Разница между реальными и системными учетными записями пользователей

Question

Когда я получаю записи UserPrincipal / DirectoryEntry для компьютера или домена Active Directory, есть ли способ отличить системные учетные записи от реальных пользователей?

Например, jsmith - реальный пользователь, а ASPNET или IUSR_machine - нет. Но полагаться на жестко закодированные известные имена, кажется, не лучший способ отфильтровать пользователей системы, потому что могут быть и другие учетные записи. Есть ли лучший способ?

Например, может быть, есть флаг «можно войти в систему в интерактивном режиме», или, обнаружив, проверив, что пароль установлен, и т. Д.

Answer 1

Образцы учетных записей, которые вы перечисляете, для всех намерений и целей функционально совпадают с учетной записью пользователя, которую вы создаете для указанного лица.

Answer 2

Попробуйте использовать свойство "samaccountname" , чтобы исключить учетные записи, которые не предназначены для пользователей или групп.

Answer 3

Попробуйте методы Win32 LookupAccountName и LookupAccountSid.Последний параметр (называемый accountType) заполняется типом учетной записи, когда функция возвращает.

 [SecurityPermission(SecurityAction.Demand, UnmanagedCode = true)]
 [ReliabilityContract(Consistency.WillNotCorruptState, Cer.MayFail)]
 [DllImport("advapi32.dll", SetLastError = true, CharSet = CharSet.Unicode)]
 [return: MarshalAs(UnmanagedType.Bool)]
 public static extern bool LookupAccountSid(
        [In] string systemName,
        [In, MarshalAs(UnmanagedType.LPArray)] byte[] sid,
        [Out] StringBuilder name,
        [In, Out] ref uint nameLength,
        [Out] StringBuilder referencedDomainName,
        [In, Out] ref uint referencedDomainNameLength,
        [Out] out AccountType accountType);

 [SecurityPermission(SecurityAction.Demand, UnmanagedCode = true)]
 [ReliabilityContract(Consistency.WillNotCorruptState, Cer.MayFail)]
 [DllImport("advapi32.dll", SetLastError = true, CharSet = CharSet.Unicode)]
 [return: MarshalAs(UnmanagedType.Bool)]
 public static extern bool LookupAccountName(
        [In] string systemName,
        [In] string accountName,
        [Out, MarshalAs(UnmanagedType.LPArray)] byte[] sid,
        [In, Out] ref uint sidSize,
        [Out] StringBuilder referencedDomainName,
        [In, Out] ref uint referencedDomainNameLength,
        [Out] out AccountType accountType);


/// <summary>
/// Defines the various account types of a Windows accunt
/// </summary>
public enum AccountType
{
    /// <summary>
    /// No account type
    /// </summary>
    None = 0,
    /// <summary>
    /// The account is a user
    /// </summary>
    User,
    /// <summary>
    /// The account is a security group
    /// </summary>
    Group,
    /// <summary>
    /// The account defines a domain
    /// </summary>
    Domain,
    /// <summary>
    /// The account is an alias
    /// </summary>
    Alias,
    /// <summary>
    /// The account is a well-known group, such as BUILTIN\Administrators
    /// </summary>
    WellknownGroup,
    /// <summary>
    /// The account was deleted
    /// </summary>
    DeletedAccount,
    /// <summary>
    /// The account is invalid
    /// </summary>
    Invalid,
    /// <summary>
    /// The type of the account is unknown
    /// </summary>
    Unknown,
    /// <summary>
    /// The account is a computer account
    /// </summary>
    Computer,
    Label
}