Einzelnen Beitrag anzeigen

CodeX

Registriert seit: 30. Okt 2004
458 Beiträge
 
Delphi 10.3 Rio
 
#1

Per ProcessId prüfen, ob der Benutzer Admin ist (oder: ProcessId -> UserTokenHandle)

  Alt 15. Aug 2014, 01:29
Ich habe heute sehr viel Zeit mit diesem Problem verbracht und weiß irgendwie nicht mehr weiter. Vielleicht ist es auch nur eine Kleinigkeit oder ein blöder Denkfehler.

Grundsätzliche Problemstellung: Aus einem Service heraus anhand der bereits vorhandenen ProcessId eines laufenden Programms herausfinden, ob der zugehörige Benutzer Mitglied der Administratorgruppe ist.

Im Programm wird die ProcessId per GetCurrentProcessId bestimmt und an den Service übermittelt (darauf habe ich nur bedingt Einfluss). Im Service muss ich nun mit dieser ProcessId arbeiten. Meine Herangehensweise ist nun, dass ich darüber das zugehörige UserToken bzw. das UserTokenHandle bestimme und dieses per MSDN-Library durchsuchenCheckTokenMembership prüfe.
Delphi-Quellcode:
// Variante 1 mit JWSCL (Jedi Security Library) (verkürzt):
  var UserToken: TJwSecurityToken;
  UserToken := TJwSecurityToken.CreateTokenByProcessId(ProcessId, MAXIMUM_ALLOWED);
  bAdmin := UserInGroup(DOMAIN_ALIAS_RID_ADMINS, UserToken.TokenHandle);

// Variante 2:
  var hProcessHandle, hUserToken: THandle;
  hProcessHandle := OpenProcess(PROCESS_ALL_ACCESS, False, ProcessId);
  if hProcessHandle <> 0 then
  try
    if OpenProcessToken(hProcessHandle, TOKEN_ALL_ACCESS, hUserToken) then
      bAdmin := UserInGroup(DOMAIN_ALIAS_RID_ADMINS, hUserToken);
  finally
    CloseHandle(hProcessHandle);
  end;
Die UserInGroup-Funktion stammt in dem Fall von hier, ich teste es aber parallel auch mit dieser etwas umfangreicheren TokenTools-Unit mit gleichem Ergebnis.

Der Benutzer wird einfach nicht als Admin erkannt. Vermutlich hat es mit dem Service nichts zu tun, denn ich habe die komplette Abfrage mal in eine normale Anwendung gepackt, mit dem gleichen Ergebnis, aber der Vollständigkeit halber sei die Service-Nutzung erwähnt. Interessant ist aber, dass wenn ich in der Anwendung 0 als UserTokenHandle (= User des aktuellen Prozesses) verwende, der Test vollständig wie gewünscht funktioniert (Erkennen von Admin und Nicht-Admin)! Ich deute es daher so, dass die UserInGroup-Funktion bzw. die TokenTools-Unit richtig funktionieren, aber irgendetwas mit dem erzeugten UserTokenHandle nicht stimmt (und zwar in beiden Varianten), oder auch schon GetCurrentProcessId der falsche Ansatz ist.

Ich hoffe, es weiß jemand Rat...
Nur Delphi schafft es, einem ein Lächeln zu schenken, wenn man sich beim Schreiben von := vertippt und stattdessen ein :) erscheint.
  Mit Zitat antworten Zitat