ユーザーアカウントがWindowsの特定のグループのメンバであるかどうかをプログラムで調べるにはどうすればよいですか？

Question

グループ名とユーザーアカウントを指定すると、指定したユーザーが特定のグループに属しているかどうかを知りたいと思います。ユーザーはローカルユーザーまたはドメインユーザーで、グループはローカルグループまたはドメイングループであり、グループは他のグループ内にネストすることもできます。要するに、内部的に適切なWin32 APIを呼び出して検索を行うbool IsUserMemberOf(User, Group)のような関数を探しています。上記のクエリを作成するプロセスには、ローカルおよびADグループを照会するために必要な権限が必要です。私はエンタープライズ管理アカウントの下でプロセスを実行すると、フォレスト内の任意のDCを照会する作業を行う必要がありますが、ドメインの一部ではないマシンでは機能しない可能性があります。 LSAとADの両方を照会することができるように、この照会プロセスをどのアカウントで実行するべきかについての考え方はありますか？

Answer 1

GetTokenInformation（TOKEN_USER）、AllocateAndInitializeSidおよびCheckTokenMemberShipにお読みください。

Answer 2

UserPrincipal.IsMemberOf(GroupPrincipal) "プリンシパルが指定されたグループのメンバであるかどうかを指定するブール値を返します"。

Answer 3

マグナスは右である、あなたはあなたが（私のフランス語を言い訳;）UnlockPolicy.c（full source hereをダウンロード）、機能ShouldUnlockForUserとUsagerEstDansGroupeでサンプルを見つけることができますCheckTokenMembership

を使用する必要があります。ここで

はそれの根性です：

HRESULT IsUserInGroup(HANDLE user, const wchar_t* groupe) 
{ 
    HRESULT result = E_FAIL; 
    SID_NAME_USE snu; 
    WCHAR szDomain[256]; 
    DWORD dwSidSize = 0; 
    DWORD dwSize = sizeof szDomain/sizeof * szDomain; 

    if ((LookupAccountNameW(NULL, groupe, 0, &dwSidSize, szDomain, &dwSize, &snu) == 0) 
      && (ERROR_INSUFFICIENT_BUFFER == GetLastError())) 
    { 
     SID* pSid = (SID*)malloc(dwSidSize); 

     if (LookupAccountNameW(NULL, groupe, pSid, &dwSidSize, szDomain, &dwSize, &snu)) 
     { 
      BOOL b; 

      if (CheckTokenMembership(user, pSid, &b)) 
      { 
       if (b == TRUE) 
       { 
        result = S_OK; 
       } 
      } 
      else 
      { 
       result = S_FALSE; 
      } 
     } 

     //Si tout vas bien (la presque totalitée des cas), on delete notre pointeur 
     //avec le bon operateur. 
     free(pSid); 
    } 

    return result; 
}