模拟管理员帐户时，WindowsIdentity Impersonate 方法失败

Question

我正在尝试在 .NET 控制台应用程序中模拟用户帐户，当它到达我调用 Impersonate() 方法的位置时，应用程序似乎立即退出。方法调用在 try-catch 块中，但它甚至从未到达 'catch' 块，所以我看不出错误是什么！

以下是相关代码：

[DllImport("advapi32.dll", SetLastError = true)]
public static extern bool LogonUser(String lpszUsername, String lpszDomain, String lpszPassword, int dwLogonType, int dwLogonProvider, ref IntPtr phToken);

然后在我的应用程序开始时：

bool returnValue = LogonUser(user, domain, password, LOGON32_LOGON_INTERACTIVE, LOGON32_PROVIDER_DEFAULT, ref m_tokenHandle);
if (!returnValue)
{
    int ret = Marshal.GetLastWin32Error();
    throw new System.ComponentModel.Win32Exception(ret);
}
// Impersonate
WindowsIdentity _identity = new WindowsIdentity(m_tokenHandle);
EmailHelper.SendErrorMessage("Windows Identity Created!", string.Format("Created at: {0}", DateTime.Now.ToLongTimeString()));
try
{
    m_impersonatedUser = _identity.Impersonate();
    EmailHelper.SendErrorMessage("Impersonation Complete...", string.Format("Impersonation at: {0}", DateTime.Now.ToLongTimeString()));
}
catch
{
    int ret = Marshal.GetLastWin32Error();
    EmailHelper.SendErrorMessage("Error impersonating user!", string.Format("Error: {0}", ret));
}
finally
{
    EmailHelper.SendErrorMessage("Finally block executed?!", "What is going on?");
}

我收到了最初的“已创建 Windows 身份”电子邮件，但没有收到任何其他电子邮件！有谁知道我如何找出我的潜在错误以及为什么我的模拟不起作用？

谢谢！

编辑：

我尝试了这篇 MSDN 文章中的代码：http://msdn.microsoft.com/en-us/library/w070t6ka(v=vs.110).aspx，唯一的修改是在模拟时尝试创建文件。

修改正在更改此代码：

using (WindowsImpersonationContext impersonatedUser = newId.Impersonate())
{
    // Check the identity.
    Console.WriteLine("After impersonation: " + WindowsIdentity.GetCurrent().Name);
}

收件人：

using (WindowsImpersonationContext impersonatedUser = newId.Impersonate())
{
    // Check the identity.
    Console.WriteLine("After impersonation: " + WindowsIdentity.GetCurrent().Name);
    System.IO.File.CreateText(@"Test.txt");
}

我在以“标准”用户身份运行 exe 时得到的输出显示 LogonUser 成功，WindowsIdentity.GetCurrent().Name 返回模拟的用户名，但创建文件失败，错误代码为 1346，根据 MSDN , 是：

ERROR_BAD_IMPERSONATION_LEVEL 1346 (0x542) 未提供所需的模拟级别，或者提供的模拟级别无效。

这是什么意思？谷歌尚未对此有所了解...

编辑 2：

我可以使用此代码模拟另一个标准用户帐户，但是当我尝试模拟我的管理员帐户时它失败了。是否可以以某种方式更改代码以允许运行此 exe 的标准用户模拟管理员帐户？

Answer 1

当我运行您的代码时，我将所有发送呼叫的电子邮件替换为 Console.WriteLine，并使用我的 UPN 创建了 Windows 标识。这导致了对 try 块的调用，然后是 finally 块，正如预期的那样。

您的电子邮件发送方式可能存在问题。我会看看你在用Console.WriteLine() 替换后得到的结果是否相同。 还可以尝试在末尾添加Console.ReadLine()，这样您就可以在不退出应用程序的情况下查看发生了什么。可能是它工作正常，而您只是没有收到电子邮件。如果电子邮件工作正常，应用程序将立即退出，如果在那之后没有可调用的线路，但您仍然会收到一封电子邮件。

Answer 2

你测试过m_tokenHandle吗？

if (m_tokenHandle != IntPtr.Zero)
{
  // continue on

你测试过_identity吗？也没有测试。

if (_identity != null)
{
  // continue on

无论 try 例程是否成功，finally 块都会执行。

Answer 3

遗憾的是，这似乎仍然不起作用，我有一种预感，尝试使用 WindowsIdentity 模拟管理员帐户可能不受支持，或者我的方法有缺陷。无论哪种方式，相当虎头蛇尾，我决定完全采用不同的方法，并将我想以管理员身份运行的代码放入单独的可执行文件中，然后使用管理员凭据作为新进程启动该 exe。

System.Diagnostics.Process.Start(myExecutablePath, args, adminUsername, adminPassword, domainName);

这很好用，所以遇到此问题的任何人都可以使用此解决方法。