使用ADSI检索本地组成员所需的权限

Question

使用ADSI，我可以通过执行以下操作(例如，在PowerShell中)来查询给定计算机上的本地管理员组的成员：

([ADSI]"WinNT://computer-name/Administrators,Group").Invoke("members")

要做到这一点，据我所知，运行PowerShell脚本的用户需要目标机器上的管理员特权-也就是说，用户需要在computer-name的本地管理员组中直接打开(例如)。通过成为“域管理员”的成员)。

这让我感到惊讶，因为一个非管理员帐户谁可以登录到computer-name (例如。属于“域用户”的用户可以打开本地用户&组应用程序，并查看本地管理员组的成员。手动执行时不需要特定的权限，但是ADSI似乎需要它。

所以我的问题是：

• 使用ADSI需要管理员权限来访问此信息，还是我做错了什么？
• 是否有不同的方法以编程方式获取该信息，这需要比管理员帐户更少的特权？(如果在PowerShell中没有可用的解决方案，那么我的目标是C#/.NET核心)

请注意，我希望在其他工作站上远程运行此操作，而不仅仅是在本地工作站上。

Answer 1

ADSI是建立在WMI之上的。默认情况下，只允许本地管理员组进行远程WMI调用并读取计算机本地目录数据。

您可以通过进入Computer Management (local) -> Services and Applications -> WMI Control来更改操作系统上的权限。右键单击WMI Control并选择Properties。

我只尝试过允许所有的读取，您可以在root文件夹上设置这些内容。我做了一些研究，您也许可以将其限制在LDAP上。在Security选项卡上向下钻到Root -> directory -> LDAP。您需要调整LDAP条目的权限(或者更多？)。密钥权限为Remote Enable。

更新

直接从PowerShell查询WMI。

基于PowerShell的远程WMI：https://learn.microsoft.com/en-us/windows/win32/wmisdk/connecting-to-wmi-on-a-remote-computer。

通过WMI：https://gallery.technet.microsoft.com/scriptcenter/List-local-group-members-c25dbcc4列出远程组成员资格的自定义https://gallery.technet.microsoft.com/scriptcenter/List-local-group-members-c25dbcc4方法

Answer 2

我认为您的ADSI方法应该有效，至少在本地执行时是如此。

我使用了一个c#片段，我从这里抓取的答案是：https://stackoverflow.com/a/8192062/3374994。

为了测试它是否可以使用常规用户权限运行，我使用了Runas /user:regularuser GetLocalUsers.exe。

我相信这表明ADSI方法不一定需要提升特权。

但是，您是否打算远程运行代码？

var path = string.Format("WinNT://{0},computer", Environment.MachineName);

        using (var computerEntry = new DirectoryEntry(path))
        {
            var userNames = from DirectoryEntry childEntry in computerEntry.Children
                where childEntry.SchemaClassName == "User"
                select childEntry.Name;

            foreach (var name in userNames)
                Console.WriteLine(name);
        }