Delphi-PRAXiS - Einzelnen Beitrag anzeigen - Delphi Per ProcessId prüfen, ob der Benutzer Admin ist (oder: ProcessId -> UserTokenHandle)

**CodeX**

Ich habe heute sehr viel Zeit mit diesem Problem verbracht und weiß irgendwie nicht mehr weiter. Vielleicht ist es auch nur eine Kleinigkeit oder ein blöder Denkfehler.

Grundsätzliche Problemstellung: Aus einem Service heraus anhand der bereits vorhandenen ProcessId eines laufenden Programms herausfinden, ob der zugehörige Benutzer Mitglied der Administratorgruppe ist.

Im Programm wird die ProcessId per GetCurrentProcessId bestimmt und an den Service übermittelt (darauf habe ich nur bedingt Einfluss). Im Service muss ich nun mit dieser ProcessId arbeiten. Meine Herangehensweise ist nun, dass ich darüber das zugehörige UserToken bzw. das UserTokenHandle bestimme und dieses per MSDN-Library durchsuchen

CheckTokenMembership prüfe.

zusammenfalten · markieren

Delphi-Quellcode:

			// Variante 1 mit JWSCL (Jedi Security Library) (verkürzt):

  var UserToken: TJwSecurityToken;

  UserToken := TJwSecurityToken.CreateTokenByProcessId(ProcessId, MAXIMUM_ALLOWED);

  bAdmin := UserInGroup(DOMAIN_ALIAS_RID_ADMINS, UserToken.TokenHandle);

// Variante 2:

  var hProcessHandle, hUserToken: THandle;

  hProcessHandle := OpenProcess(PROCESS_ALL_ACCESS, False, ProcessId);

  if hProcessHandle <> 0 then

  try

    if OpenProcessToken(hProcessHandle, TOKEN_ALL_ACCESS, hUserToken) then

      bAdmin := UserInGroup(DOMAIN_ALIAS_RID_ADMINS, hUserToken);

  finally

    CloseHandle(hProcessHandle);

  end;

Die UserInGroup-Funktion stammt in dem Fall von

hier, ich teste es aber parallel auch mit dieser etwas umfangreicheren

TokenTools-Unit mit gleichem Ergebnis.

Der Benutzer wird einfach nicht als Admin erkannt. Vermutlich hat es mit dem Service nichts zu tun, denn ich habe die komplette Abfrage mal in eine normale Anwendung gepackt, mit dem gleichen Ergebnis, aber der Vollständigkeit halber sei die Service-Nutzung erwähnt. Interessant ist aber, dass wenn ich in der Anwendung 0 als UserTokenHandle (= User des aktuellen Prozesses) verwende, der Test vollständig wie gewünscht funktioniert (Erkennen von Admin und Nicht-Admin)! Ich deute es daher so, dass die UserInGroup-Funktion bzw. die TokenTools-Unit richtig funktionieren, aber irgendetwas mit dem erzeugten UserTokenHandle nicht stimmt (und zwar in beiden Varianten), oder auch schon GetCurrentProcessId der falsche Ansatz ist.

Ich hoffe, es weiß jemand Rat...