以程序的方式操纵NTFS的文件权限(下)

王朝vc·作者佚名  2006-01-08
窄屏简体版  字體: |||超大  

//

// STEP 14: 把一个 access-allowed 的ACE 加入到新的DACL中

// 前面的循环拷贝了所有的非继承且SID为其它用户的ACE,退出循环的第一件事

// 就是加入我们指定的ACE。请注意首先先动态装载了一个AddAccessAllowedAceEx

// 的API函数,如果装载不成功,就调用AddAccessAllowedAce函数。前一个函数仅

// 在Windows 2000以后的版本支持,NT则没有,我们为了使用新版本的函数,我们首

// 先先检查一下当前系统中可不可以装载这个函数,如果可以则就使用。使用动态链接

// 比使用静态链接的好处是,程序运行时不会因为没有这个API函数而报错。

//

// Ex版的函数多出了一个参数AceFlag(第三人参数),用这个参数我们可以来设置一

// 个叫ACE_HEADER的结构,以便让我们所设置的ACE可以被其子目录所继承下去,而

// AddAccessAllowedAce函数不能定制这个参数,在AddAccessAllowedAce函数

// 中,其会把ACE_HEADER这个结构设置成非继承的。

//

_AddAccessAllowedAceEx = (AddAccessAllowedAceExFnPtr)

GetProcAddress(GetModuleHandle(TEXT("advapi32.dll")),

"AddAccessAllowedAceEx");

if (_AddAccessAllowedAceEx) {

if (!_AddAccessAllowedAceEx(pNewACL, ACL_REVISION2,

CONTAINER_INHERIT_ACE | OBJECT_INHERIT_ACE ,

dwAccessMask, pUserSID)) {

_tprintf(TEXT("AddAccessAllowedAceEx() failed. Error %d\n"),

GetLastError());

__leave;

}

}else{

if (!AddAccessAllowedAce(pNewACL, ACL_REVISION2,

dwAccessMask, pUserSID)) {

_tprintf(TEXT("AddAccessAllowedAce() failed. Error %d\n"),

GetLastError());

__leave;

}

}

//

// STEP 15: 按照已存在的ACE的顺序拷贝从父目录继承而来的ACE

//

if (fDaclPresent && AclInfo.AceCount) {

for (;

CurrentAceIndex < AclInfo.AceCount;

CurrentAceIndex++) {

//

// STEP 16: 从文件(目录)的DACL中继续取ACE

//

if (!GetAce(pACL, CurrentAceIndex, &pTempAce)) {

_tprintf(TEXT("GetAce() failed. Error %d\n"),

GetLastError());

__leave;

}

//

// STEP 17: 把ACE加入到新的DACL中

//

if (!AddAce(pNewACL, ACL_REVISION, MAXDWORD, pTempAce,

((PACE_HEADER) pTempAce)->AceSize)) {

_tprintf(TEXT("AddAce() failed. Error %d\n"),

GetLastError());

__leave;

}

}

}

//

// STEP 18: 把新的ACL设置到新的SD中

//

if (!SetSecurityDescriptorDacl(&newSD, TRUE, pNewACL,

FALSE)) {

_tprintf(TEXT("SetSecurityDescriptorDacl() failed. Error %d\n"),

GetLastError());

__leave;

}

//

// STEP 19: 把老的SD中的控制标记再拷贝到新的SD中,我们使用的是一个叫

// SetSecurityDescriptorControl() 的API函数,这个函数同样只存在于

// Windows 2000以后的版本中,所以我们还是要动态地把其从advapi32.dll

// 中载入,如果系统不支持这个函数,那就不拷贝老的SD的控制标记了。

//

_SetSecurityDescriptorControl =(SetSecurityDescriptorControlFnPtr)

GetProcAddress(GetModuleHandle(TEXT("advapi32.dll")),

"SetSecurityDescriptorControl");

if (_SetSecurityDescriptorControl) {

SECURITY_DESCRIPTOR_CONTROL controlBitsOfInterest = 0;

SECURITY_DESCRIPTOR_CONTROL controlBitsToSet = 0;

SECURITY_DESCRIPTOR_CONTROL oldControlBits = 0;

DWORD dwRevision = 0;

if (!GetSecurityDescriptorControl(pFileSD, &oldControlBits,

&dwRevision)) {

_tprintf(TEXT("GetSecurityDescriptorControl() failed.")

TEXT("Error %d\n"), GetLastError());

__leave;

}

if (oldControlBits & SE_DACL_AUTO_INHERITED) {

controlBitsOfInterest =

SE_DACL_AUTO_INHERIT_REQ |

SE_DACL_AUTO_INHERITED ;

controlBitsToSet = controlBitsOfInterest;

}

else if (oldControlBits & SE_DACL_PROTECTED) {

controlBitsOfInterest = SE_DACL_PROTECTED;

controlBitsToSet = controlBitsOfInterest;

}

if (controlBitsOfInterest) {

if (!_SetSecurityDescriptorControl(&newSD,

controlBitsOfInterest,

controlBitsToSet)) {

_tprintf(TEXT("SetSecurityDescriptorControl() failed.")

TEXT("Error %d\n"), GetLastError());

__leave;

}

}

}

//

// STEP 20: 把新的SD设置设置到文件的安全属性中(千山万水啊,终于到了)

//

if (!SetFileSecurity(lpszFileName, secInfo,

&newSD)) {

_tprintf(TEXT("SetFileSecurity() failed. Error %d\n"),

GetLastError());

__leave;

}

fResult = TRUE;

} __finally {

//

// STEP 21: 释放已分配的内存,以免Memory Leak

//

if (pUserSID) myheapfree(pUserSID);

if (szDomain) myheapfree(szDomain);

if (pFileSD) myheapfree(pFileSD);

if (pNewACL) myheapfree(pNewACL);

}

return fResult;

}

int _tmain(int argc, TCHAR *argv[]) {

if (argc < 3) {

_tprintf(TEXT("usage: \"%s\" <FileName> <AccountName>\n"), argv[0]);

return 1;

}

// argv[1] – 文件(目录)名

// argv[2] – 用户(组)名

// GENERIC_ALL表示所有的权限,其是一系列的NTFS权限的或

// NTFS的文件权限很细,还请参看MSDN。

if (!AddAccessRights(argv[1], argv[2], GENERIC_ALL)) {

_tprintf(TEXT("AddAccessRights() failed.\n"));

return 1;

}

else {

_tprintf(TEXT("AddAccessRights() succeeded.\n"));

return 0;

}

}

三、 一些相关的API函数

通过以上的示例,相信你已知道如何操作NTFS文件安全属性了,还有一些API函数需要介绍一下。

1、 如果你要加入一个Access-Denied 的ACE,你可以使用AddAccessDeniedAce函数

2、 如果你要删除一个ACE,你可以使用DeleteAce函数

3、 如果你要检查你所设置的ACL是否合法,你可以使用IsValidAcl函数,同样,对于SD的合法也有一个叫IsValidSecurityDescriptor的函数

4、 MakeAbsoluteSD和MakeSelfRelativeSD两个函数可以在两种SD的格式中进行转换。

5、 使用SetSecurityDescriptorDacl 和 SetSecurityDescriptorSacl可以方便地把ACL设置到SD中。

6、 使用GetSecurityDescriptorDacl or GetSecurityDescriptorSacl可以方便地取得SD中的ACL结构。

我们把一干和SD/ACL/ACE相关的API函数叫作Low-Level Security Descriptor Functions,其详细信息还请参看MSDN。

我的MSN是haoel@hotmail.com,专栏在http://www.csdn.net/develop/author/netauthor/haoel/欢迎大家和我交流。

<-上一页

(版权所有,转载时请注明出处和作者信息)

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
 
 
© 2005- 王朝網路 版權所有 導航