Wie imitieren Sie einen Active Directory-Benutzer in Powershell?
https://stackoverflow.com/questions/11806
-
08-06-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianFrage
Ich versuche, Powershell-Befehle über eine Webschnittstelle (ASP.NET/C#) auszuführen, um Postfächer usw. in Exchange 2007 zu erstellen.Wenn ich die Seite mit Visual Studio (Cassini) ausführe, wird die Seite korrekt geladen.Wenn ich es jedoch unter IIS (v5.1) ausführe, erhalte ich die Fehlermeldung „Unbekannter Benutzername oder falsches Passwort“.Das größte Problem, das mir aufgefallen ist, war, dass Powershell als ASPNET und nicht als mein Active Directory-Konto angemeldet war.Wie erzwinge ich die Authentifizierung meiner Powershell-Sitzung mit einem anderen Active Directory-Konto?
Im Grunde sieht das Skript, das ich bisher habe, ungefähr so aus:
RunspaceConfiguration rc = RunspaceConfiguration.Create();
PSSnapInException snapEx = null;
rc.AddPSSnapIn("Microsoft.Exchange.Management.PowerShell.Admin", out snapEx);
Runspace runspace = RunspaceFactory.CreateRunspace(rc);
runspace.Open();
Pipeline pipeline = runspace.CreatePipeline();
using (pipeline)
{
pipeline.Commands.AddScript("Get-Mailbox -identity 'user.name'");
pipeline.Commands.Add("Out-String");
Collection<PSObject> results = pipeline.Invoke();
if (pipeline.Error != null && pipeline.Error.Count > 0)
{
foreach (object item in pipeline.Error.ReadToEnd())
resultString += "Error: " + item.ToString() + "\n";
}
runspace.Close();
foreach (PSObject obj in results)
resultString += obj.ToString();
}
return resultString;
Lösung 3
Aus Sicherheitsgründen ist es in Exchange 2007 nicht möglich, sich als Benutzer auszugeben.Dies bedeutet, dass es (im Moment) nicht möglich ist, Postfächer zu erstellen, indem man sich als Benutzer ausgibt.Um dieses Problem zu umgehen, habe ich einen Webdienst erstellt, der unter einem AD-Benutzer ausgeführt wird, der über Berechtigungen zum Erstellen von E-Mail-Konten usw. verfügt.Sie können dann auf diesen Webservice zugreifen, um Zugriff auf Powershell zu erhalten.Bitte denken Sie daran, die erforderliche Sicherheit hinzuzufügen, da dies möglicherweise eine große Sicherheitslücke darstellen könnte.
Andere Tipps
Hier ist eine Klasse, die ich verwende, um die Identität eines Benutzers zu imitieren.
using System;
using System.Data;
using System.Configuration;
using System.Web;
using System.Web.Security;
using System.Web.UI;
using System.Web.UI.WebControls;
using System.Web.UI.WebControls.WebParts;
using System.Web.UI.HtmlControls;
namespace orr.Tools
{
#region Using directives.
using System.Security.Principal;
using System.Runtime.InteropServices;
using System.ComponentModel;
#endregion
/// <summary>
/// Impersonation of a user. Allows to execute code under another
/// user context.
/// Please note that the account that instantiates the Impersonator class
/// needs to have the 'Act as part of operating system' privilege set.
/// </summary>
/// <remarks>
/// This class is based on the information in the Microsoft knowledge base
/// article http://support.microsoft.com/default.aspx?scid=kb;en-us;Q306158
///
/// Encapsulate an instance into a using-directive like e.g.:
///
/// ...
/// using ( new Impersonator( "myUsername", "myDomainname", "myPassword" ) )
/// {
/// ...
/// [code that executes under the new context]
/// ...
/// }
/// ...
///
/// Please contact the author Uwe Keim (mailto:uwe.keim@zeta-software.de)
/// for questions regarding this class.
/// </remarks>
public class Impersonator :
IDisposable
{
#region Public methods.
/// <summary>
/// Constructor. Starts the impersonation with the given credentials.
/// Please note that the account that instantiates the Impersonator class
/// needs to have the 'Act as part of operating system' privilege set.
/// </summary>
/// <param name="userName">The name of the user to act as.</param>
/// <param name="domainName">The domain name of the user to act as.</param>
/// <param name="password">The password of the user to act as.</param>
public Impersonator(
string userName,
string domainName,
string password)
{
ImpersonateValidUser(userName, domainName, password);
}
// ------------------------------------------------------------------
#endregion
#region IDisposable member.
public void Dispose()
{
UndoImpersonation();
}
// ------------------------------------------------------------------
#endregion
#region P/Invoke.
[DllImport("advapi32.dll", SetLastError = true)]
private static extern int LogonUser(
string lpszUserName,
string lpszDomain,
string lpszPassword,
int dwLogonType,
int dwLogonProvider,
ref IntPtr phToken);
[DllImport("advapi32.dll", CharSet = CharSet.Auto, SetLastError = true)]
private static extern int DuplicateToken(
IntPtr hToken,
int impersonationLevel,
ref IntPtr hNewToken);
[DllImport("advapi32.dll", CharSet = CharSet.Auto, SetLastError = true)]
private static extern bool RevertToSelf();
[DllImport("kernel32.dll", CharSet = CharSet.Auto)]
private static extern bool CloseHandle(
IntPtr handle);
private const int LOGON32_LOGON_INTERACTIVE = 2;
private const int LOGON32_PROVIDER_DEFAULT = 0;
// ------------------------------------------------------------------
#endregion
#region Private member.
// ------------------------------------------------------------------
/// <summary>
/// Does the actual impersonation.
/// </summary>
/// <param name="userName">The name of the user to act as.</param>
/// <param name="domainName">The domain name of the user to act as.</param>
/// <param name="password">The password of the user to act as.</param>
private void ImpersonateValidUser(
string userName,
string domain,
string password)
{
WindowsIdentity tempWindowsIdentity = null;
IntPtr token = IntPtr.Zero;
IntPtr tokenDuplicate = IntPtr.Zero;
try
{
if (RevertToSelf())
{
if (LogonUser(
userName,
domain,
password,
LOGON32_LOGON_INTERACTIVE,
LOGON32_PROVIDER_DEFAULT,
ref token) != 0)
{
if (DuplicateToken(token, 2, ref tokenDuplicate) != 0)
{
tempWindowsIdentity = new WindowsIdentity(tokenDuplicate);
impersonationContext = tempWindowsIdentity.Impersonate();
}
else
{
throw new Win32Exception(Marshal.GetLastWin32Error());
}
}
else
{
throw new Win32Exception(Marshal.GetLastWin32Error());
}
}
else
{
throw new Win32Exception(Marshal.GetLastWin32Error());
}
}
finally
{
if (token != IntPtr.Zero)
{
CloseHandle(token);
}
if (tokenDuplicate != IntPtr.Zero)
{
CloseHandle(tokenDuplicate);
}
}
}
/// <summary>
/// Reverts the impersonation.
/// </summary>
private void UndoImpersonation()
{
if (impersonationContext != null)
{
impersonationContext.Undo();
}
}
private WindowsImpersonationContext impersonationContext = null;
// ------------------------------------------------------------------
#endregion
}
}
In Ihrer ASP.NET-App müssen Sie sich als gültiges AD-Konto mit den richtigen Berechtigungen ausgeben:
Möglicherweise benötigen Sie einen Patch.
Aus: http://support.microsoft.com/kb/943937
Eine Anwendung kann nicht als Benutzer ausbucht und dann Windows PowerShell -Befehle in einer Exchange Server 2007 -Umgebung ausführen
Um dieses Problem zu beheben, installieren Sie Update Rollup 1 für Exchange Server 2007 Service Pack 1.
Dieser Artikel auf MSDN-Blogs scheint einen Weg aufzuzeigen, dies zu tun. Ich konnte es noch nicht ausprobieren, werde Sie aber informieren, wenn ich es tue.
