为什么 LogonUser(...) 不适用于域帐户？

Question

我一直在尝试使用LogonUser(...) 来获取用户帐户的访问令牌，如this MSDN sample。

// Call LogonUser to obtain a handle to an access token.
bool returnValue = LogonUser(userName, domainName, Console.ReadLine(),
    LOGON32_LOGON_INTERACTIVE, LOGON32_PROVIDER_DEFAULT,
    out safeTokenHandle);

当我运行示例（具有管理员权限）时，如果给定域 . 和本地用户帐户名和密码，它可以正常工作，但无论我做什么，我都会收到错误代码 1326（登录失败: 未知用户名或密码错误）如果我尝试使用域帐户。如果我为域输入垃圾，我会得到相同的结果，这让我怀疑它是否真的在联系 DC。

是什么阻止了它的工作？

Answer 1

在我的情况下，与提问者类似的问题是，我尝试对其进行身份验证的帐户位于我当前计算机不属于的域中。与原始海报不同，我的机器不应该也不能成为这个其他域的一部分。不过，我希望登录对此域上的资源执行操作。

答案如下

bool success = LogonUser(
                userName,
                domain,
                password,
                (int)LOGON32_LOGON_NEW_CREDENTIALS, //9
                (int)LOGON32_PROVIDER_DEFAULT, //0
                out userToken);

定义了以下常量：

public const int LOGON32_LOGON_NEW_CREDENTIALS = 9;
public const int LOGON32_PROVIDER_DEFAULT = 0;

希望这能帮助其他在类似情况下迷路的人。

编辑：如下面的 cmets 所述，此登录类型允许调用者克隆其当前令牌并为出站连接指定新凭据。新的登录会话具有相同的本地标识符，但对其他网络连接使用不同的凭据。因此，即使密码错误，“成功”也会返回 true。除了“成功”之外，您还需要进行额外检查，以确认凭据确实有效。

这在我最初的用例中不是一个问题，因为我们在另一个函数中使用了当前网络用户的凭据从安全存储中提取明文密码。因此，除非该系统和活动目录之间存在不一致，否则它永远不会出错，在这种情况下我们会遇到更大的问题。

Answer 2

在我的情况下，尽管我作为域用户登录到我的计算机，但我的计算机本身并不是域的一部分。一旦添加到域中，示例就开始工作了。

Answer 3

在这种情况下使用带有空域名的DOMAIN\LOGIN...