windows-anmeldung in einem netzwerk

moin-moin!

wer hat eine idee, wie man die benutzer-anmeldung auf einem anderen pc in einem (lokalen) netzwerk realisiert?
beispielsweise, um als admin ein lokales netzwerk zu verwalten.

per WMI lassen sich ja fast alle verwaltungs-aufgaben lösen - aber eben doch nicht alle.
nun möchte ich einige api-wrapper schreiben, für die ich mich natürlich als admin auf den infragekommenden rechnern authentifizieren muss.

da ich bereits seit über einem jahr immer wieder nach lösungsansätzen dazu suche, wäre ich über jede anregung echt dankbar...

grtz
chief

Hast du dir die advapi32 schon mal genauer angeschaut? Könnte evtl. weiterhelfen ... (bietet jedenfalls methoden für (netzwerk) logons)

die advapi32 enthält die funktion "LogonUser".
damit ist aber leider kein logon auf einem remote-rechner möglich - ausserdem muss man unter win2000 die sicherheitsrichtlinien ändern, damit die funktion überhaupt erfolgreich ausgeführt wird.
"LogonUser" erstellt einen token, den man nach duplizierung impersonieren kann - aber eben nur lokal.
es muss also noch andere möglichkeiten geben...

grtz
chief

Für was sind denn die Logon_Type Werte LOGON32_LOGON_NETWORK und LOGON32_LOGON_NETWORK_CLEARTEXT gut? Wenn man sich per AD anmeldet? (dann ist man natürlich auch automatisch auf den anderen Rechner im Netz berechtigt, aber das ist wohl nicht dein problem/fall ...)

dies sind parameter, die z.b. dafür gedacht sind, dass in einer client/server-anwendung ein client auf dem server per "LogonUser" impersoniert werden oder als eigener process mit entsprechender berechtigung laufen soll.
die funktion muss dazu aber innerhalb der server-anwendung aufgerufen werden.
aber eine server-anwendung soll es wiederum bei mir ja gar nicht geben, da ich die normale windows-plattform nutzen möchte.
in der secur32 befinden sich auch eine fülle von funktionen, die aber augenscheinlich alle auf alternative, lokale authentifizierungsmethoden bzw. interaktivität zu anderen network-providern abzielen...

...es ist zum haareausraufen - es kann doch keine grosse sache sein, einen ganz popligen winlogon zu bewerkstelligen!
😦

grtz
chief

jetzt habe ich noch andere infos dazu gefunden...

LogonUser funktioniert auf dem wege, als dass username und pass auf beiden maschinen gleich sein müssen.
die funktion wird immer lokal aufgerufen, und man erhält dann den richtigen token, den man impersoniert, wodurch man vom remote-host akzeptiert wird.
das geht so auch, aber...
...dafür müsste ein benutzerkonto ja auf allen maschinen gleichzeitig vorhanden sein - wird irgendwo das pass geändert, funktioniert nix mehr.
alternativ könnte man einen domain-account erstellen, um das vorhaben zu bewerkstelligen.

das scheint tatsächlich der einzige weg zu sein.

nutzt man hingegen WMI anstelle die apis direkt aufzurufen, hat man eben den provider auf dem remote-host, der den gesamten authentifizierungskram für einen erledigt...

grtz
chief