Bepalen of een Thread wordt uitgevoerd in de gebruikerscontext van de lokale Administrator-Account

BELANGRIJK: Dit artikel is vertaald door de vertaalmachine software van Microsoft in plaats van door een professionele vertaler. Microsoft biedt u professioneel vertaalde artikelen en artikelen vertaald door de vertaalmachine, zodat u toegang heeft tot al onze knowledge base artikelen in uw eigen taal. Artikelen vertaald door de vertaalmachine zijn niet altijd perfect vertaald. Deze artikelen kunnen fouten bevatten in de vocabulaire, zinsopbouw en grammatica en kunnen lijken op hoe een anderstalige de taal spreekt en schrijft. Microsoft is niet verantwoordelijk voor onnauwkeurigheden, fouten en schade ontstaan door een incorrecte vertaling van de content of het gebruik ervan door onze klanten. Microsoft past continue de kwaliteit van de vertaalmachine software aan door deze te updaten.

De Engelstalige versie van dit artikel is de volgende: 118626
Samenvatting
Om te bepalen of een thread wordt uitgevoerd onder een lokale Administrator-account hebt onderzoeken toegangstoken is gekoppeld met de thread. Dit artikel wordt beschreven hoe u dit doet.

Met Windows 2000 en latere versies, kunt u de CheckTokenMembership() API in plaats van de stappen in dit artikel beschreven. Voor meer informatie, Zie de Microsoft Platform SDK-documentatie.
Meer informatie
Het token dat is gekoppeld aan een thread is standaard die van haar met proces. Deze gebruikerscontext"" wordt vervangen door een token dat rechtstreeks is aangesloten op de thread. Daarom een thread bepalen context van de gebruiker, u moet eerst probeert te verkrijgen van een token voor de thread met de functie OpenThreadToken . Deze methode mislukt als de functie GetLastError rapporteert ERROR_NO_TOKEN, en vervolgens kunt u de token verkrijgen voor het proces met de functie OpenProcessToken .

Na het verkrijgen van het token van de huidige gebruiker, kunt u de functie AccessCheck detecteren of de gebruiker een beheerder is. Doen Dit als volgt:
 1. Een beveiligings-id (SID) voor de lokale maken de beheerdersgroep met behulp van de functie AllocateAndInitializeSid .
 2. Een nieuwe security descriptor (SD) samen met een Discretionaire lijst (Discretionary Access Control) dat een vermelding bevat (Optimaal) voor de groep administrator SID.
 3. AccessCheck bellen met het token van de huidige gebruiker en het nieuwe samengestelde SD om te bepalen of de gebruiker een beheerder is.
De volgende code gebruikt de functies die worden vermeld eerder in dit artikel om te controleren of de huidige thread wordt uitgevoerd als een gebruiker wie is een beheerder op de lokale computer.

Voorbeeldcode

#include <windows.h>#include <stdio.h>#include <lmcons.h>BOOL IsCurrentUserLocalAdministrator(void);void main(int argc, char **argv){  if (IsCurrentUserLocalAdministrator())   printf("You are an administrator\n");  else   printf("You are not an administrator\n");}/*--------------------------------------------------------------------------IsCurrentUserLocalAdministrator ()This function checks the token of the calling thread to see if the callerbelongs to the Administrators group.Return Value:  TRUE if the caller is an administrator on the local machine.  Otherwise, FALSE.--------------------------------------------------------------------------*/BOOL IsCurrentUserLocalAdministrator(void){  BOOL  fReturn     = FALSE;  DWORD dwStatus;  DWORD dwAccessMask;  DWORD dwAccessDesired;  DWORD dwACLSize;  DWORD dwStructureSize = sizeof(PRIVILEGE_SET);  PACL  pACL      = NULL;  PSID  psidAdmin    = NULL;  HANDLE hToken       = NULL;  HANDLE hImpersonationToken = NULL;  PRIVILEGE_SET  ps;  GENERIC_MAPPING GenericMapping;  PSECURITY_DESCRIPTOR   psdAdmin      = NULL;  SID_IDENTIFIER_AUTHORITY SystemSidAuthority = SECURITY_NT_AUTHORITY;  /*   Determine if the current thread is running as a user that is a member of   the local admins group. To do this, create a security descriptor that   has a DACL which has an ACE that allows only local aministrators access.   Then, call AccessCheck with the current thread's token and the security   descriptor. It will say whether the user could access an object if it   had that security descriptor. Note: you do not need to actually create   the object. Just checking access against the security descriptor alone   will be sufficient.  */  const DWORD ACCESS_READ = 1;  const DWORD ACCESS_WRITE = 2;  __try  {   /*     AccessCheck() requires an impersonation token. We first get a primary     token and then create a duplicate impersonation token. The     impersonation token is not actually assigned to the thread, but is     used in the call to AccessCheck. Thus, this function itself never     impersonates, but does use the identity of the thread. If the thread     was impersonating already, this function uses that impersonation context.   */   if (!OpenThreadToken(GetCurrentThread(), TOKEN_DUPLICATE|TOKEN_QUERY, TRUE, &hToken))   {     if (GetLastError() != ERROR_NO_TOKEN)      __leave;     if (!OpenProcessToken(GetCurrentProcess(), TOKEN_DUPLICATE|TOKEN_QUERY, &hToken))      __leave;   }   if (!DuplicateToken (hToken, SecurityImpersonation, &hImpersonationToken))     __leave;   /*    Create the binary representation of the well-known SID that    represents the local administrators group. Then create the security    descriptor and DACL with an ACE that allows only local admins access.    After that, perform the access check. This will determine whether    the current user is a local admin.   */   if (!AllocateAndInitializeSid(&SystemSidAuthority, 2,                  SECURITY_BUILTIN_DOMAIN_RID,                  DOMAIN_ALIAS_RID_ADMINS,                  0, 0, 0, 0, 0, 0, &psidAdmin))     __leave;   psdAdmin = LocalAlloc(LPTR, SECURITY_DESCRIPTOR_MIN_LENGTH);   if (psdAdmin == NULL)     __leave;   if (!InitializeSecurityDescriptor(psdAdmin, SECURITY_DESCRIPTOR_REVISION))     __leave;   // Compute size needed for the ACL.   dwACLSize = sizeof(ACL) + sizeof(ACCESS_ALLOWED_ACE) +         GetLengthSid(psidAdmin) - sizeof(DWORD);   pACL = (PACL)LocalAlloc(LPTR, dwACLSize);   if (pACL == NULL)     __leave;   if (!InitializeAcl(pACL, dwACLSize, ACL_REVISION2))     __leave;   dwAccessMask= ACCESS_READ | ACCESS_WRITE;   if (!AddAccessAllowedAce(pACL, ACL_REVISION2, dwAccessMask, psidAdmin))     __leave;   if (!SetSecurityDescriptorDacl(psdAdmin, TRUE, pACL, FALSE))     __leave;   /*     AccessCheck validates a security descriptor somewhat; set the group     and owner so that enough of the security descriptor is filled out to     make AccessCheck happy.   */   SetSecurityDescriptorGroup(psdAdmin, psidAdmin, FALSE);   SetSecurityDescriptorOwner(psdAdmin, psidAdmin, FALSE);   if (!IsValidSecurityDescriptor(psdAdmin))     __leave;   dwAccessDesired = ACCESS_READ;   /*     Initialize GenericMapping structure even though you     do not use generic rights.   */   GenericMapping.GenericRead  = ACCESS_READ;   GenericMapping.GenericWrite  = ACCESS_WRITE;   GenericMapping.GenericExecute = 0;   GenericMapping.GenericAll   = ACCESS_READ | ACCESS_WRITE;   if (!AccessCheck(psdAdmin, hImpersonationToken, dwAccessDesired,            &GenericMapping, &ps, &dwStructureSize, &dwStatus,            &fReturn))   {     fReturn = FALSE;     __leave;   }  }  __finally  {   // Clean up.   if (pACL) LocalFree(pACL);   if (psdAdmin) LocalFree(psdAdmin);   if (psidAdmin) FreeSid(psidAdmin);   if (hImpersonationToken) CloseHandle (hImpersonationToken);   if (hToken) CloseHandle (hToken);  }  return fReturn;}

Waarschuwing: dit artikel is automatisch vertaald

Eigenschappen

Artikel-id: 118626 - Laatst bijgewerkt: 07/10/2012 10:01:00 - Revisie: 6.0

Microsoft Win32-API

 • kbapi kbhowto kbkernbase kbsecurity kbmt KB118626 KbMtnl
Feedback