将域用户加入本地管理员组（C#、Windows 7、Service）

     继前篇《自制Windows 7 注册表键值修改服务》中提出两个问题之后，今天又遇到了另一个新问题。为了避免域内感染病毒，以及防止安装盗版软件等安全问题。公司组策略中不允许域用户加入本地计算机管理员组，这也就意味着没有本机管理员（LAdmin）或域管理员（DAdmin）权限将无法安装任何软件，对于使用Windows 7 系统的用户UAC 会无时不刻的弹出要求输入LAdmin 或DAdmin 的用户名/密码。

解决方法

     其实最不用动脑子的方法就是每次用域用户（例如，CompanyDomain\User007）进入系统后，再使用LAdmin 或DAdmin 权限将User007 加入本地管理员组即可，但前提是您必须有管理员权限。有人会问：“直接用本机管理员登录使用不就行了？”这个方案的确可行，但毕竟在域中User007 用户有一些浏览文件服务器目录、邮件等权限，所以如果用LAdmin 登录的话，也时常会遇到需要录入User007 用户名/密码的问题。

     最为一劳永逸的方法还是使用服务（Service）。一来服务无需进行手工设置，既省时又省力。二来服务是以管理员权限运行的，也就是说我们不需要什么LAdmin 或DAdmin 就能将User007 加入本地管理员组，这也是使用服务的根本原因。本着这个思路通过System.DirectoryServices 就可以完成一个简单的服务程序。

using System;
using System.DirectoryServices;
using System.Collections;

namespace AddDomainUserToAdminGroup
{
class AddUserOpt
{
public static void AddUser()
{
DirectoryEntry adRoot = new DirectoryEntry(string.Format("WinNT://" + Environment.UserDomainName));
DirectoryEntry user = adRoot.Children.Find("User007", "User");

bool userIn = false;
string userPath = @"WinNT://CompanyDomain/User007";
DirectoryEntry localRoot = new DirectoryEntry("WinNT://" + Environment.MachineName + ",Computer");
DirectoryEntry group = localRoot.Children.Find("Administrators", "Group");

object members = group.Invoke("Members", null);
foreach (object member in (IEnumerable)members)
{
DirectoryEntry userInGroup = new DirectoryEntry(member);
if (userInGroup.Path.ToString() == userPath)
{
userIn = true;
break;
}
}

if (!userIn)
{
group.Invoke("Add", new Object[] { userPath });
}
}
}
}

     上面代码首先读取本地管理员组中所有用户，如果用户中不存在User007，则通过DirectoryEntry.Invoke 方法将其加入。另，划掉部分原本是用于获取userPath值（如下代码），但如果计算机没有在域中使用或没有连接网络的话，则服务将无法检测到User007，服务也将无法正常工作。所以直接将userPath 赋为“WinNT://CompanyDomain/User007” 即可。

string userPath = user.Path.ToString();

相关资料

1. DirectoryEntry.Invoke Method

http://msdn.microsoft.com/en-us/library/system.directoryservices.directoryentry.invoke(v=VS.80).aspx

2. DirectoryEntry Class

http://msdn.microsoft.com/en-us/library/system.directoryservices.directoryentry(v=VS.80).aspx