查找给定的SID是否属于SID标识的组

Question

我正在编写一个windows服务，它根据不同的规则执行操作，其中一个基于请求的用户身份。

因此，它接收请求用户SID，然后将其与其内部SID列表进行比较，以决定它将执行何种操作。使用EqualSID API函数使这非常容易。

然而，我现在面临的情况是，服务清单中的一些小岛屿发展中国家是小岛屿发展中国家组，而不是用户小岛屿发展中国家。

这意味着我必须找到一种方法来测试接收到的SID是否等于列表中的SID，还是属于由列表中的SID表示的组。

我环顾四周，了解哪些API是可用的，并发现了CheckTokenMembership，它需要一个令牌句柄。这就是我有点迷失的地方，因为服务不一定位于同一台机器上，所以我似乎找不到从我收到的SID创建有效令牌句柄的方法。

服务本身运行在默认的"NT服务“帐户下，我更希望它能够保持这种状态。

你建议我使用什么API？

目标语言是Delphi，但我能理解普通C中的例子。

Answer 1

在环顾四周之后，我终于找到了实现这一目标的方法。简而言之，答案是Active Directory Service Interfaces，也称为ADSI

为了给出更多的细节，如果其他人正在考虑这一点，下面是在Delphi中实现这一目标的一系列步骤：

1. 将Active DS Type Library对象集导入Delphi。这将创建具有所有必要接口的ActiveDs_TLB单元。
2. 像这样声明AdsGetObject 函数ADsGetObject(lpszPathName: WideString；const : TGUID；out )：HRESULT；
3. 使用SID语法检索IADSUser实例： var SIDUser: IADSUser；User: IADSUser；SIDGroup: IADSGroup；Group: IADSGroup；begin // Bind使用SID AdsGetObject('LDAP: // '，IADSUser，SIDUser)；//使用MSDN AdsGetObject建议的可分辨名称重新绑定(‘LDAP://’+ SIDUser.Get('distinguishedName')，IADSUser，User)；//使用用户实例ShowMessage(User.FullName)；//组AdsGetObject的相同方法(‘LDAP : // ，IADSGroup，SIDGroup)；AdsGetObject('LDAP: //’+ SIDGroup.Get('distinguishedName')，IADSGroup，Group)；// IsMember似乎不适用于LDAP // https://groups.google.com/forum/#!topic/microsoft.public.adsi.general/2d-e4HPXGfA // http://www.rlmueller.net/Programs/IsMember4.txt // if Group.IsMember(User.ADsPath)然后if AdsIsMember(用户，‘S-1-5-32-32-545’)然后ShowMessage('InGroup')；

如您所见，您可能希望使用IsMember方法的IADSGroup，但显然它不能工作，因为在上面的情况下，它应该返回True (S-1-5-32-545是世界组)。因此，正如评论中给出的链接所建议的，我编写了自己的IsMember，如下所示：

function ADsIsMember(const User: IADSUser; const GroupSID: string): Boolean;
const
  TokenGroupsId = 'tokenGroups';
var
  PropNames: array of OleVariant;
  TokenGroups: OleVariant;
  TokenGroupLow: Integer;
  TokenGroupHigh: Integer;
  TokenGroupIndex: Integer;
  SIDBytes: array of Byte;
  SIDAsString: PChar;
begin
  Result := False;
  SetLength(PropNames, 1);
  PropNames[0] := TokenGroupsId;
  User.GetInfoEx(PropNames, 0);
  TokenGroups := User.Get(TokenGroupsId);
  TokenGroupLow := VarArrayLowBound(TokenGroups, 1);
  TokenGroupHigh := VarArrayHighBound(TokenGroups, 1);
  for TokenGroupIndex := TokenGroupLow to TokenGroupHigh do
  begin
    SIDBytes := TokenGroups[TokenGroupIndex];
    ConvertSidToStringSid(@SIDBytes[0], SIDAsString);
    if GroupSID = SIDAsString then
      Exit(True);
  end;
end;

有了所有这些，我现在可以检查给定的SID是否属于由其SID定义的组。