Как я запускаю поток в другом контексте защиты?
Как запустить поток в контексте защиты другого пользователя? Когда процесс обычно запускает поток, контекст защиты также передается, но как запустить поток в другом контексте защиты с принципалом другого пользователя?
2 ответа
Я считаю, что вы можете просто установить CurrentPrincipal в качестве первой операции кода потока после его запуска, и только потом начать выполнять код, который должен выполняться с другим принципалом.
Это должно позаботиться о любых проверках на основе ролей .NET. Если вам нужна имперсонация и для обращений к ОС, вы можете имперсонифицировать WindowsIdentity.
Код (может работать или не работать - не проверял):
public void Run(object principalObj) {
if (principalObj == null) {
throw new ArgumentNullException("principalObj");
}
IPrincipal principal = (IPrincipal)principalObj;
Thread.CurrentPrincipal = principal;
WindowsIdentity identity = principal.Identity as WindowsIdentity;
WindowsImpersonationContext impersonationContext = null;
if (identity != null) {
impersonationContext = identity.Impersonate();
}
try {
// your code here
} finally {
if (impersonationContext != null) {
impersonationContext.Undo();
}
}
}
...
Thread thread = new Thread(Run);
thread.Start(yourPrincipal);
Я успешно использовал приемы , подобные этой , для олицетворения.
Термин «олицетворение» в контексте программирования относится к методу , который выполняет код в контексте другого пользователя, чем пользователь, который первоначально запустил приложение, т. е. пользовательский контекст временно изменяется один или несколько раз во время выполнения приложения.
Причина этого заключается в том, чтобы выполнять задачи, которые текущий пользовательский контекст приложения не может выполнять. Конечно, вы можете предоставить пользователю, выполняющему приложение, больше прав, но обычно это плохая идея (из-за ограничений безопасности) или невозможная {{ 1}} (например, если у вас нет полного административного доступа к машине для этого).