快速获得群组成员资格

Question

我试图弄清楚当前的 windows 用户是本地管理员还是可以使用 UAC 来“获得”该组成员身份。

到目前为止，我的想法是这样的：

var adminIdentifier = new SecurityIdentifier("S-1-5-32-544");
var current = WindowsIdentity.GetCurrent();
bool isAdmin = current.Groups.Contains(adminIdentifier);
bool canBeAdmin = isAdmin;

if (!isAdmin)
{
    var adminGroupName = adminIdentifier.Translate(typeof(NTAccount)).Value;
    adminGroupName = adminGroupName.Substring(adminGroupName.LastIndexOf('\\'));
    string path = "WinNT://./" + adminGroupName + ",group";

    using (DirectoryEntry groupEntry = new DirectoryEntry(path))
    {
      foreach (object member in (IEnumerable)groupEntry.Invoke("Members"))
      {
        using (DirectoryEntry memberEntry = new DirectoryEntry(member))
        {
              object obVal = memberEntry.Properties["objectSid"].Value;
              SecurityIdentifier sid = null;
              if (null != obVal)
              {
                 sid = new SecurityIdentifier((Byte[])obVal,0);
              }

              canBeAdmin = Equals(current.User, sid);
              if (canBeAdmin)
                break;
        }
     }
   }
 }
 Console.WriteLine(canBeAdmin +" "+isAdmin);

此解决方案需要几毫秒的计算时间。比我之前尝试的基于 System.DirectoryServices.AccountManagement 的方法快得多。

不过，还有最后一件事让我感到困扰。我必须将管理组的 SecurityIdentifier 转换为名称。应该有办法得到 DirectoryEntry 直接使用 SID。根据谷歌的说法，这应该可行：

string path = "LDAP://<SID=" + adminIdentifier.ToString() + ">";

但是，这似乎不起作用。知道语法应该是什么样子吗？

Answer 1

你试过WindowsPrincipal.IsInRole吗？

WindowsPrincipal wp = new WindowsPrincipal(WindowsIdentity.GetCurrent());
wp.IsInRole(new SecurityIdentifier("S-1-5-32-544"));
wp.IsInRole(WindowsBuiltInRole.Administrator);

Answer 2

您是否尝试过在当前用户对应的 UserPrincipal 对象上使用GetAuthorizationGroups？如果 GetAuthorizationGroups 不包含机器本地组，您可能必须检查用户是否直接在本地管理员组中，或者本地管理员组是否包含用户所在的任何授权组。我没有在机器上下文中尝试过这个，所以我不确定如果它在使用时不使用域/全局/通用组计算本地组成员身份，是否还需要搜索域上下文以查找后一个匹配项机器上下文。

Answer 3

这应该是你想要的，除非我误解了：

var groupName = adminIdentifier.Translate(typeof(NTAccount)).Value;