¿Cómo puede mi programa detectar si se está ejecutando en un dominio en particular?

Question

Tengo la necesidad de restringir funciones específicas de una aplicación en función de la ubicación del usuario actualmente conectado. Como tengo que implementar esta lógica en Delphi, preferiría no exagerar con las consultas de directorio activo completo/LDAP.

Mi idea principal es utilizar DsGetDcName, y usar el GUID devuelto en la estructura DOMAIN_CONTROLLER_INFO y compararlo con una constante codificada. Parece lógico que un GUID de dominio solo cambie si se recrea el dominio, por lo que esto proporcionaría la funcionalidad que deseo con una sobrecarga limitada. Mi única preocupación es que no puedo encontrar documentación en MSDN que confirme mi suposición.

type 
    EAccessDenied = Exception; 
    EInvalidOwner = Exception; 
    EInsufficientBuffer = Exception; 
    ELibraryNotFound = Exception; 

    NET_API_STATUS = Integer; 

    TDomainControllerInfoA = record 
    DomainControllerName: LPSTR; 
    DomainControllerAddress: LPSTR; 
    DomainControllerAddressType: ULONG; 
    DomainGuid: TGUID; 
    DomainName: LPSTR; 
    DnsForestName: LPSTR; 
    Flags: ULONG; 
    DcSiteName: LPSTR; 
    ClientSiteName: LPSTR; 
    end; 
    PDomainControllerInfoA = ^TDomainControllerInfoA; 

const 
    NERR_Success = 0; 

procedure NetCheck(ErrCode: NET_API_STATUS); 
begin 
    if ErrCode <> NERR_Success then 
    begin 
    case ErrCode of 
     ERROR_ACCESS_DENIED: 
     raise EAccessDenied.Create('Access is Denied'); 
     ERROR_INVALID_OWNER: 
     raise EInvalidOwner.Create('Cannot assign the owner of this object.'); 
     ERROR_INSUFFICIENT_BUFFER: 
     raise EInsufficientBuffer.Create('Buffer passed was too small'); 
     else 
     raise Exception.Create('Error Code: ' + IntToStr(ErrCode) + #13 + 
      SysErrorMessage(ErrCode)); 
    end; 
    end; 
end; 

function IsInternalDomain: Boolean; 
var 
    NTNetDsGetDcName: function(ComputerName, DomainName: PChar; DomainGuid: PGUID; SiteName: PChar; Flags: ULONG; var DomainControllerInfo: PDomainControllerInfoA): NET_API_STATUS; stdcall; 
    NTNetApiBufferFree: function (lpBuffer: Pointer): NET_API_STATUS; stdcall; 
    LibHandle: THandle; 
    DomainControllerInfo: PDomainControllerInfoA; 
    ErrMode: Word; 
const 
    NTlib = 'NETAPI32.DLL'; 
    DS_IS_FLAT_NAME = $00010000; 
    DS_RETURN_DNS_NAME = $40000000; 
    INTERNAL_DOMAIN_GUID: TGUID = '{????????-????-????-????-????????????}'; 
begin 
if Win32Platform = VER_PLATFORM_WIN32_NT then 
    begin 
    ErrMode := SetErrorMode(SEM_NOOPENFILEERRORBOX); 
    LibHandle := LoadLibrary(NTlib); 
    SetErrorMode(ErrMode); 
    if LibHandle = 0 then 
     raise ELibraryNotFound.Create('Unable to map library: ' + NTlib); 
    try 
     @NTNetDsGetDcName := GetProcAddress(Libhandle, 'DsGetDcNameA'); 
     @NTNetApiBufferFree  := GetProcAddress(Libhandle,'NetApiBufferFree'); 
     try 
     NetCheck(NTNetDsGetDcName(nil, nil, nil, nil, DS_IS_FLAT_NAME or DS_RETURN_DNS_NAME, DomainControllerInfo)); 
     Result := (DomainControllerInfo.DomainName = 'foo.com') and (CompareMem(@DomainControllerInfo.DomainGuid,@INTERNAL_DOMAIN_GUID, SizeOf(TGuid)));//WideCharToString(pDomain); 
     finally 
     NetCheck(NTNetApiBufferFree(DomainControllerInfo)); 
     end; 
    finally 
     FreeLibrary(LibHandle); 
    end; 
    end 
else 
    Result := False; 
end; 

Agregué una pregunta relacionada en ServerFault según lo sugerido.

He encontrado otra lectura interesante en Technet que también parece insinuar que estoy en lo cierto, pero no tiene un alcance específico en los dominios SID.

Answer 1

Si entiendo correctamente su requisito, la mejor API en su caso es GetUserNameEx. Puede elegir el valor del parámetro NameFormat del tipo EXTENDED_NAME_FORMAT que puede verificar mejor. Otra función GetComputerNameEx es útil si además desea verificar la información sobre la computadora donde se está ejecutando el programa.

Answer 2

tengo la necesidad de restringir específicos funciones de una aplicación basada en la ubicación de la sesión iniciada de usuario

Si usted está tratando de averiguar la ubicación de la que ha iniciado sesión usuario, no debe utilizar DsGetDcName.

Su computadora se puede unir a domainA. Su usuario de inicio de sesión puede ser domainB. Llamando DsGetDcName de su ordenador no se da dominioB GUID pero le dará dominioA GUID

Por lo tanto, creo que se debe utilizar en lugar LookupAccountName. El LookupAccountName le proporciona el SID del usuario que está conectado actualmente. Luego, puede extraer el SID del dominio del SID del usuario. Ese dominio SID es realmente el dominio de donde proviene este usuario. Para obtener detalles sobre cómo extraer un SID de dominio de un SID de usuario, verifique here

En relación con su pregunta original sobre la singularidad del GUID de dominio, lamento que no tenga respuesta. AFAIK, no hay ninguna herramienta disponible que le permita cambiar el SID del dominio ni el GUID. No estoy seguro de lo difícil que es hackearlo y cambiarlo.

Answer 3

Cree una cuenta de servicio en el dominio;

Obtenga el GUID de la cuenta de servicio y encripte y guárdelo en algún lugar (registro) tal vez como parte del proceso de instalación de la empresa para validar un acuerdo de licencia.

Al iniciarse la consulta de la aplicación del cliente para el GUID de la cuenta del servicio de dominio y validarlo con el GUID guardado.

O cree su propio servidor 'clave' empresarial.

Hacer una consulta LDAP es más fácil que hacer toda la basura del controlador de dominio.