将域用户加入本地管理员组（C#、Windows 7、Service）

继前篇《自制Windows 7 注册表键值修改服务》中提出两个问题之后，今天又遇到了另一个新问题。为了避免域内感染病毒，以及防止安装盗版软件等安全问题。公司组策略中不允许域用户加入本地计算机管理员组，这也就意味着没有本机管理员（LAdmin）或域管理员（DAdmin）权限将无法安装任何软件，对于使用Windows 7 系统的用户UAC 会无时不刻的弹出要求输入LAdmin 或DAdmin 的用户名/密码。

解决方法

其实最不用动脑子的方法就是每次用域用户（例如，CompanyDomain\User007）进入系统后，再使用LAdmin 或DAdmin 权限将User007 加入本地管理员组即可，但前提是您必须有管理员权限。有人会问：“直接用本机管理员登录使用不就行了？”这个方案的确可行，但毕竟在域中User007 用户有一些浏览文件服务器目录、邮件等权限，所以如果用LAdmin 登录的话，也时常会遇到需要录入User007 用户名/密码的问题。

最为一劳永逸的方法还是使用服务（Service）。一来服务无需进行手工设置，既省时又省力。二来服务是以管理员权限运行的，也就是说我们不需要什么LAdmin 或DAdmin 就能将User007 加入本地管理员组，这也是使用服务的根本原因。本着这个思路通过System.DirectoryServices 就可以完成一个简单的服务程序。

using System;
using System.DirectoryServices;
using System.Collections;

namespace AddDomainUserToAdminGroup
{
    class AddUserOpt
    {
        public static void AddUser()
        {
            DirectoryEntry adRoot = new DirectoryEntry(string.Format("WinNT://" + Environment.UserDomainName));
            DirectoryEntry user = adRoot.Children.Find("User007", "User");

            bool userIn = false;
            string userPath = @"WinNT://CompanyDomain/User007";
            DirectoryEntry localRoot = new DirectoryEntry("WinNT://" + Environment.MachineName + ",Computer");
            DirectoryEntry group = localRoot.Children.Find("Administrators", "Group");

            object members = group.Invoke("Members", null);
            foreach (object member in (IEnumerable)members)
            {
                DirectoryEntry userInGroup = new DirectoryEntry(member);
                if (userInGroup.Path.ToString() == userPath)
                {
                    userIn = true;
                    break;
                }
            }

            if (!userIn)
            {
                group.Invoke("Add", new Object[] { userPath });
            }
        }
    }
}

上面代码首先读取本地管理员组中所有用户，如果用户中不存在User007，则通过DirectoryEntry.Invoke 方法将其加入。另，划掉部分原本是用于获取userPath值（如下代码），但如果计算机没有在域中使用或没有连接网络的话，则服务将无法检测到User007，服务也将无法正常工作。所以直接将userPath 赋为“WinNT://CompanyDomain/User007” 即可。