[XP PRO 32Bits] Impersonation dans un Windows Service

**Vilmir** · 13/11/2007, 17h38

Bonjour,

Dans le cadre d'une structure Client - Server en C++, j'ai un serveur d'authentification qui :
1) Vérifie l'identité du client via l'appel à LogonUser
2) Lance un processus Serveur de traitement avec l'identité Windows du client grâce à CreateProcessAsUser avec le token précédemment obtenu par LogonUser

Ce serveur d'authentification peut être démarré en tant que processus par un utilisateur ayant le privilège:
Replace a process level token

Tout se passe bien quand on s'en sert en tant que processus.

Il peut aussi être démarré en tant que Service sous le compte Local Service. Et là le problème arrive.

La phase 1 d'authentification se passe bien mais dans la phase 2, le processus fils crée via CreateProcessAsUser meurt tout de suite après son lancement.
Les logs que j'ai pu obtenir (dans la douleur) sur l'exécution n'ont montré rien de pertinent.
Le seul cas qui marche est pour les clients faisant partie du groupe Adminstrateurs local à la machine.
J'ai essayé de donner tous les privilèges du groupe Administrateurs à un compte de Test ainsi que le Full Control sur les disques durs et la totalité de la base de registre et je n'ai pas obtenu de changements.

Je ne vois pas quelles autres droits/privilèges je peux ajouter à mon compte de Test pour trouver ce qu'il lui manque pour que l'impersonation marche, des idées? :/

**Vincent Rogier** · 13/11/2007, 20h14

est ce que le droit "Ouvrir une session en tant que service" est accordé à l'utilisateur qui ne marche pas ?

Et quelle est la valeur qui est passé à dwLogonType de LogonUser ?

**Vilmir** · 14/11/2007, 09h42

Merci pour votre temps et votre attention tout d'abord.

1) Le compte de Test a le droit "Logon as a Service"

2) Valeur de dwLogonType dans le code serveur:

LOGON32_LOGON_INTERACTIVE
This logon type is intended for users who will be interactively using the computer, such as a user being logged on by a terminal server, remote shell, or similar process. This logon type has the additional expense of caching logon information for disconnected operations; therefore, it is inappropriate for some client/server applications, such as a mail server.

**Vincent Rogier** · 14/11/2007, 10h08

LOGON32_LOGON_INTERACTIVE

De mémoire, il me semble que ce flag ne marche pas au sein d'un service.
A vérifier !

**Vilmir** · 14/11/2007, 10h16

Merci pour l'info, je vais tester les différents flags sur mon service

**Vilmir** · 14/11/2007, 16h53

Je viens de tester les flags et avec:
LOGON32_LOGON_SERVICE

Ca marche !!! merci beaucoup Vincent, vous venez de me faire gagner du temps

Une dernière question: d'après la définition du flag qui fonctionne, je comprends que je demande à l'API un token capable de lancer un service.

Ce token va me servir pour lancer un processus via CreateProcessAsUser depuis mon service d'Authentification. Cela veut-il dire que ce processus lancé sera lui aussi considéré comme un Service pendant son exécution?

**Médinoc** · 15/11/2007, 09h13

D'après la doc de LogonUser(), c'est fort possible.
Si tu veux que ton programme ne soit pas considéré comme service, tu devrais peut-être essayer un truc du genre LOGON32_LOGON_BATCH...

**Vilmir** · 15/11/2007, 10h31

En effet ce serait la solution. Je l'ai testé, et le CreateProcessAsUser voit son fils échouer dès son début d'exécution.

Je pense que la clef de ma problématique est de trouver un moyen pour:

Depuis un Service, démarrer un processus avec un token utilisateur qui ne soit pas lancé en tant que Service.

D'après ce que je comprends, CreateProcessAsUser lancé depuis un service crée un fils considéré comme un service, d'où la nécéssité de mon flag LOGON32_LOGON_SERVICE.