate();
                    if (impersonationContext != null)
                    {
                        CloseHandle(token);
                        CloseHandle(tokenDuplicate);
                        return true;
                    }
                }
            }
        }
        if (token != IntPtr.Zero)
            CloseHandle(token);
        if (tokenDuplicate != IntPtr.Zero)
            CloseHandle(tokenDuplicate);
        return false;
    }

    public void undoImpersonation()
    {
        impersonationContext.Undo();
    }
}

http://csharptuning.blogspot.com/2007/06/impersonation-in-c.html

看起来您想要模拟管理员用户。这里有一篇文章和演示。它似乎是使用 .Net 1 编写的，但应该可以帮助您入门。此外，请查看WindowsIdentity类。

我在我的内部网站上有一个非常类似的小部件，因此位于不同时区的IT部门成员可以处理密码重置，同时在西海岸的域管理员不可用时执行帐户解锁。这是一个相当简单的任务，以下是我如何完成它的摘录...

        using System.DirectoryServices;

        // Impersonate the Admin to Reset the Password / Unlock Account //
        // Change variables below.
        ImpersonateUser iu = new ImpersonateUser();
        if (iu.impersonateValidUser("AdminUserName", "DomainName", "AdminPassword"))
        {
            resetPassword("AdminUserName", "AdminPassword", UserToReset, "NewPassword");
            iu.undoImpersonation();
        }

        // Perform the Reset / Unlock //
        public void resetPassword(string username, string password, string acct, string newpassword)
        {
            string Path = // LDAP Connection String
            string Username = username;
            string Password = password;
            string Domain = "DomainName\\"; // Change to your domain name

            DirectoryEntry de = new DirectoryEntry(Path, Domain + Username, Password, AuthenticationTypes.Secure);

            DirectorySearcher ds = new DirectorySearcher(de);

            ds.Filter = "(&(objectClass=user)(|(sAMAccountName=" + acct + ")))";

            ds.PropertiesToLoad.Add("displayName");
            ds.PropertiesToLoad.Add("sAMAccountName");
            ds.PropertiesToLoad.Add("DistinguishedName");
            ds.PropertiesToLoad.Add("CN");

            SearchResult result = ds.FindOne();

            string dn = result.Properties["DistinguishedName"][0].ToString();

            DirectoryEntry uEntry = new DirectoryEntry("LDAP://" + dn, username, password);

            uEntry.Invoke("SetPassword", new object[] { newpassword });
            uEntry.Properties["LockOutTime"].Value = 0;
            uEntry.CommitChanges();
            uEntry.Close();
        }

我非常同意，如果使用不当，这可能会导致安全问题。我们记录每一次更改并通过电子邮件发送给域管理员（以便他们了解情况），并自动生成密码。对于我们的小型IT部门来说，这是一个巨大的帮助，因为管理员不再需要在凌晨4点起床重置密码。

这段代码将允许您调用另一个可执行文件并以管理员身份运行它。

try
{
   path = path_to_your_executable;

   ProcessStartInfo myProcess = new ProcessStartInfo(path);
   myProcess.Domain = domain;
   myProcess.UserName = username;
   myProcess.Password = password;
   myProcess.UseShellExecute = false;

   Process.Start(myProcess);
}
catch (Exception myException)
{
   // error handling
}

这不完全是你要找的，但它是一个可能的解决方案。

你不能轻易地使用Windows服务，因为Windows服务不能有GUI。唯一的方法是安装该服务，然后创建一个使用IPC与服务通信的GUI应用程序。但这样做可能会打开一个潜在的漏洞。

如果你在运行Vista操作系统，最好的选择是编辑清单文件并添加requireAdministrator。

编辑：

听起来我的第一个建议可能是你想要的... 要做到这一点，基本过程如下：

• 将您的应用程序作为Windows服务。 MSDN上有一个此过程的演练。
• 使您的服务响应某种形式的IPC。 您可以使用套接字、管道或任何其他形式的通信。 服务将“侦听”请求以解除用户阻止，然后执行此操作。
• 在机器上安装服务。 这将使其作为管理员运行，并始终处于开启状态。
• 制作第二个应用程序作为客户端。 使用相同的IPC技术与服务器通信。 这将向服务发送请求以解除客户端的阻止。

然后，您可以将客户端作为普通用户运行（因为它只需要与服务交谈，不会执行需要权限的任何操作）。