2. 技术人生
    3. 以程序的方式操纵NTFS的文件权限(下)

    以程序的方式操纵NTFS的文件权限(下)

    技术2022-05-11  117

        //     // STEP 14: 把一个 access-allowed ACE 加入到新的DACL    //     前面的循环拷贝了所有的非继承且SID为其它用户的ACE,退出循环的第一件事    // 就是加入我们指定的ACE。请注意首先先动态装载了一个AddAccessAllowedAceEx    // API函数,如果装载不成功,就调用AddAccessAllowedAce函数。前一个函数仅    // Windows 2000以后的版本支持,NT则没有,我们为了使用新版本的函数,我们首    // 先先检查一下当前系统中可不可以装载这个函数,如果可以则就使用。使用动态链接    // 使用静态链接的好处是,程序运行时不会因为没有这个API函数而报错。    //     // Ex版的函数多出了一个参数AceFlag(第三人参数),用这个参数我们可以来设置一    // 个叫ACE_HEADER的结构,以便让我们所设置的ACE可以被其子目录所继承下去,而     // AddAccessAllowedAce函数不能定制这个参数,在AddAccessAllowedAce函数    // 中,其会把ACE_HEADER这个结构设置成非继承的。    //       _AddAccessAllowedAceEx = (AddAccessAllowedAceExFnPtr)            GetProcAddress(GetModuleHandle(TEXT("advapi32.dll")),            "AddAccessAllowedAceEx");

          if (_AddAccessAllowedAceEx) {           if (!_AddAccessAllowedAceEx(pNewACL, ACL_REVISION2,              CONTAINER_INHERIT_ACE | OBJECT_INHERIT_ACE ,                dwAccessMask, pUserSID)) {             _tprintf(TEXT("AddAccessAllowedAceEx() failed. Error %d/n"),                   GetLastError());             __leave;          }      }else{          if (!AddAccessAllowedAce(pNewACL, ACL_REVISION2,                 dwAccessMask, pUserSID)) {             _tprintf(TEXT("AddAccessAllowedAce() failed. Error %d/n"),                   GetLastError());             __leave;          }      }

          //       // STEP 15: 按照已存在的ACE的顺序拷贝从父目录继承而来的ACE      //       if (fDaclPresent && AclInfo.AceCount) {

             for (;               CurrentAceIndex < AclInfo.AceCount;              CurrentAceIndex++) {

                //             // STEP 16: 从文件(目录)的DACL中继续取ACE            //             if (!GetAce(pACL, CurrentAceIndex, &pTempAce)) {               _tprintf(TEXT("GetAce() failed. Error %d/n"),                      GetLastError());               __leave;            }

                //             // STEP 17: ACE加入到新的DACL            //             if (!AddAce(pNewACL, ACL_REVISION, MAXDWORD, pTempAce,                  ((PACE_HEADER) pTempAce)->AceSize)) {               _tprintf(TEXT("AddAce() failed. Error %d/n"),                      GetLastError());               __leave;            }         }      }

          //       // STEP 18: 把新的ACL设置到新的SD      //       if (!SetSecurityDescriptorDacl(&newSD, TRUE, pNewACL,             FALSE)) {         _tprintf(TEXT("SetSecurityDescriptorDacl() failed. Error %d/n"),               GetLastError());         __leave;      }

          //       // STEP 19: 把老的SD中的控制标记再拷贝到新的SD,我们使用的是一个叫       // SetSecurityDescriptorControl() API函数,这个函数同样只存在于      // Windows 2000以后的版本中,所以我们还是要动态地把其从advapi32.dll       // 中载入,如果系统不支持这个函数,那就不拷贝老的SD的控制标记了。      //       _SetSecurityDescriptorControl =(SetSecurityDescriptorControlFnPtr)            GetProcAddress(GetModuleHandle(TEXT("advapi32.dll")),            "SetSecurityDescriptorControl");      if (_SetSecurityDescriptorControl) {

             SECURITY_DESCRIPTOR_CONTROL controlBitsOfInterest = 0;         SECURITY_DESCRIPTOR_CONTROL controlBitsToSet = 0;         SECURITY_DESCRIPTOR_CONTROL oldControlBits = 0;         DWORD dwRevision = 0;

             if (!GetSecurityDescriptorControl(pFileSD, &oldControlBits,            &dwRevision)) {            _tprintf(TEXT("GetSecurityDescriptorControl() failed.")                  TEXT("Error %d/n"), GetLastError());            __leave;         }

             if (oldControlBits & SE_DACL_AUTO_INHERITED) {            controlBitsOfInterest =               SE_DACL_AUTO_INHERIT_REQ |               SE_DACL_AUTO_INHERITED ;            controlBitsToSet = controlBitsOfInterest;         }         else if (oldControlBits & SE_DACL_PROTECTED) {            controlBitsOfInterest = SE_DACL_PROTECTED;            controlBitsToSet = controlBitsOfInterest;         }       

             if (controlBitsOfInterest) {            if (!_SetSecurityDescriptorControl(&newSD,               controlBitsOfInterest,               controlBitsToSet)) {               _tprintf(TEXT("SetSecurityDescriptorControl() failed.")                     TEXT("Error %d/n"), GetLastError());               __leave;            }         }      }

          //       // STEP 20: 把新的SD设置设置到文件的安全属性中(千山万水啊,终于到了)      //       if (!SetFileSecurity(lpszFileName, secInfo,            &newSD)) {         _tprintf(TEXT("SetFileSecurity() failed. Error %d/n"),                GetLastError());         __leave;      }

          fResult = TRUE;

       } __finally {

          //       // STEP 21: 释放已分配的内存,以免Memory Leak      //       if (pUserSID)  myheapfree(pUserSID);      if (szDomain)  myheapfree(szDomain);      if (pFileSD) myheapfree(pFileSD);      if (pNewACL) myheapfree(pNewACL);   }

       return fResult;}

     

    int _tmain(int argc, TCHAR *argv[]) {

       if (argc < 3) {      _tprintf(TEXT("usage: /"%s/" <FileName> <AccountName>/n"), argv[0]);      return 1;   }

       // argv[1] – 文件(目录)名   // argv[2] – 用户(组)名   // GENERIC_ALL表示所有的权限,其是一系列的NTFS权限的或   //      NTFS的文件权限很细,还请参看MSDN   if (!AddAccessRights(argv[1], argv[2], GENERIC_ALL)) {      _tprintf(TEXT("AddAccessRights() failed./n"));      return 1;   }   else {      _tprintf(TEXT("AddAccessRights() succeeded./n"));      return 0;   }}

    三、             一些相关的API函数

     

    通过以上的示例,相信你已知道如何操作NTFS文件安全属性了,还有一些API函数需要介绍一下。

    1、  如果你要加入一个Access-Denied ACE,你可以使用AddAccessDeniedAce函数

    2、  如果你要删除一个ACE,你可以使用DeleteAce函数

    3、  如果你要检查你所设置的ACL是否合法,你可以使用IsValidAcl函数,同样,对于SD的合法也有一个叫IsValidSecurityDescriptor的函数

    4、  MakeAbsoluteSDMakeSelfRelativeSD两个函数可以在两种SD的格式中进行转换。

    5、  使用SetSecurityDescriptorDacl SetSecurityDescriptorSacl可以方便地把ACL设置到SD中。

    6、  使用GetSecurityDescriptorDacl or GetSecurityDescriptorSacl可以方便地取得SD中的ACL结构。

    我们把一干和SD/ACL/ACE相关的API函数叫作Low-Level Security Descriptor Functions,其详细信息还请参看MSDN

    我的MSNhaoel@hotmail.com,专栏在http://www.csdn.net/develop/author/netauthor/haoel/欢迎大家和我交流。

    <-上一页

    (版权所有,转载时请注明出处和作者信息)

    专利

    最新回复(0)