¿Cómo obtengo un token de usuario válido para CreateProcessAsUser?

Question

Tengo una aplicación que se ejecuta como usuario normal y un servicio que se ejecuta como sistema local. Quiero que la aplicación pueda decirle al servicio que vuelva a iniciar la aplicación, una vez que el servicio haya hecho otras cosas. (De modo que la aplicación no se ejecutará mientras el servicio lo está haciendo). Para que el servicio pueda iniciar la aplicación como el usuario que la inició por primera vez, necesita un token de usuario. La aplicación envía el token al servicio antes de que se cierre, pero el token/handle no es válido cuando el servicio intenta usarlo. (Lo primero que hace con él es DuplicateTokenEx para obtener un token primario.)

¿Es un token de usuario siempre solo válido en el proceso que llamó OpenProcessToken?

¿Hay alguna otra manera de que esto se pueda hacer? No quiero que el usuario tenga que "iniciar sesión" en la aplicación con logonuser. Eso sería simplemente tonto. Supongo que podría entregar un identificador de proceso para "explorer.exe" de la aplicación al servicio, que el servicio podría usar para obtener un token de usuario, pero eso requeriría el derecho PROCESS DUP HANDLE. No estoy entusiasmado con esa solución, pero tal vez es la forma de hacerlo?

Answer 1

Echa un vistazo aquí:

• Creating New Process Under Alternate Credentials
• GUI-Based RunAsEx

Answer 2

Tiene varias cuestiones aquí, así que voy a tratar de abordarlos por separado y que me puedo corregir si he entendido bien:

1. Parece que tiene un servicio y una aplicación de usuario que no puede ejecutar ciertas funcionalidades al mismo tiempo. Para lograr esto, tiene el servicio detener la aplicación, ejecutar la funcionalidad especial, luego reiniciar la aplicación. Si esto es correcto, entonces, en mi opinión, tiene un defecto de diseño. En lugar de detenerse, entonces, al reiniciar la aplicación, debe coordinar el acceso al recurso compartido a través de la exclusión mutua utilizando un mutex con nombre y/o utilizando un método IPC como canalizaciones con nombre para comunicar intenciones.

2. ¿Un token de usuario siempre solo es válido en el proceso llamado OpenProcessToken? Sí, el identificador del token que recibió es un índice en la tabla de manejo del proceso, no es directamente transferible. Tendría que usar DuplicateHandle, que puede ser lo que quiere, pero podría ser complicado.

3. Desea encontrar la mejor manera de obtener el token del usuario para iniciar la aplicación en la sesión del usuario (¿interactiva?). Si este es el caso, la mejor manera es recuperar el token de sesión del usuario y usarlo. Puede consultar this article y el código de muestra, está en C# pero debería ser relativamente fácil de transferir a su idioma de elección.

EDIT: Se ha actualizado para incluir Windows 2000. Dado que se está ejecutando el servicio bajo el sistema de cuenta se puede abrir un identificador para el proceso en sí mismo (si es necesario el proceso puede enviar su ID de proceso). Luego puede abrir el token adjunto a ese proceso, duplicarlo y usar el token resultante para iniciar (o relanzar) la aplicación de destino.