我正在使用DirectoryServices和WinNT//提供程序连接到远程计算机。 然后,我检查一些组成员信息,并可能从指定的本地组中添加或删除域用户。
我已经能够在使用vb.net控制台应用程序时并与我的本地框或任何帐户具有管理权限的框进行通信时使所有这些代码无缝运行。
代码:
string strUserPath = "WinNT://DomainName/someuser,user";
DirectoryEntry deComputer = new DirectoryEntry("WinNT://" + Computername + ",computer");
deComputer.RefreshCache();
DirectoryEntry deGroup = deComputer.Children.Find("administrators", "group");
IEnumerable members = deGroup.Invoke("members", null);
List<DirectoryEntry> r = new List<DirectoryEntry>();
foreach (object o in members)
{
DirectoryEntry deMember = new DirectoryEntry(o);
r.Add(deMember);
}
deGroup.Invoke("Add", strUserPath);
deGroup.CommitChanges();
deGroup.Invoke("Remove", strUserPath);
deGroup.CommitChanges();
我将代码移到了一个ASP.Net Web应用程序中,该应用程序通过web.config的模拟部分模拟服务帐户。我正在模拟的帐户在任何工作站上都没有管理员权限,因此我在计算机条目的构造函数中放入了用户名/密码,如下所示:
DirectoryEntry deComputer = new DirectoryEntry("WinNT://" + Computername + ",computer", username, password);
用户名是域帐户的用户名,该帐户在每台工作站上都具有本地管理员权限。如果我查看结果deComputer对象的Username属性,我可以看到用户名与我输入的用户名匹配。此外,如果我输入无效密码,它会抛出错误,因此它以某种方式进行身份验证。
然而,如果我现在尝试从远程工作站添加或删除用户,则会出现一般访问被拒绝的错误。如果我将ASP.Net使用的服务帐户作为本地管理员添加到该工作站,它将添加和删除没有问题。
所以接下来我尝试使用LogonAPI(advapi32.dll->LogonUser调用)登录到作为所有工作站本地管理员的用户帐户,模拟生成的WindowsIdentity并尝试仅运行原始的deComputer实例化。当我这样做时,除了Path之外的每个属性都返回OLE异常......
我对下一步要尝试什么感到困惑。任何帮助都将不胜感激。
--解决方法--
为了解决这个问题,我们创建了一个运行在本地管理员帐户下的Windows服务,因此没有任何问题运行代码。我们将所有更新推送到SQL数据库中的一个表中,服务会获取它们并处理它们。但是,我仍然非常想知道为什么这不起作用,并且直接从网站推送更新将是很好的。
LogonUser
用于本地登录,但您需要进行远程登录。例如,如果您想通过HTTPS访问银行,则不会使用您的银行账户进行LogonUser
调用,而是仅在目标计算机上进行远程登录。在这里也是一样的。如果目标计算机不信任源计算机或者您尝试使用仅存在于目标计算机上的用户帐户连接,则具有模拟权限的LogonUser
将无法工作!您可以毫无问题地使用WNetAddConnection2
或NetUseAdd
。 - OlegWNetAddConnection2
或NetUseAdd
与目标计算机建立连接,则它将用于对远程计算机的其他访问尝试。同时,DirectoryEntry
与WinNT
提供程序也会使用它。要断开连接,可以使用WNetCancelConnection2
或NetUseDel
。更多解释请参见http://stackoverflow.com/questions/3282927/manage-remote-service-using-alternate-credentials/3348967#3348967。我建议您尝试使用`WNetAddConnection2`和`WNetCancelConnection2`,您会发现它们正是您所需要的。 - Oleg