Проверьте, является ли текущий пользователь администратором

Question

Мое приложение должно запускать некоторые сценарии, и я должен быть уверен, что пользователь, выполняющий их, является администратором ... Каков наилучший способ сделать это с помощью C #?

Answer 1

using System.Security.Principal;

public static bool IsAdministrator()
{
    using (WindowsIdentity identity = WindowsIdentity.GetCurrent())
    {
        WindowsPrincipal principal = new WindowsPrincipal(identity);
        return principal.IsInRole(WindowsBuiltInRole.Administrator);
    }
}

Answer 2

return new WindowsPrincipal(WindowsIdentity.GetCurrent())
    .IsInRole(WindowsBuiltInRole.Administrator);

Answer 3

Ответы выше с IsInRole на самом деле верны: он проверяет, есть ли у текущего пользователя права администратора.Однако

Начиная с Windows Vista, контроль учетных записей (UAC) определяет привилегии пользователя.Если вы являетесь участником группы «Встроенные администраторы», вам назначаются два токена доступа во время выполнения: стандартный токен доступа пользователя и токен доступа администратора.По умолчанию вы находитесь в роли стандартного пользователя.

(из MSDN, например https://msdn.microsoft.com/en-us/library/system.diagnostics.eventlogpermission(v=vs.110).aspx)

Таким образом, IsInRole по умолчанию будет учитывать привилегию пользователя и, следовательно, методвернуть false. Только true, если программа явно запущена от имени администратора.

Другой метод проверки AD в https://ayende.com/blog/158401/are-you-an-administrator проверит, входит ли имя пользователя в группу администраторов.

Мой полный метод, объединяющий оба способа, выглядит следующим образом:

    public static bool IsCurrentUserAdmin(bool checkCurrentRole = true)
    {
        bool isElevated = false;

        using (WindowsIdentity identity = WindowsIdentity.GetCurrent())
        {
            if (checkCurrentRole)
            {
                // Even if the user is defined in the Admin group, UAC defines 2 roles: one user and one admin. 
                // IsInRole consider the current default role as user, thus will return false!
                // Will consider the admin role only if the app is explicitly run as admin!
                WindowsPrincipal principal = new WindowsPrincipal(identity);
                isElevated = principal.IsInRole(WindowsBuiltInRole.Administrator);
            }
            else
            {
                // read all roles for the current identity name, asking ActiveDirectory
                isElevated = IsAdministratorNoCache(identity.Name);
            }
        }

        return isElevated;
    }

    /// <summary>
    /// Determines whether the specified user is an administrator.
    /// </summary>
    /// <param name="username">The user name.</param>
    /// <returns>
    ///   <c>true</c> if the specified user is an administrator; otherwise, <c>false</c>.
    /// </returns>
    /// <seealso href="https://ayende.com/blog/158401/are-you-an-administrator"/>
    private static bool IsAdministratorNoCache(string username)
    {
        PrincipalContext ctx;
        try
        {
            Domain.GetComputerDomain();
            try
            {
                ctx = new PrincipalContext(ContextType.Domain);
            }
            catch (PrincipalServerDownException)
            {
                // can't access domain, check local machine instead 
                ctx = new PrincipalContext(ContextType.Machine);
            }
        }
        catch (ActiveDirectoryObjectNotFoundException)
        {
            // not in a domain
            ctx = new PrincipalContext(ContextType.Machine);
        }
        var up = UserPrincipal.FindByIdentity(ctx, username);
        if (up != null)
        {
            PrincipalSearchResult<Principal> authGroups = up.GetAuthorizationGroups();
            return authGroups.Any(principal =>
                                  principal.Sid.IsWellKnown(WellKnownSidType.BuiltinAdministratorsSid) ||
                                  principal.Sid.IsWellKnown(WellKnownSidType.AccountDomainAdminsSid) ||
                                  principal.Sid.IsWellKnown(WellKnownSidType.AccountAdministratorSid) ||
                                  principal.Sid.IsWellKnown(WellKnownSidType.AccountEnterpriseAdminsSid));
        }
        return false;
    }

Для пользователя в группе администраторов без повышенных привилегий (UAC включен) этот метод IsCurrentUserAdmin () return! CheckCurrentRole: true, если checkCurrentRole == false, но falseif checkCurrentRole == true

Если вы запускаете код, который требует привилегий администратора, рассмотрите checkCurrentRole == true. В противном случае вы получите исключение безопасности к этому времени. Поэтому правильный IsInRole логика.

Answer 4

Вы также можете позвонить в Windows API, чтобы сделать это:

[DllImport("shell32.dll", SetLastError=true)]
[return: MarshalAs(UnmanagedType.Bool)]
static extern bool IsUserAnAdmin();

, что более обобщенно говорит вам, работает ли пользователь с повышенными правами.

Answer 5

Просто подумал, что добавлю другое решение;IsInRole не всегда работает.

• Если пользователь не является членом указанной группы пользователей Windows в текущем сеансе.
• Администратор внес измененияв параметрах групповой политики
• Параметр роли обрабатывается как метод с учетом регистра.
• И если на компьютере с XP не установлена ​​версия .NET Framework, он не будет работать.

В зависимости от ваших потребностей, если вам необходимо поддерживать старые системы;или не уверены, как ваш клиент физически управляет вашей системой.Это решение, которое я реализовал;для гибкости и изменений.

class Elevated_Rights
    {

        // Token Bool:
        private bool _level = false;

        #region Constructor:

        protected Elevated_Rights()
        {

            // Invoke Method On Creation:
            Elevate();

        }

        #endregion

        public void Elevate()
        {

            // Get Identity:
            WindowsIdentity user = WindowsIdentity.GetCurrent();

            // Set Principal
            WindowsPrincipal role = new WindowsPrincipal(user);

            #region Test Operating System for UAC:

            if (Environment.OSVersion.Platform != PlatformID.Win32NT || Environment.OSVersion.Version.Major < 6)
            {

                // False:
                _level = false;

                // Todo: Exception/ Exception Log

            }

            #endregion

            else
            {

                #region Test Identity Not Null:

                if (user == null)
                {

                    // False:
                    _level = false;

                    // Todo: "Exception Log / Exception"

                }

                #endregion

                else
                {

                    #region Ensure Security Role:

                    if (!(role.IsInRole(WindowsBuiltInRole.Administrator)))
                    {

                        // False:
                        _level = false;

                        // Todo: "Exception Log / Exception"

                    }

                    else
                    {

                        // True:
                        _level = true;

                    }

                    #endregion


                } // Nested Else 'Close'

            } // Initial Else 'Close'

        } // End of Class.

Таким образом, приведенный выше код имеет несколько конструкций;это фактически проверит, чтобы видеть, является ли Пользователь на Vista или выше.Таким образом, если клиент использует XP без фреймворка или бета-фреймворка много лет назад, это позволит вам изменить то, что вы хотели бы сделать.

Затем он будет физически тестироваться, чтобы избежать нулевого значения для учетной записи..

Затем последним будет предоставлена ​​проверка, чтобы убедиться, что пользователь действительно играет правильную роль.

Я знаю, что на вопрос дан ответ;но я думал, что мое решение будет отличным дополнением к странице для всех, кто ищет в стеке.Мои рассуждения о Защищенном конструкторе позволили бы вам использовать этот класс в качестве производного класса, который вы могли бы контролировать состояние, когда создается экземпляр класса.

Answer 6

Я должен быть уверен, что пользователь, выполняющий их, является администратором

Если ваше приложение должно выполняться с правами администратора, было бы правильно обновить его манифест. Установите requestedExecutionlevel на requireAdminstrator.