设为首页优惠IDC收藏本站六狼博客六狼论坛
开启辅助访问 切换到窄版

六狼论坛

 找回密码
 立即注册

QQ登录

只需一步,快速开始

新浪微博账号登陆

只需一步,快速开始

搜索
六狼论坛»首页 数据库开发 Access 以程序的方式操纵NTFS的文件权限(下)
返回列表 发新帖
查看: 67|回复: 0

以程序的方式操纵NTFS的文件权限(下)

[复制链接]
javatgo

升级  56.05%

691

主题

691

主题

691

主题

探花

Rank: 6Rank: 6

积分
2121
 楼主| 发表于 2013-1-14 07:15:23 | 显示全部楼层 |阅读模式
             //
 // STEP 14: 把一个 access-allowed ACE 加入到新的DACL
 // 前面的循环拷贝了所有的非继承且SID为其它用户的ACE,退出循环的第一件事
// 就是加入我们指定的ACE。请注意首先先动态装载了一个AddAccessAllowedAceEx
 // API函数,如果装载不成功,就调用AddAccessAllowedAce函数。前一个函数仅
// Windows 2000以后的版本支持,NT则没有,我们为了使用新版本的函数,我们首
// 先先检查一下当前系统中可不可以装载这个函数,如果可以则就使用。使用动态链接
// 比使用静态链接的好处是,程序运行时不会因为没有这个API函数而报错。
//
 // Ex版的函数多出了一个参数AceFlag(第三人参数),用这个参数我们可以来设置一
// 个叫ACE_HEADER的结构,以便让我们所设置的ACE可以被其子目录所继承下去,而
 // AddAccessAllowedAce函数不能定制这个参数,在AddAccessAllowedAce函数
// 中,其会把ACE_HEADER这个结构设置成非继承的。
//
 _AddAccessAllowedAceEx = (AddAccessAllowedAceExFnPtr)
 GetProcAddress(GetModuleHandle(TEXT("advapi32.dll")),
 "AddAccessAllowedAceEx");
              if (_AddAccessAllowedAceEx) {
if (!_AddAccessAllowedAceEx(pNewACL, ACL_REVISION2,
CONTAINER_INHERIT_ACE | OBJECT_INHERIT_ACE ,
 dwAccessMask, pUserSID)) {
_tprintf(TEXT("AddAccessAllowedAceEx() failed. Error %d\n"),
 GetLastError());
__leave;
 }
 }else{
 if (!AddAccessAllowedAce(pNewACL, ACL_REVISION2,
 dwAccessMask, pUserSID)) {
_tprintf(TEXT("AddAccessAllowedAce() failed. Error %d\n"),
 GetLastError());
__leave;
 }
 }
             //
 // STEP 15: 按照已存在的ACE的顺序拷贝从父目录继承而来的ACE
 //
 if (fDaclPresent && AclInfo.AceCount) {
             for (;
 CurrentAceIndex < AclInfo.AceCount;
 CurrentAceIndex++) {
             //
 // STEP 16: 从文件(目录)的DACL中继续取ACE
 //
 if (!GetAce(pACL, CurrentAceIndex, &pTempAce)) {
 _tprintf(TEXT("GetAce() failed. Error %d\n"),
 GetLastError());
 __leave;
 }
             //
 // STEP 17: ACE加入到新的DACL
 //
 if (!AddAce(pNewACL, ACL_REVISION, MAXDWORD, pTempAce,
 ((PACE_HEADER) pTempAce)->AceSize)) {
 _tprintf(TEXT("AddAce() failed. Error %d\n"),
 GetLastError());
 __leave;
 }
 }
 }
             //
 // STEP 18: 把新的ACL设置到新的SD
 //
 if (!SetSecurityDescriptorDacl(&newSD, TRUE, pNewACL,
 FALSE)) {
 _tprintf(TEXT("SetSecurityDescriptorDacl() failed. Error %d\n"),
 GetLastError());
 __leave;
}
             //
 // STEP 19: 把老的SD中的控制标记再拷贝到新的SD,我们使用的是一个叫
 // SetSecurityDescriptorControl() API函数,这个函数同样只存在于
// Windows 2000以后的版本中,所以我们还是要动态地把其从advapi32.dll
 // 中载入,如果系统不支持这个函数,那就不拷贝老的SD的控制标记了。
//
 _SetSecurityDescriptorControl =(SetSecurityDescriptorControlFnPtr)
 GetProcAddress(GetModuleHandle(TEXT("advapi32.dll")),
 "SetSecurityDescriptorControl");
 if (_SetSecurityDescriptorControl) {
             SECURITY_DESCRIPTOR_CONTROL controlBitsOfInterest = 0;
 SECURITY_DESCRIPTOR_CONTROL controlBitsToSet = 0;
 SECURITY_DESCRIPTOR_CONTROL oldControlBits = 0;
 DWORD dwRevision = 0;
             if (!GetSecurityDescriptorControl(pFileSD, &oldControlBits,
 &dwRevision)) {
 _tprintf(TEXT("GetSecurityDescriptorControl() failed.")
 TEXT("Error %d\n"), GetLastError());
 __leave;
 }
             if (oldControlBits & SE_DACL_AUTO_INHERITED) {
 controlBitsOfInterest =
SE_DACL_AUTO_INHERIT_REQ |
 SE_DACL_AUTO_INHERITED ;
 controlBitsToSet = controlBitsOfInterest;
 }
 else if (oldControlBits & SE_DACL_PROTECTED) {
 controlBitsOfInterest = SE_DACL_PROTECTED;
controlBitsToSet = controlBitsOfInterest;
 }
             if (controlBitsOfInterest) {
 if (!_SetSecurityDescriptorControl(&newSD,
 controlBitsOfInterest,
 controlBitsToSet)) {
 _tprintf(TEXT("SetSecurityDescriptorControl() failed.")
 TEXT("Error %d\n"), GetLastError());
 __leave;
 }
 }
 }
             //
 // STEP 20: 把新的SD设置设置到文件的安全属性中(千山万水啊,终于到了)
//
 if (!SetFileSecurity(lpszFileName, secInfo,
 &newSD)) {
 _tprintf(TEXT("SetFileSecurity() failed. Error %d\n"),
 GetLastError());
 __leave;
 }
             fResult = TRUE;
             } __finally {
             //
 // STEP 21: 释放已分配的内存,以免Memory Leak
 //
 if (pUserSID) myheapfree(pUserSID);
 if (szDomain) myheapfree(szDomain);
 if (pFileSD) myheapfree(pFileSD);
 if (pNewACL) myheapfree(pNewACL);
 }
            return fResult;
}
                                    
int _tmain(int argc, TCHAR *argv[]) {
             if (argc < 3) {
 _tprintf(TEXT("usage: \"%s\" <FileName> <AccountName>\n"), argv[0]);
 return 1;
 }
             // argv[1] – 文件(目录)名
// argv[2] – 用户(组)名
// GENERIC_ALL表示所有的权限,其是一系列的NTFS权限的或
// NTFS的文件权限很细,还请参看MSDN
if (!AddAccessRights(argv[1], argv[2], GENERIC_ALL)) {
 _tprintf(TEXT("AddAccessRights() failed.\n"));
 return 1;
 }
 else {
 _tprintf(TEXT("AddAccessRights() succeeded.\n"));
 return 0;
 }
}
                        




三、 一些相关的API函数


通过以上的示例,相信你已知道如何操作NTFS文件安全属性了,还有一些API函数需要介绍一下。
1、 如果你要加入一个Access-Denied 的ACE,你可以使用AddAccessDeniedAce函数
2、 如果你要删除一个ACE,你可以使用DeleteAce函数
3、 如果你要检查你所设置的ACL是否合法,你可以使用IsValidAcl函数,同样,对于SD的合法也有一个叫IsValidSecurityDescriptor的函数
4、 MakeAbsoluteSDMakeSelfRelativeSD两个函数可以在两种SD的格式中进行转换。
5、 使用SetSecurityDescriptorDaclSetSecurityDescriptorSacl可以方便地把ACL设置到SD中。
6、 使用GetSecurityDescriptorDacl or GetSecurityDescriptorSacl可以方便地取得SD中的ACL结构。
我们把一干和SD/ACL/ACE相关的API函数叫作Low-Level Security Descriptor Functions,其详细信息还请参看MSDN。
我的MSN是haoel@hotmail.com,专栏在http://www.csdn.net/develop/author/netauthor/haoel/欢迎大家和我交流。


<-上一页
(版权所有,转载时请注明出处和作者信息)
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册 新浪微博账号登陆

本版积分规则

快速回复 返回顶部 返回列表