使用 LOGON32_LOGON_NEW_CREDENTIALS 的 LogonUser 适用于远程不受信任的域机器

Question

所以在两台机器之间，没有信任——它们在不同的域中。

我已使用登录类型 LOGON32_LOGON_NEW_CREDENTIALS 使用 LogonUser API 成功连接到远程计算机。我能够使用 UNC 共享检索目录的内容，并创建一个文件流来“下载”该文件。到目前为止一切顺利。

唯一的问题是，除非有一个已经打开的会话，否则 LogonUser 似乎会失败。让我澄清一下。

今天早上我发现 ASP.NET MVC 页面无法正常工作，特别是使用 LogonUser 从该远程计算机检索文件列表的页面。我查看日志并在堆栈跟踪中看到 System.IO.__Error.WinIOError 上面的 Directory.GetFiles 调用。然后，我远程访问 Web 服务器，并尝试使用与网站相同的登录名/密码在资源管理器中打开远程文件夹。它通过了，我可以看到文件。我打开命令提示符，输入net use，我看到远程机器的连接打开了。然后我回到页面，突然页面又开始工作了。

因此，在这一点上，我不确定 LogonUser 是否按预期工作。如果调用需要先通过其他方式打开网络连接，那么这肯定不能令人满意。

有谁知道可能发生的情况或建议解决方法？

Answer 1

我不确定我是否理解您为什么使用LogonUser。如果您想使用其他用户凭据在 本地 计算机上执行某些工作，此功能可为您提供帮助，但它有助于不与另一台计算机建立远程连接。

如果您想从远程计算机获取一些独立于计算机之间现有信任的信息，您应该使用 WNet 或 Net（网络管理）功能来建立与远程计算机的新连接。所以你应该使用WNetAddConnection2（见http://msdn.microsoft.com/en-us/library/aa385413%28VS.85%29.aspx）或NetUseAdd（http://msdn.microsoft.com/en-us/library/aa370645%28VS.85%29.aspx）函数。此功能将在目标计算机上进行远程登录并建立一个新会话（确切地说是net use \\computer\share /u:domain\user password 所做的）。您不能将新连接映射到本地驱动器。为此，您应该在结构NETRESOURCE 中用NULL 填充lpLocalName。作为lpUsername 和lpPassword，您应该给出任何可以理解目标计算机的值。您也可以使用ipc$ 作为目标共享名称，然后您只需建立与计算机的会话即可。之后，您可以使用任何其他功能访问远程共享、目录或文件。要关闭会话，您应该使用 WNetCancelConnection2 或 NetUseDel。

Answer 2

这就是您登录用户到远程计算机的方式。确保您使用的是 LOGON32_LOGON_NEW_CREDENTIALS、LOGON32_PROVIDER_WINNT50。然后模拟令牌。在没有 WNetAddConnection2 的情况下，您应该能够以这种方式执行很多远程操作。 WNetAddConnection2 不是很好，因为连接会被很多东西破坏。 LogonUser 也会在多个 api 调用需要时进行适当的连接。

PXERR impersonate_user(LPCWSTR lpszUserName, LPCWSTR lpszDomain, LPCWSTR lpszPassword)
{
    HANDLE token;

    if(!LogonUserW(lpszUserName, lpszDomain, lpszPassword, LOGON32_LOGON_NEW_CREDENTIALS, LOGON32_PROVIDER_WINNT50, &token))
    {
        return PXERR_IMPERSONATION_FAILURE;
    }

    if(!ImpersonateLoggedOnUser(token))
    {
        CloseHandle(token);
        RevertToSelf();
        return PXERR_IMPERSONATION_FAILURE;
    }

    CloseHandle(token);

    return PXERR_SUCCESS;
}