كيف يمكنك انتحال شخصية "Active Directory" المستخدم في باورشيل ؟
https://stackoverflow.com/questions/11806
-
08-06-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russianسؤال
أحاول تشغيل الأوامر powershell من خلال واجهة ويب (ASP.NET/C#) من أجل إنشاء علب البريد/الخ على Exchange 2007.عند تشغيل الصفحة باستخدام Visual Studio (كاسيني), تحميل الصفحة بشكل صحيح.ومع ذلك ، عند تشغيلها على IIS (v5.1) أحصل على خطأ "اسم المستخدم غير معروف أو كلمة مرور غير صالحة".المشكلة الأكبر أنني لاحظت أن Powershell تم تسجيل في ASPNET بدلا من حساب "Active Directory".كيف يمكنني القوة Powershell الدورة مصادقة مع آخر "Active Directory" الحساب ؟
في الأساس, السيناريو الذي لدي حتى الآن تبدو شيئا مثل هذا:
RunspaceConfiguration rc = RunspaceConfiguration.Create();
PSSnapInException snapEx = null;
rc.AddPSSnapIn("Microsoft.Exchange.Management.PowerShell.Admin", out snapEx);
Runspace runspace = RunspaceFactory.CreateRunspace(rc);
runspace.Open();
Pipeline pipeline = runspace.CreatePipeline();
using (pipeline)
{
pipeline.Commands.AddScript("Get-Mailbox -identity 'user.name'");
pipeline.Commands.Add("Out-String");
Collection<PSObject> results = pipeline.Invoke();
if (pipeline.Error != null && pipeline.Error.Count > 0)
{
foreach (object item in pipeline.Error.ReadToEnd())
resultString += "Error: " + item.ToString() + "\n";
}
runspace.Close();
foreach (PSObject obj in results)
resultString += obj.ToString();
}
return resultString;
المحلول 3
Exchange 2007 لا تسمح لك انتحال شخصية المستخدم لأسباب أمنية.هذا يعني أنه من المستحيل (في هذه اللحظة) إلى إنشاء علب البريد من خلال انتحال شخصية المستخدم.من أجل الحصول على حول هذه المشكلة, أنا خلقت خدمة ويب التي يتم تشغيلها ضمن الإعلان المستخدم الذي لديه أذونات لإنشاء البريد الإلكتروني acounts ، إلخ.ثم يمكنك الوصول إلى هذه ويب للوصول إلى powershell.يرجى تذكر أن إضافة الأمنية اللازمة لأن هذا يمكن أن يحتمل أن تكون ثغرة أمنية ضخمة.
نصائح أخرى
هنا هي الفئة التي تستخدم انتحال صفة مستخدم.
using System;
using System.Data;
using System.Configuration;
using System.Web;
using System.Web.Security;
using System.Web.UI;
using System.Web.UI.WebControls;
using System.Web.UI.WebControls.WebParts;
using System.Web.UI.HtmlControls;
namespace orr.Tools
{
#region Using directives.
using System.Security.Principal;
using System.Runtime.InteropServices;
using System.ComponentModel;
#endregion
/// <summary>
/// Impersonation of a user. Allows to execute code under another
/// user context.
/// Please note that the account that instantiates the Impersonator class
/// needs to have the 'Act as part of operating system' privilege set.
/// </summary>
/// <remarks>
/// This class is based on the information in the Microsoft knowledge base
/// article http://support.microsoft.com/default.aspx?scid=kb;en-us;Q306158
///
/// Encapsulate an instance into a using-directive like e.g.:
///
/// ...
/// using ( new Impersonator( "myUsername", "myDomainname", "myPassword" ) )
/// {
/// ...
/// [code that executes under the new context]
/// ...
/// }
/// ...
///
/// Please contact the author Uwe Keim (mailto:uwe.keim@zeta-software.de)
/// for questions regarding this class.
/// </remarks>
public class Impersonator :
IDisposable
{
#region Public methods.
/// <summary>
/// Constructor. Starts the impersonation with the given credentials.
/// Please note that the account that instantiates the Impersonator class
/// needs to have the 'Act as part of operating system' privilege set.
/// </summary>
/// <param name="userName">The name of the user to act as.</param>
/// <param name="domainName">The domain name of the user to act as.</param>
/// <param name="password">The password of the user to act as.</param>
public Impersonator(
string userName,
string domainName,
string password)
{
ImpersonateValidUser(userName, domainName, password);
}
// ------------------------------------------------------------------
#endregion
#region IDisposable member.
public void Dispose()
{
UndoImpersonation();
}
// ------------------------------------------------------------------
#endregion
#region P/Invoke.
[DllImport("advapi32.dll", SetLastError = true)]
private static extern int LogonUser(
string lpszUserName,
string lpszDomain,
string lpszPassword,
int dwLogonType,
int dwLogonProvider,
ref IntPtr phToken);
[DllImport("advapi32.dll", CharSet = CharSet.Auto, SetLastError = true)]
private static extern int DuplicateToken(
IntPtr hToken,
int impersonationLevel,
ref IntPtr hNewToken);
[DllImport("advapi32.dll", CharSet = CharSet.Auto, SetLastError = true)]
private static extern bool RevertToSelf();
[DllImport("kernel32.dll", CharSet = CharSet.Auto)]
private static extern bool CloseHandle(
IntPtr handle);
private const int LOGON32_LOGON_INTERACTIVE = 2;
private const int LOGON32_PROVIDER_DEFAULT = 0;
// ------------------------------------------------------------------
#endregion
#region Private member.
// ------------------------------------------------------------------
/// <summary>
/// Does the actual impersonation.
/// </summary>
/// <param name="userName">The name of the user to act as.</param>
/// <param name="domainName">The domain name of the user to act as.</param>
/// <param name="password">The password of the user to act as.</param>
private void ImpersonateValidUser(
string userName,
string domain,
string password)
{
WindowsIdentity tempWindowsIdentity = null;
IntPtr token = IntPtr.Zero;
IntPtr tokenDuplicate = IntPtr.Zero;
try
{
if (RevertToSelf())
{
if (LogonUser(
userName,
domain,
password,
LOGON32_LOGON_INTERACTIVE,
LOGON32_PROVIDER_DEFAULT,
ref token) != 0)
{
if (DuplicateToken(token, 2, ref tokenDuplicate) != 0)
{
tempWindowsIdentity = new WindowsIdentity(tokenDuplicate);
impersonationContext = tempWindowsIdentity.Impersonate();
}
else
{
throw new Win32Exception(Marshal.GetLastWin32Error());
}
}
else
{
throw new Win32Exception(Marshal.GetLastWin32Error());
}
}
else
{
throw new Win32Exception(Marshal.GetLastWin32Error());
}
}
finally
{
if (token != IntPtr.Zero)
{
CloseHandle(token);
}
if (tokenDuplicate != IntPtr.Zero)
{
CloseHandle(tokenDuplicate);
}
}
}
/// <summary>
/// Reverts the impersonation.
/// </summary>
private void UndoImpersonation()
{
if (impersonationContext != null)
{
impersonationContext.Undo();
}
}
private WindowsImpersonationContext impersonationContext = null;
// ------------------------------------------------------------------
#endregion
}
}
في ASP.NET التطبيق, سوف تحتاج إلى انتحال شخصية صالحة الإعلانية حساب مع الأذونات الصحيحة:
قد تحتاج إلى التصحيح.
من: http://support.microsoft.com/kb/943937
تطبيق لا يمكن انتحال شخصية المستخدم ثم قم بتشغيل Windows PowerShell الأوامر في بيئة Exchange Server 2007 البيئة
لحل هذه المشكلة تثبيت التحديث التراكمي 1 ل Exchange Server 2007 Service Pack 1.
هذه المادة على MSDN blogs يبدو لاظهار طريقة للقيام بذلك, لقد كنت قادرا على محاولة ذلك بعد, ولكن سوف تتيح لك معرفة عندما كنت لا.
