Windows 2008 RenderFarm服务：CreateProcessAsUser“会话0隔离

因此,我正在寻找代码示例/安全设置mojo,它允许您从Windows 2008 Server的Windows服务创建一个新进程,以便我可以恢复(并可能超过)以前的行为.我需要一个解决方案：

>在非零会话中创建新进程以绕过会话0隔离限制(无法从会话0访问图形硬件) – 官方MS线路是：

Because Session 0 is no longer a user
session,services that are running in
Session 0 do not have access to the
video driver. This means that any
attempt that a service makes to render
graphics fails. Querying the display
resolution and color depth in Session
0 reports the correct results for the
system up to a maximum of 1920×1200 at
32 bits per pixel.

>新进程获取可用于创建Windows DC的Windows工作站/桌面(例如winsta0 / default).我在这里找到了一个解决方案(在交互式会话中启动OK)：Starting an Interactive Client Process in C++
>当用作OpenGL DescribePixelFormat enumeration的基础时,Windows DC能够找到并使用硬件加速格式(在适当配备OpenGL硬件的系统上).请注意,我们当前的解决方案在XP-64和W2K3上运行正常,除非终端服务会话正在运行(VNC工作正常.)一个允许进程工作的解决方案(即使在终端服务会话打开时运行OpenGL硬件加速)也会很奇妙,尽管不是必需的.

我目前只停留在第1项,虽然有一些类似的帖子讨论这个(如this和this – 它们不是合适的解决方案,因为无法保证用户会话已经登录“拿”了来自的会话ID,我也没有从LocalSystem帐户运行(我从服务的域帐户运行,我可以在合理范围内调整权限,尽管我更愿意不必将优先级升级到包括SeTcbPrivileges.)

例如 – 这是我认为应该工作的存根,但总是在SetTokenInformation调用上返回错误1314(即使AdjustTokenPrivileges没有返回任何错误)我也使用了一些涉及“LogonUser”的替代策略(而不是打开现有的进程令牌),但我似乎无法换出会话ID.

我也怀疑在所有情况下都使用WTSActiveConsoleSessionId(例如,如果没有交互式用户登录) – 尽管对没有登录会话的服务运行的快速测试似乎返回了合理的会话值(1).

为了便于阅读,我删除了错误处理(仍然有点乱 – 道歉)

//Also tried using LogonUser(..) here
OpenProcessToken(GetCurrentProcess(),TOKEN_QUERY
                         | TOKEN_ADJUST_PRIVILEGES | TOKEN_ADJUST_SESSIONID
                         | TOKEN_ADJUST_DEFAULT | TOKEN_ASSIGN_PRIMARY
                         | TOKEN_DUPLICATE,&hToken)

GetTokenInformation( hToken,TokenSessionId,&logonSessionId,sizeof(DWORD),&dwTokenLength )

DWORD consoleSessionId = WTSGetActiveConsoleSessionId();

/* Can't use this - requires very elevated privileges (LOCAL only,SeTcbPrivileges as well)   
   if( !WTSQueryUserToken(consoleSessionId,&hToken))
...
   */

DuplicateTokenEx(hToken,(TOKEN_QUERY | TOKEN_ADJUST_PRIVILEGES | TOKEN_ADJUST_SESSIONID | TOKEN_ADJUST_DEFAULT | TOKEN_ASSIGN_PRIMARY | TOKEN_DUPLICATE),NULL,SecurityIdentification,TokenPrimary,&hDupToken))


    // Look up the LUID for the TCB Name privilege.
LookupPrivilegeValue(NULL,SE_TCB_NAME,&tp.Privileges[0].Luid))

    // Enable the TCB Name privilege in the token.
tp.PrivilegeCount = 1;
tp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;

    if (!AdjustTokenPrivileges(hDupToken,FALSE,&tp,sizeof(TOKEN_PRIVILEGES),0))
    {
        DisplayError("AdjustTokenPrivileges");
           ...
    }

    if (GetLastError() == ERROR_NOT_ALL_ASSIGNED)
    {
        DEBUG( "Token does not have the necessary privilege.n");
    } else {
        DEBUG( "No error reported from AdjustTokenPrivileges!n");
    }                                                                                                                                                                                        // Never errors here

   DEBUG(LM_INFO,"Attempting setting of sessionId to: %dn",consoleSessionId );

   if (!SetTokenInformation(hDupToken,&consoleSessionId,sizeof(DWORD)))
           *** ALWAYS FAILS WITH 1314 HERE ***

所有调试输出看起来都很好,直到SetTokenInformation调用 – 我看到会话0是我当前的进程会话,在我的情况下,它正在尝试设置会话1(WTSGetActiveConsoleSessionId的结果). (注意我是通过VNC而不是RDC登录到W2K8盒子)

所以 – 一个问题：

>此方法是否有效,或者是否有意将所有服务启动的进程限制为会话0？
>有没有更好的方法(缺少“登录时启动”和服务器的自动登录？)
>这段代码有什么问题,或者创建进程令牌的方法不同,我可以换出会话ID来表示我想在新会话中生成进程吗？我确实尝试使用LogonUser而不是OpenProcessToken,但这也不起作用. (我不在乎所有衍生进程是否共享相同的非零会话.)

任何帮助非常感谢 – 谢谢！