检查当前用户是否为管理员

时间:2010-08-30 12:34:38

标签: c# windows-administration

我的应用程序需要运行一些脚本,我必须确保运行它们的用户是管理员...使用C#执行此操作的最佳方法是什么?

8 个答案:

答案 0 :(得分:82)

using System.Security.Principal;

public static bool IsAdministrator()
{
    using (WindowsIdentity identity = WindowsIdentity.GetCurrent())
    {
        WindowsPrincipal principal = new WindowsPrincipal(identity);
        return principal.IsInRole(WindowsBuiltInRole.Administrator);
    }
}

答案 1 :(得分:27)

return new WindowsPrincipal(WindowsIdentity.GetCurrent())
    .IsInRole(WindowsBuiltInRole.Administrator);

答案 2 :(得分:9)

IsInRole 的上述答案实际上是正确的:它会检查当前用户是否具有管理员权限。 然而,

  

从Windows Vista开始,用户帐户控制(UAC)确定用户的权限。如果您是内置管理员组的成员,则会为您分配两个运行时访问令牌:标准用户访问令牌和管理员访问令牌。默认情况下,您处于标准用户角色。

(来自MSDN,例如https://msdn.microsoft.com/en-us/library/system.diagnostics.eventlogpermission(v=vs.110).aspx

因此, IsInRole 将默认考虑用户权限,因此该方法返回false。仅当软件明确以管理员身份运行时才为真。

https://ayende.com/blog/158401/are-you-an-administrator中检查AD的另一种方法是检查用户名是否在管理员组中。

我的完整方法结合两者是:

    public static bool IsCurrentUserAdmin(bool checkCurrentRole = true)
    {
        bool isElevated = false;

        using (WindowsIdentity identity = WindowsIdentity.GetCurrent())
        {
            if (checkCurrentRole)
            {
                // Even if the user is defined in the Admin group, UAC defines 2 roles: one user and one admin. 
                // IsInRole consider the current default role as user, thus will return false!
                // Will consider the admin role only if the app is explicitly run as admin!
                WindowsPrincipal principal = new WindowsPrincipal(identity);
                isElevated = principal.IsInRole(WindowsBuiltInRole.Administrator);
            }
            else
            {
                // read all roles for the current identity name, asking ActiveDirectory
                isElevated = IsAdministratorNoCache(identity.Name);
            }
        }

        return isElevated;
    }

    /// <summary>
    /// Determines whether the specified user is an administrator.
    /// </summary>
    /// <param name="username">The user name.</param>
    /// <returns>
    ///   <c>true</c> if the specified user is an administrator; otherwise, <c>false</c>.
    /// </returns>
    /// <seealso href="https://ayende.com/blog/158401/are-you-an-administrator"/>
    private static bool IsAdministratorNoCache(string username)
    {
        PrincipalContext ctx;
        try
        {
            Domain.GetComputerDomain();
            try
            {
                ctx = new PrincipalContext(ContextType.Domain);
            }
            catch (PrincipalServerDownException)
            {
                // can't access domain, check local machine instead 
                ctx = new PrincipalContext(ContextType.Machine);
            }
        }
        catch (ActiveDirectoryObjectNotFoundException)
        {
            // not in a domain
            ctx = new PrincipalContext(ContextType.Machine);
        }
        var up = UserPrincipal.FindByIdentity(ctx, username);
        if (up != null)
        {
            PrincipalSearchResult<Principal> authGroups = up.GetAuthorizationGroups();
            return authGroups.Any(principal =>
                                  principal.Sid.IsWellKnown(WellKnownSidType.BuiltinAdministratorsSid) ||
                                  principal.Sid.IsWellKnown(WellKnownSidType.AccountDomainAdminsSid) ||
                                  principal.Sid.IsWellKnown(WellKnownSidType.AccountAdministratorSid) ||
                                  principal.Sid.IsWellKnown(WellKnownSidType.AccountEnterpriseAdminsSid));
        }
        return false;
    }

对于没有提升权限的管理组中的用户(启用UAC),此方法IsCurrentUserAdmin()return!checkCurrentRole:如果checkCurrentRole == false则为true,但如果checkCurrentRole == true则为false

如果您运行需要管理员权限的代码,请考虑checkCurrentRole == true。否则,到那时你将获得一个安全例外。 因此,正确的 IsInRole 逻辑。

答案 3 :(得分:8)

您也可以调用Windows API来执行此操作:

[DllImport("shell32.dll", SetLastError=true)]
[return: MarshalAs(UnmanagedType.Bool)]
static extern bool IsUserAnAdmin();

通常会告诉您用户是否在提升的权限下运行。

答案 4 :(得分:2)

想到我会添加另一个解决方案;因为IsInRole并不总是有效。

  • 如果用户不是当前会话中指定Windows用户组的成员。
  • 管理员已在“组策略设置”中进行了更改
  • 角色参数被视为“区分大小写”方法。
  • 如果XP机器没有安装.NET Framework版本,它将无效。

根据您的需要,如果您需要支持旧系统;或不确定您的客户如何物理管理您的系统。这是我实施的解决方案;灵活性和改动。

class Elevated_Rights
    {

        // Token Bool:
        private bool _level = false;

        #region Constructor:

        protected Elevated_Rights()
        {

            // Invoke Method On Creation:
            Elevate();

        }

        #endregion

        public void Elevate()
        {

            // Get Identity:
            WindowsIdentity user = WindowsIdentity.GetCurrent();

            // Set Principal
            WindowsPrincipal role = new WindowsPrincipal(user);

            #region Test Operating System for UAC:

            if (Environment.OSVersion.Platform != PlatformID.Win32NT || Environment.OSVersion.Version.Major < 6)
            {

                // False:
                _level = false;

                // Todo: Exception/ Exception Log

            }

            #endregion

            else
            {

                #region Test Identity Not Null:

                if (user == null)
                {

                    // False:
                    _level = false;

                    // Todo: "Exception Log / Exception"

                }

                #endregion

                else
                {

                    #region Ensure Security Role:

                    if (!(role.IsInRole(WindowsBuiltInRole.Administrator)))
                    {

                        // False:
                        _level = false;

                        // Todo: "Exception Log / Exception"

                    }

                    else
                    {

                        // True:
                        _level = true;

                    }

                    #endregion


                } // Nested Else 'Close'

            } // Initial Else 'Close'

        } // End of Class.

所以上面的代码有一些结构;它实际上会测试用户是否在Vista或更高版本。这样,如果客户在多年前没有框架或beta框架的XP上,它将允许您改变您想要做的事情。

然后它将进行物理测试以避免帐户的空值。

然后最后它将提供检查以验证用户确实处于正确的角色。

我知道问题已得到解答;但我认为我的解决方案对于正在搜索Stack的其他人来说是一个很好的补充。我在Protected Constructor背后的推理允许您将此类用作派生类,您可以控制实例化类的状态。

答案 5 :(得分:0)

这就是我的结局... 我强迫我的应用以管理员模式运行。 为此

1-将<ApplicationManifest>app.manifest</ApplicationManifest>添加到您的csproj文件中。

MyProject.csproj

<Project Sdk="Microsoft.NET.Sdk">    
  <PropertyGroup>
    <OutputType>Exe</OutputType>
    <TargetFramework>netcoreapp3.1</TargetFramework>
    <ApplicationManifest>app.manifest</ApplicationManifest>
  </PropertyGroup>    
</Project>

2-将下面的app.manifest文件添加到您的项目中。

app.manifest

<?xml version="1.0" encoding="utf-8"?>
<assembly manifestVersion="1.0" xmlns="urn:schemas-microsoft-com:asm.v1">
  <assemblyIdentity version="1.0.0.0" name="MyApplication.app"/>
  <trustInfo xmlns="urn:schemas-microsoft-com:asm.v2">
    <security>
      <requestedPrivileges xmlns="urn:schemas-microsoft-com:asm.v3">
        <requestedExecutionLevel level="requireAdministrator" uiAccess="false" />
      </requestedPrivileges>
    </security>
  </trustInfo>
</assembly>

答案 6 :(得分:0)

像这里的其他人一样,我的程序没有运行提升,因此此代码返回 false 已启用 UAC:

private bool IsCurrentUserAnAdmin()
{
    var principal = new WindowsPrincipal(WindowsIdentity.GetCurrent());
    return principal.IsInRole(WindowsBuiltInRole.Administrator);
}

@EricBDev's answer with IsAdministratorNoCache 确实返回 true 如果我的程序没有运行提升,并且用户是管理员。但是,就像博客作者说的,速度很慢。

这是我的解决方案;它模拟 IsAdministratorNoCache 但速度很快:

private bool IsCurrentUserInAdminGroup()
{
    // https://docs.microsoft.com/en-us/troubleshoot/windows-server/identity/security-identifiers-in-windows
    // S-1-5-32-544
    // A built-in group. After the initial installation of the operating system,
    // the only member of the group is the Administrator account.
    // When a computer joins a domain, the Domain Admins group is added to
    // the Administrators group. When a server becomes a domain controller,
    // the Enterprise Admins group also is added to the Administrators group.
    var principal = new WindowsPrincipal(WindowsIdentity.GetCurrent());
    var claims = principal.Claims;
    return (claims.FirstOrDefault(c => c.Value == "S-1-5-32-544") != null);
}

答案 7 :(得分:-1)

  

我必须确保运行它们的用户是管理员

如果您的应用程序必须以管理员权限运行,则更新其清单是正确的 将requestedExecutionlevel设为requireAdminstrator