Question

我们刚刚为用户提供了一个新的用户创建应用程序。然而,这些用户需要有能力通过应用程序创建用户,即使他们自己没有创建用户的权限。

在 C# 中, 您如何冒充另一个用户来拥有此功能。此应用程序主要使用 < code> System. stirty services 。

代码片断 :

DirectoryEntry dEntry = new DirectoryEntry("LDAP://OU=");
DirectorySearcher dSearcher = new DirectorySearcher(dEntry);
//filter just user objects
dSearcher.SearchScope = SearchScope.Subtree;
dSearcher.Filter = "(&(objectClass=user)(mail=" + excel_Holding_Table.Rows[i]["EmailAddress"].ToString() + "))";
dSearcher.PageSize = 1000;
sResults = dSearcher.FindAll();

Answer 1

您可以使用 ", http://msdn.microsoft.com/ en- us/library/ system. directoryservices. directoryentry.aspx" rel = “不跟随 noreferrer"\ code > DistryEntry 类, 并直接指定用户名和密码 :

DirectoryEntry de = new DirectoryEntry(path);

de.Username = "username";
de.Password = "password";

从对象访问活动目录。或者您可以使用 WindowsIndentity 类, 并冒充用户 :

WindowsIdentity newId = new WindowsIdentity(safeTokenHandle.DangerousGetHandle());
WindowsImpersonationContext impersonatedUser = newId.Impersonate();

可在下列地点获得完整的代码样本:

< a href=" "https://stackoverflow.com/ questions/8957886/impentation-and-directoryentry" > 扩展和目录 Entry

Answer 2

使用 < a href=" "http://msdn.microsoft.com/en-us/library/wh2h7eed.aspx" rel = "no follow" > DistricentyEntry 构建器,使用用户名、密码和认证Type参数。

除此以外, IntientyEntry BirtySearcher 和 Searcher 和 SearchResult Collection 类型是 IDisposable - 您需要用 使用 语句进行处置。

Answer 3

使用目录 Entry 构造器( string, String, String, String, String, String, String, 验证类型), 该构造器使用用户名和密码而不是冒名顶替。

DirectoryEntry directoryEntry = new DirectoryEntry("IIS://" + serverName + "/W3SVC/1/Root", @"domainusername", "password", AuthenticationTypes.Secure | AuthenticationTypes.Sealing);

https://stackoverflow.com/ questions/9620566/impermanate-not-work-for-directoryservices><参考

Answer 4

您可以使用特许证书连接AD或冒充特权用户,如其他答复所示。

但这涉及安全问题,因为这意味着你的用户可以将这些特权证书用于其他非授权目的。

更安全的解决办法是创建在服务账户下运行的网络服务,并有适当的自动识别许可。用户可以使用 Windows 认证对网络服务进行认证,而网络服务将代表用户创建用户。它可以使用授权来限制用户可以做什么(例如,仅在自己的部门创建用户 ) 。

友情链接