身份驗證本地Windows用戶帳戶

Question

我寫這個的JScript驗證本地Windows用戶帳戶：

function ValidateCredentials(strUsername, strPassword) { 
    var ADS_SECURE_AUTHENTICATION = 1; 
    var objWMISvc = GetObject("winmgmts:\\\\.\\root\\cimv2"); 
    var colItems = objWMISvc.ExecQuery("Select * from Win32_ComputerSystem"); 
    for (var it = new Enumerator(colItems); !it.atEnd(); it.moveNext()) { 
    var objItem = it.item(); 
    if (objItem.PartOfDomain) 
     continue; 
    var strWorkgroup = objItem.Domain; 
    var strComputer = objItem.Name; 
    var strPath = "WinNT://" + strWorkgroup + "/" + strComputer + "/" + 
     strUsername + ",user"; 
    try { 
     var objIADS = GetObject("WinNT:").OpenDSObject(strPath, strUsername, 
     strPassword, ADS_SECURE_AUTHENTICATION); 

     WScript.Echo("OK"); 
    } catch(e) { 
     WScript.Echo("Invalid Username/Password"); 
    } 
    } 
} 

ValidateCredentials(WScript.Arguments(0), WScript.Arguments(1)); 

當我從命令提示符下運行它，它工作得很好，無論是作爲管理員以及普通用戶。當腳本被作爲LocalSystem用戶運行的服務進程調用時，它不起作用。而是調用OpenDSObject，然後引發一個異常，錯誤代碼爲-2147023584（指定的登錄會話不存在，它可能已被終止）。

這裏有什麼問題，我認爲LocalSystem帳戶實際上比管理員帳戶更具特權或可信？

您可以將其保存到一些.js文件試圖爲自己的腳本，然後從這樣的命令提示符下運行：

的Cscript.exe validate.js名爲myUsername MYPASSWORD

Answer 1

如果你只是想驗證密碼，我會避免以上所有。有一種有點不同的方法可以很好地處理未經授權的帳戶。其實你要確保這個賬號實際上並沒有權利更改密碼。

使用此方法，您可以撥打NetUserChangePassword，它需要您指定用戶的現有密碼才能在更改之前進行身份驗證。

當您從無權更改該用戶密碼的帳戶執行此操作時，顯然會失敗（因此其密碼不會更改）。我們關心的究竟是如何它失敗。如果通過返回ERROR_INVALID_PASSWORD失敗，那麼你知道密碼是錯誤的。如果通過返回ERROR_ACCESS_DENIED而失敗，則密碼正確，並且該功能失敗，因爲您從中調用該帳戶的帳戶無權更改該用戶的密碼。

因此，不要求像LocalSystem或管理員這樣的高度特權帳戶，這可以讓您從根本上沒有任何權限的帳戶執行任務（強烈偏好，甚至沒有權限更改自己的密碼） 。