以程序的方式操纵NTFS的文件权限（中）

还是请看例程，这个程序比较长，来源于MSDN，我做了一点点修改，并把自己的理解加在注释中，所以，请注意代码中的注释：

#include <windows.h>

#include <tchar.h>

#include <stdio.h>

//使用Windows的HeapAlloc函数进行动态内存分配

#define myheapalloc(x) (HeapAlloc(GetProcessHeap(), HEAP_ZERO_MEMORY, x))

#define myheapfree(x) (HeapFree(GetProcessHeap(), 0, x))

typedef BOOL (WINAPI *SetSecurityDescriptorControlFnPtr)(

IN PSECURITY_DESCRIPTOR pSecurityDescriptor,

IN SECURITY_DESCRIPTOR_CONTROL ControlBitsOfInterest,

IN SECURITY_DESCRIPTOR_CONTROL ControlBitsToSet);

typedef BOOL (WINAPI *AddAccessAllowedAceExFnPtr)(

PACL pAcl,

DWORD dwAceRevision,

DWORD AceFlags,

DWORD AccessMask,

PSID pSid

);

BOOL AddAccessRights(TCHAR *lpszFileName, TCHAR *lpszAccountName,

DWORD dwAccessMask) {

// 声明SID变量

SID_NAME_USE snuType;

// 声明和LookupAccountName相关的变量（注意，全为0，要在程序中动态分配）

TCHAR * szDomain = NULL;

DWORD cbDomain = 0;

LPVOID pUserSID = NULL;

DWORD cbUserSID = 0;

// 和文件相关的安全描述符 SD 的变量

PSECURITY_DESCRIPTOR pFileSD = NULL; // 结构变量

DWORD cbFileSD = 0; // SD的size

// 一个新的SD的变量，用于构造新的ACL（把已有的ACL和需要新加的ACL整合起来）

SECURITY_DESCRIPTOR newSD;

// 和ACL 相关的变量

PACL pACL = NULL;

BOOL fDaclPresent;

BOOL fDaclDefaulted;

ACL_SIZE_INFORMATION AclInfo;

// 一个新的 ACL 变量

PACL pNewACL = NULL; //结构指针变量

DWORD cbNewACL = 0; //ACL的size

// 一个临时使用的 ACE 变量

LPVOID pTempAce = NULL;

UINT CurrentAceIndex = 0; //ACE在ACL中的位置

UINT newAceIndex = 0; //新添的ACE在ACL中的位置

//API函数的返回值，假设所有的函数都返回失败。

BOOL fResult;

BOOL fAPISuccess;

SECURITY_INFORMATION secInfo = DACL_SECURITY_INFORMATION;

// 下面的两个函数是新的API函数，仅在Windows 2000以上版本的操作系统支持。

// 在此将从Advapi32.dll文件中动态载入。如果你使用VC++ 6.0编译程序，而且你想

// 使用这两个函数的静态链接。则请为你的编译加上：/D_WIN32_WINNT=0x0500

// 的编译参数。并且确保你的SDK的头文件和lib文件是最新的。

SetSecurityDescriptorControlFnPtr _SetSecurityDescriptorControl = NULL;

AddAccessAllowedAceExFnPtr _AddAccessAllowedAceEx = NULL;

__try {

//

// STEP 1: 通过用户名取得SID

// 在这一步中LookupAccountName函数被调用了两次，第一次是取出所需要

// 的内存的大小，然后，进行内存分配。第二次调用才是取得了用户的帐户信息。

// LookupAccountName同样可以取得域用户或是用户组的信息。（请参看MSDN）

//

fAPISuccess = LookupAccountName(NULL, lpszAccountName,

pUserSID, &cbUserSID, szDomain, &cbDomain, &snuType);

// 以上调用API会失败，失败原因是内存不足。并把所需要的内存大小传出。

// 下面是处理非内存不足的错误。

if (fAPISuccess)

__leave;

else if (GetLastError() != ERROR_INSUFFICIENT_BUFFER) {

_tprintf(TEXT("LookupAccountName() failed. Error %d\n"),

GetLastError());

__leave;

}

pUserSID = myheapalloc(cbUserSID);

if (!pUserSID) {

_tprintf(TEXT("HeapAlloc() failed. Error %d\n"), GetLastError());

__leave;

}

szDomain = (TCHAR *) myheapalloc(cbDomain * sizeof(TCHAR));

if (!szDomain) {

_tprintf(TEXT("HeapAlloc() failed. Error %d\n"), GetLastError());

__leave;

}

fAPISuccess = LookupAccountName(NULL, lpszAccountName,

pUserSID, &cbUserSID, szDomain, &cbDomain, &snuType);

if (!fAPISuccess) {

_tprintf(TEXT("LookupAccountName() failed. Error %d\n"),

GetLastError());

__leave;

}

//

// STEP 2: 取得文件（目录）相关的安全描述符SD

// 使用GetFileSecurity函数取得一份文件SD的拷贝，同样，这个函数也

// 是被调用两次，第一次同样是取SD的内存长度。注意，SD有两种格式：自相关的

// （self-relative）和 完全的（absolute），GetFileSecurity只能取到“自

// 相关的”，而SetFileSecurity则需要完全的。这就是为什么需要一个新的SD，

// 而不是直接在GetFileSecurity返回的SD上进行修改。因为“自相关的”信息

// 是不完整的。

fAPISuccess = GetFileSecurity(lpszFileName,

secInfo, pFileSD, 0, &cbFileSD);

// 以上调用API会失败，失败原因是内存不足。并把所需要的内存大小传出。

// 下面是处理非内存不足的错误。

if (fAPISuccess)

__leave;

else if (GetLastError() != ERROR_INSUFFICIENT_BUFFER) {

_tprintf(TEXT("GetFileSecurity() failed. Error %d\n"),

GetLastError());

__leave;

}

pFileSD = myheapalloc(cbFileSD);

if (!pFileSD) {

_tprintf(TEXT("HeapAlloc() failed. Error %d\n"), GetLastError());

__leave;

}

fAPISuccess = GetFileSecurity(lpszFileName,

secInfo, pFileSD, cbFileSD, &cbFileSD);

if (!fAPISuccess) {

_tprintf(TEXT("GetFileSecurity() failed. Error %d\n"),

GetLastError());

__leave;

}

//

// STEP 3: 初始化一个新的SD

//

if (!InitializeSecurityDescriptor(&newSD,

SECURITY_DESCRIPTOR_REVISION)) {

_tprintf(TEXT("InitializeSecurityDescriptor() failed.")

TEXT("Error %d\n"), GetLastError());

__leave;

}

//

// STEP 4: 从GetFileSecurity 返回的SD中取DACL

//

if (!GetSecurityDescriptorDacl(pFileSD, &fDaclPresent, &pACL,

&fDaclDefaulted)) {

_tprintf(TEXT("GetSecurityDescriptorDacl() failed. Error %d\n"),

GetLastError());

__leave;

}

//

// STEP 5: 取 DACL的内存size

// GetAclInformation可以提供DACL的内存大小。只传入一个类型为

// ACL_SIZE_INFORMATION的structure的参数，需DACL的信息，是为了

// 方便我们遍历其中的ACE。

AclInfo.AceCount = 0; // Assume NULL DACL.

AclInfo.AclBytesFree = 0;

AclInfo.AclBytesInUse = sizeof(ACL);

if (pACL == NULL)

fDaclPresent = FALSE;

// 如果DACL不为空，则取其信息。（大多数情况下“自关联”的DACL为空）

if (fDaclPresent) {

if (!GetAclInformation(pACL, &AclInfo,

sizeof(ACL_SIZE_INFORMATION), AclSizeInformation)) {

_tprintf(TEXT("GetAclInformation() failed. Error %d\n"),

GetLastError());

__leave;

}

}

//

// STEP 6: 计算新的ACL的size

// 计算的公式是：原有的DACL的size加上需要添加的一个ACE的size，以

// 及加上一个和ACE相关的SID的size，最后减去两个字节以获得精确的大小。

cbNewACL = AclInfo.AclBytesInUse + sizeof(ACCESS_ALLOWED_ACE)

+ GetLengthSid(pUserSID) - sizeof(DWORD);

//

// STEP 7: 为新的ACL分配内存

//

pNewACL = (PACL) myheapalloc(cbNewACL);

if (!pNewACL) {

_tprintf(TEXT("HeapAlloc() failed. Error %d\n"), GetLastError());

__leave;

}

//

// STEP 8: 初始化新的ACL结构

//

if (!InitializeAcl(pNewACL, cbNewACL, ACL_REVISION2)) {

_tprintf(TEXT("InitializeAcl() failed. Error %d\n"),

GetLastError());

__leave;

}

//

// STEP 9 如果文件（目录） DACL 有数据，拷贝其中的ACE到新的DACL中

//

// 下面的代码假设首先检查指定文件（目录）是否存在的DACL，如果有的话，

// 那么就拷贝所有的ACE到新的DACL结构中，我们可以看到其遍历的方法是采用

// ACL_SIZE_INFORMATION结构中的AceCount成员来完成的。在这个循环中，

// 会按照默认的ACE的顺序来进行拷贝（ACE在ACL中的顺序是很关键的），在拷

// 贝过程中，先拷贝非继承的ACE（我们知道ACE会从上层目录中继承下来）

//

newAceIndex = 0;

if (fDaclPresent && AclInfo.AceCount) {

for (CurrentAceIndex = 0;

CurrentAceIndex < AclInfo.AceCount;

CurrentAceIndex++) {

//

// STEP 10: 从DACL中取ACE

//

if (!GetAce(pACL, CurrentAceIndex, &pTempAce)) {

_tprintf(TEXT("GetAce() failed. Error %d\n"),

GetLastError());

__leave;

}

//

// STEP 11: 检查是否是非继承的ACE

// 如果当前的ACE是一个从父目录继承来的ACE，那么就退出循环。

// 因为，继承的ACE总是在非继承的ACE之后，而我们所要添加的ACE

// 应该在已有的非继承的ACE之后，所有的继承的ACE之前。退出循环

// 正是为了要添加一个新的ACE到新的DACL中，这后，我们再把继承的

// ACE拷贝到新的DACL中。

//

if (((ACCESS_ALLOWED_ACE *)pTempAce)->Header.AceFlags

& INHERITED_ACE)

break;

//

// STEP 12: 检查要拷贝的ACE的SID是否和需要加入的ACE的SID一样，

// 如果一样，那么就应该废掉已存在的ACE，也就是说，同一个用户的存取

// 权限的设置的ACE，在DACL中应该唯一。这在里，跳过对同一用户已设置

// 了的ACE，仅是拷贝其它用户的ACE。

//

if (EqualSid(pUserSID,

&(((ACCESS_ALLOWED_ACE *)pTempAce)->SidStart)))

continue;

//

// STEP 13: 把ACE加入到新的DACL中

// 下面的代码中，注意 AddAce 函数的第三个参数，这个参数的意思是

// ACL中的索引值，意为要把ACE加到某索引位置之后，参数MAXDWORD的

// 意思是确保当前的ACE是被加入到最后的位置。

//

if (!AddAce(pNewACL, ACL_REVISION, MAXDWORD, pTempAce,

((PACE_HEADER) pTempAce)->AceSize)) {

_tprintf(TEXT("AddAce() failed. Error %d\n"),

GetLastError());

__leave;

}

newAceIndex++;

}

}

(程序未完，请看下篇)

<-上一页 下一页->

（版权所有，转载时请注明出处和作者信息）

• ·the boost c++ metaprogr
• ·the boost c++ metaprogr
• ·JasperReport 学习必备手册
• ·Oracle面试问题－技术篇
• ·以程序的方式操纵NTFS的文件权限（下）
• ·压缩图像文件并转换成BMP格式
• ·以程序的方式操纵NTFS的文件权限（上）
• ·规范子系统间数据调用的重要性
• ·Hibernate技术（3）
• ·Hibernate技术（2）