在Web应用程序中通过C#调用Powershell – 应用程序池标识问题
我已经编写了一些东西来通过C#使用RunspaceFactory执行Powershell。
我正在加载默认的Powershell配置文件,如下所示:
Runspace runspace = RunspaceFactory.CreateRunspace(); runspace.Open(); string scriptText = @". .\" + scriptFileName + "; " + command; Pipeline pipeline = runspace.CreatePipeline(scriptText); Command =我所知道的配置文件中的一个函数。
所有这些Powershell的东西都包含在Impersonator中。
为避免疑义,$ profile = C:\ Users \ Administrator \ Documents \ WindowsPowerShell \ Microsoft.PowerShell_profile.ps1
这是在IIS 7.5下运行的Web应用程序
如果我的IIS应用程序在“管理员”帐户下运行,它就可以运行。 在任何其他帐户下,它会抛出错误:
“术语’。\ Microsoft.PowerShell_profile.ps1’未被识别为cmdlet,函数,脚本文件或可操作程序的名称。检查名称的拼写,或者如果包含路径,请validation路径是否为纠正,然后再试一次。“
当我冒充“管理员”帐户时,我认为该位置是正确的。
一些使用调用的“获取位置”的日志记录报告该目录应该是什么。
出于血腥的心态,我试图强迫它:
System.Environment.CurrentDirectory = dir;
……还试图调用“设置位置”。 这些工作,但如果我从一个运行空间调用’get-location’它报告与以前相同的目录(正确的目录)。
我认为,也许,模拟可能存在问题,所以我写了一些测试,以应用程序池不应该做的方式触摸文件系统。 这些工作。
我也检查了这个:
string contextUserName = System.Security.Principal.WindowsIdentity.GetCurrent().Name;
当代码在模仿中“包装”时以及通过应用程序池标识执行时,会报告正确的用户。 然后我绝望并尝试调用:
@"cmd /c dir"
……(还有-Layitem)。 两个命令都返回:
{}
…当在应用程序池标识下运行时(无论是否模仿),但是当应用程序池作为“管理员”运行时,正确目录的完整且准确的目录列表。
我确信我在这里遗漏了一些愚蠢和根本的东西,如果有人能给我一些关于我在思考(和代码)中犯了错误的指导,那就太棒了。
当在模拟的上下文中使用PowerShell时,这是一个“众所周知”的问题:它不像人们认为应该工作的那样工作。
之所以这样,是因为封面后面的PowerShell会旋转另一个线程来实际完成所有工作。 PowerShell中的新线程不会inheritance模拟的上下文。
修复并不完美。 此MSDN博客文章建议将ASP.NET设置为始终流动模拟策略(以便幕后的线程获取标识):
另一种甚至更丑陋的方法(尽管不那么苛刻)是使用WinRM 。 您可以使用PowerShell使用环回PowerShell会话(连接到localhost),并让WinRM处理模拟。 这需要System.Management.Automation 3.0.0.0版。
var password = "HelloWorld"; var ss = new SecureString(); foreach (var passChar in password) { ss.AppendChar(passChar); } var psCredential = new PSCredential("username", ss); var connectionInfo = new WSManConnectionInfo(new Uri("http://localhost:5985/wsman"), "http://schemas.microsoft.com/powershell/Microsoft.PowerShell", psCredential); using (var runspace = RunspaceFactory.CreateRunspace(connectionInfo)) { connectionInfo.EnableNetworkAccess = true; using (var powershell = PowerShell.Create()) {
这也是一个俗气的解决方案,因为它需要运行WinRM的Windows服务,并配置WinRM。 WinRM并不完全是“正常工作”,但它在第一个选项中完成的工作并不合适。
WSManConnectionInfo中使用的URL是localhost WinRM端点,默认情况下,它侦听版本3中的端口5985,并为连接指定凭据。