检查当前用户是否为管理员

Question

我的应用程序需要运行一些脚本，并且我必须确保运行它们的用户是管理员......使用C＃执行此操作的最佳方式是什么？

Answer 1

using System.Security.Principal; 

public static bool IsAdministrator() 
{ 
    WindowsIdentity identity = WindowsIdentity.GetCurrent(); 
    WindowsPrincipal principal = new WindowsPrincipal(identity); 
    return principal.IsInRole(WindowsBuiltInRole.Administrator); 
} 

Answer 2

return new WindowsPrincipal(WindowsIdentity.GetCurrent()) 
    .IsInRole(WindowsBuiltInRole.Administrator); 

Answer 3

只是觉得我想补充另一种解决方案;因为IsInRole并不总是有效。

• 如果用户不是当前会话中指定的Windows用户组的成员。
• 管理员已对组策略设置进行了更改
• 角色参数被视为“区分大小写”方法。
• 如果XP机器没有安装.NET Framework版本，它将不起作用。

根据您的需要，如果您需要支持旧系统;或者不确定您的客户如何实际管理您的系统。这是我实施的解决方案;灵活性和改变。

class Elevated_Rights 
    { 

     // Token Bool: 
     private bool _level = false; 

     #region Constructor: 

     protected Elevated_Rights() 
     { 

      // Invoke Method On Creation: 
      Elevate(); 

     } 

     #endregion 

     public void Elevate() 
     { 

      // Get Identity: 
      WindowsIdentity user = WindowsIdentity.GetCurrent(); 

      // Set Principal 
      WindowsPrincipal role = new WindowsPrincipal(user); 

      #region Test Operating System for UAC: 

      if (Environment.OSVersion.Platform != PlatformID.Win32NT || Environment.OSVersion.Version.Major < 6) 
      { 

       // False: 
       _level = false; 

       // Todo: Exception/ Exception Log 

      } 

      #endregion 

      else 
      { 

       #region Test Identity Not Null: 

       if (user == null) 
       { 

        // False: 
        _level = false; 

        // Todo: "Exception Log/Exception" 

       } 

       #endregion 

       else 
       { 

        #region Ensure Security Role: 

        if (!(role.IsInRole(WindowsBuiltInRole.Administrator))) 
        { 

         // False: 
         _level = false; 

         // Todo: "Exception Log/Exception" 

        } 

        else 
        { 

         // True: 
         _level = true; 

        } 

        #endregion 


       } // Nested Else 'Close' 

      } // Initial Else 'Close' 

     } // End of Class. 

所以上面的代码有几个结构;它会实际测试以查看用户是否在Vista或更高版本上。这样，如果客户在几年前没有框架或beta框架的情况下使用XP，它将允许您更改您想要执行的操作。

然后它将进行物理测试以避免帐户的空值。

最后，它将提供检查以验证用户是否确实处于正确的角色。

我知道这个问题已经回答了;但是我认为我的解决方案对于搜索Stack的其他人来说是一个很好的补充。我在Protected Constructor背后的推理将允许您将此类用作派生类，您可以控制该类实例化时的状态。

Answer 4

您也可以调用Windows API来做到这一点：

[DllImport("shell32.dll", SetLastError=true)] 
[return: MarshalAs(UnmanagedType.Bool)] 
static extern bool IsUserAnAdmin(); 

这更一般地告诉你用户是否在提升的权限运行。

Answer 5

我必须确保运行它们的用户是管理员

如果您的应用程序必须拥有管理员权限下运行，这将是正确的，更新其清单。
Set requestedExecutionlevel to requireAdminstrator。

Answer 6

与IsInRole以上的答案是实际上是正确的：它检查当前用户具有管理员权限。 但是，

从Windows Vista开始，用户帐户控制（UAC）将确定用户的权限。如果您是内置管理员组的成员，则会为您分配两个运行时访问令牌：标准用户访问令牌和管理员访问令牌。默认情况下，您处于标准用户角色。

（从MSDN，例如https://msdn.microsoft.com/en-us/library/system.diagnostics.eventlogpermission(v=vs.110).aspx）

因此，IsInRole每默认将考虑用户权限，并且因此该方法返回false。只有当软件以管理员身份明确运行时才是如此。

另一种方法检查AD https://ayende.com/blog/158401/are-you-an-administrator将检查用户名是否在管理员组中。

我的完整方法结合两种是这样的：

public static bool IsCurrentUserAdmin(bool checkCurrentRole = true) 
    { 
     bool isElevated = false; 

     using (WindowsIdentity identity = WindowsIdentity.GetCurrent()) 
     { 
      if (checkCurrentRole) 
      { 
       // Even if the user is defined in the Admin group, UAC defines 2 roles: one user and one admin. 
       // IsInRole consider the current default role as user, thus will return false! 
       // Will consider the admin role only if the app is explicitly run as admin! 
       WindowsPrincipal principal = new WindowsPrincipal(identity); 
       isElevated = principal.IsInRole(WindowsBuiltInRole.Administrator); 
      } 
      else 
      { 
       // read all roles for the current identity name, asking ActiveDirectory 
       isElevated = IsAdministratorNoCache(identity.Name); 
      } 
     } 

     return isElevated; 
    } 

    /// <summary> 
    /// Determines whether the specified user is an administrator. 
    /// </summary> 
    /// <param name="username">The user name.</param> 
    /// <returns> 
    /// <c>true</c> if the specified user is an administrator; otherwise, <c>false</c>. 
    /// </returns> 
    /// <seealso href="https://ayende.com/blog/158401/are-you-an-administrator"/> 
    private static bool IsAdministratorNoCache(string username) 
    { 
     PrincipalContext ctx; 
     try 
     { 
      Domain.GetComputerDomain(); 
      try 
      { 
       ctx = new PrincipalContext(ContextType.Domain); 
      } 
      catch (PrincipalServerDownException) 
      { 
       // can't access domain, check local machine instead 
       ctx = new PrincipalContext(ContextType.Machine); 
      } 
     } 
     catch (ActiveDirectoryObjectNotFoundException) 
     { 
      // not in a domain 
      ctx = new PrincipalContext(ContextType.Machine); 
     } 
     var up = UserPrincipal.FindByIdentity(ctx, username); 
     if (up != null) 
     { 
      PrincipalSearchResult<Principal> authGroups = up.GetAuthorizationGroups(); 
      return authGroups.Any(principal => 
            principal.Sid.IsWellKnown(WellKnownSidType.BuiltinAdministratorsSid) || 
            principal.Sid.IsWellKnown(WellKnownSidType.AccountDomainAdminsSid) || 
            principal.Sid.IsWellKnown(WellKnownSidType.AccountAdministratorSid) || 
            principal.Sid.IsWellKnown(WellKnownSidType.AccountEnterpriseAdminsSid)); 
     } 
     return false; 
    } 

对于管理员组中的用户没有提升的权限（启用UAC），这种方法IsCurrentUserAdmin（）返回checkCurrentRole：真要是checkCurrentRole ==假的，但假如checkCurrentRole == true

如果您运行的代码需要管理员权限，请考虑checkCurrentRole == true。否则，到那时你会得到一个安全异常。因此正确的IsInRole逻辑。