//
// STEP 14: 把一个 access-allowed 的ACE 加入到新的DACL中
// 前面的循环拷贝了所有的非继承且SID为其它用户的ACE,退出循环的第一件事
// 就是加入我们指定的ACE。请注意首先先动态装载了一个AddAccessAllowedAceEx
// 的API函数,如果装载不成功,就调用AddAccessAllowedAce函数。前一个函数仅
// 在Windows 2000以后的版本支持,NT则没有,我们为了使用新版本的函数,我们首
// 先先检查一下当前系统中可不可以装载这个函数,如果可以则就使用。使用动态链接
// 比使用静态链接的好处是,程序运行时不会因为没有这个API函数而报错。
//
// Ex版的函数多出了一个参数AceFlag(第三人参数),用这个参数我们可以来设置一
// 个叫ACE_HEADER的结构,以便让我们所设置的ACE可以被其子目录所继承下去,而
// AddAccessAllowedAce函数不能定制这个参数,在AddAccessAllowedAce函数
// 中,其会把ACE_HEADER这个结构设置成非继承的。
//
_AddAccessAllowedAceEx = (AddAccessAllowedAceExFnPtr)
GetProcAddress(GetModuleHandle(TEXT("advapi32.dll")),
"AddAccessAllowedAceEx");
if (_AddAccessAllowedAceEx) {
if (!_AddAccessAllowedAceEx(pNewACL, ACL_REVISION2,
CONTAINER_INHERIT_ACE | OBJECT_INHERIT_ACE ,
dwAccessMask, pUserSID)) {
_tprintf(TEXT("AddAccessAllowedAceEx() failed. Error %d\n"),
GetLastError());
__leave;
}
}else{
if (!AddAccessAllowedAce(pNewACL, ACL_REVISION2,
dwAccessMask, pUserSID)) {
_tprintf(TEXT("AddAccessAllowedAce() failed. Error %d\n"),
GetLastError());
__leave;
}
}
//
// STEP 15: 按照已存在的ACE的顺序拷贝从父目录继承而来的ACE
//
if (fDaclPresent && AclInfo.AceCount) {
for (;
CurrentAceIndex < AclInfo.AceCount;
CurrentAceIndex++) {
//
// STEP 16: 从文件(目录)的DACL中继续取ACE
//
if (!GetAce(pACL, CurrentAceIndex, &pTempAce)) {
_tprintf(TEXT("GetAce() failed. Error %d\n"),
GetLastError());
__leave;
}
//
// STEP 17: 把ACE加入到新的DACL中
//
if (!AddAce(pNewACL, ACL_REVISION, MAXDWORD, pTempAce,
((PACE_HEADER) pTempAce)->AceSize)) {
_tprintf(TEXT("AddAce() failed. Error %d\n"),
GetLastError());
__leave;
}
}
}
//
// STEP 18: 把新的ACL设置到新的SD中
//
if (!SetSecurityDescriptorDacl(&newSD, TRUE, pNewACL,
FALSE)) {
_tprintf(TEXT("SetSecurityDescriptorDacl() failed. Error %d\n"),
GetLastError());
__leave;
}
//
// STEP 19: 把老的SD中的控制标记再拷贝到新的SD中,我们使用的是一个叫
// SetSecurityDescriptorControl() 的API函数,这个函数同样只存在于
// Windows 2000以后的版本中,所以我们还是要动态地把其从advapi32.dll
// 中载入,如果系统不支持这个函数,那就不拷贝老的SD的控制标记了。
//
_SetSecurityDescriptorControl =(SetSecurityDescriptorControlFnPtr)
GetProcAddress(GetModuleHandle(TEXT("advapi32.dll")),
"SetSecurityDescriptorControl");
if (_SetSecurityDescriptorControl) {
SECURITY_DESCRIPTOR_CONTROL controlBitsOfInterest = 0;
SECURITY_DESCRIPTOR_CONTROL controlBitsToSet = 0;
SECURITY_DESCRIPTOR_CONTROL oldControlBits = 0;
DWORD dwRevision = 0;
if (!GetSecurityDescriptorControl(pFileSD, &oldControlBits,
&dwRevision)) {
_tprintf(TEXT("GetSecurityDescriptorControl() failed.")
TEXT("Error %d\n"), GetLastError());
__leave;
}
if (oldControlBits & SE_DACL_AUTO_INHERITED) {
controlBitsOfInterest =
SE_DACL_AUTO_INHERIT_REQ |
SE_DACL_AUTO_INHERITED ;
controlBitsToSet = controlBitsOfInterest;
}
else if (oldControlBits & SE_DACL_PROTECTED) {
controlBitsOfInterest = SE_DACL_PROTECTED;
controlBitsToSet = controlBitsOfInterest;
}
if (controlBitsOfInterest) {
if (!_SetSecurityDescriptorControl(&newSD,
controlBitsOfInterest,
controlBitsToSet)) {
_tprintf(TEXT("SetSecurityDescriptorControl() failed.")
TEXT("Error %d\n"), GetLastError());
__leave;
}
}
}
//
// STEP 20: 把新的SD设置设置到文件的安全属性中(千山万水啊,终于到了)
//
if (!SetFileSecurity(lpszFileName, secInfo,
&newSD)) {
_tprintf(TEXT("SetFileSecurity() failed. Error %d\n"),
GetLastError());
__leave;
}
fResult = TRUE;
} __finally {
//
// STEP 21: 释放已分配的内存,以免Memory Leak
//
if (pUserSID) myheapfree(pUserSID);
if (szDomain) myheapfree(szDomain);
if (pFileSD) myheapfree(pFileSD);
if (pNewACL) myheapfree(pNewACL);
}
return fResult;
}
int _tmain(int argc, TCHAR *argv[]) {
if (argc < 3) {
_tprintf(TEXT("usage: \"%s\" <FileName> <AccountName>\n"), argv[0]);
return 1;
}
// argv[1] – 文件(目录)名
// argv[2] – 用户(组)名
// GENERIC_ALL表示所有的权限,其是一系列的NTFS权限的或
// NTFS的文件权限很细,还请参看MSDN。
if (!AddAccessRights(argv[1], argv[2], GENERIC_ALL)) {
_tprintf(TEXT("AddAccessRights() failed.\n"));
return 1;
}
else {
_tprintf(TEXT("AddAccessRights() succeeded.\n"));
return 0;
}
}
三、 一些相关的API函数
通过以上的示例,相信你已知道如何操作NTFS文件安全属性了,还有一些API函数需要介绍一下。
1、 如果你要加入一个Access-Denied 的ACE,你可以使用AddAccessDeniedAce函数
2、 如果你要删除一个ACE,你可以使用DeleteAce函数
3、 如果你要检查你所设置的ACL是否合法,你可以使用IsValidAcl函数,同样,对于SD的合法也有一个叫IsValidSecurityDescriptor的函数
4、 MakeAbsoluteSD和MakeSelfRelativeSD两个函数可以在两种SD的格式中进行转换。
5、 使用SetSecurityDescriptorDacl 和 SetSecurityDescriptorSacl可以方便地把ACL设置到SD中。
6、 使用GetSecurityDescriptorDacl or GetSecurityDescriptorSacl可以方便地取得SD中的ACL结构。
我们把一干和SD/ACL/ACE相关的API函数叫作Low-Level Security Descriptor Functions,其详细信息还请参看MSDN。
作者Blog:http://blog.csdn.net/haoel/
分享到:
相关推荐
### 以程序的方式操纵NTFS的文件权限 #### 一、理论基础与术语解析 在深入探讨如何通过编程方式操作NTFS文件权限之前,我们首先需要理解几个关键概念。 ##### 安全描述符 (Security Descriptors) 在Windows NT/...
软件功能:通过设置NTFS文件权限达到禁止或恢复使用某文件(夹)的目的。可以用来防止文件误删误改等操作,同时也可用来防止一些未经自己允许的后台程序悄悄运行。 XP系统测试的,其他系统不知道。 做这个软件主要...
NTFS 文件系统权限管理可以通过以下方式实现: 1. 权限继承:NTFS 文件系统权限可以继承自父文件夹的权限。 2. 权限赋予:可以对文件和文件夹进行权限赋予,例如读取、写入、执行等权限。 3. 权限撤销:可以对文件...
介绍作者为了探索NTFS文件系统的存储特点编写的21个WIN32工具程序;使用作者编写的WIN32工具程序,探秘NTFS文件系统的扇区存储规律。 全书分3篇,共计17章。第1章至第3章是“基础篇”,重点介绍了NTFS文件系统的...
2. **文件权限优于文件夹权限**:如果用户对文件的权限高于文件所在的文件夹,那么以文件权限为准。 3. **拒绝权限优先**:如果明确拒绝了某个用户访问,即使其他权限允许,用户也无法访问。 NTFS权限还支持**继承*...
### 如何不丢失文件NTFS权限地拷贝文件 在Windows操作系统中,NTFS(New Technology File System)是一种被广泛使用的文件系统格式。它不仅提供了高级功能如文件压缩、加密等,还支持权限管理,这对于保护文件的...
3. 执行权限(Execute):允许用户执行文件或文件夹中的程序。 4. 删除权限(Delete):允许用户删除文件或文件夹。 5. 修改权限(Modify):允许用户修改文件或文件夹的属性。 NTFS 权限设置的应用 NTFS 权限设置...
NTFS文件系统可以通过基本分区和动态分区两种方式进行创建。基本分区是最常见的分区类型,而动态分区则提供了更多的灵活性,如扩展卷、跨区卷等。 #### NTFS参数结构介绍 - **DBR(DOS Boot Record)**:这是NTFS...
1. **权限问题**:由于Linux和Windows对文件权限的处理方式不同,可能需要调整权限设置,以确保Linux用户能够正确读写NTFS分区上的文件。 2. **性能优化**:挂载选项如`noatime`和`nodiratime`可以提高读取性能,但...
NTFS 文件系统广泛应用于 Windows 操作系统中,主要用于存储操作系统文件和应用程序文件。同时,NTFS 文件系统也应用于其他领域,如数据存储、数据保护和云存储等。 NTFS 文件系统技术研究是计算机技术中一个重要的...
- 压缩和稀疏文件:NTFS支持文件压缩,以节省磁盘空间,并可处理稀疏文件(大部分为零值的数据)。 - 空间回收:通过删除不再使用的文件和清理临时文件,可以优化磁盘空间。 这些书籍和文档将帮助读者全面掌握...
相比于传统的FAT文件系统,NTFS提供了更多的功能和更好的安全性支持,如权限管理、文件压缩、加密等特性。 #### 三、NTFS属性详解 NTFS中的文件和目录是由一系列的属性组成的,这些属性包括标准信息、文件名、对象...
3. **安全特性**:NTFS支持权限控制列表(ACLs),可以为每个文件和目录设置不同的访问权限。源码揭示了如何在非Windows环境中实现这些安全机制。 4. **事务处理**:NTFS支持事务,即使在系统崩溃或异常情况下,也...
1. **高级安全性**: NTFS提供了强大的权限管理功能,能够确保文件的安全性和隐私。 2. **稳定性**: 支持日志记录和事务处理机制,可以自动恢复文件系统的损坏部分。 3. **压缩和加密**: 内置了压缩功能和EFS...
4. **文件权限和安全描述符**:NTFS支持ACL(Access Control List),备份程序应保存文件和目录的权限信息,以便在恢复时能正确还原。 5. **卷和分区信息**:除了文件和目录,备份还应包括卷标、卷序列号、引导扇区...
### 部署文件服务器NTFS共享权限设置详细分析 #### 深度解析与案例研究 在IT领域,文件服务器的角色至关重要,尤其是在企业环境中,它承载着数据存储、共享和保护的重要职责。Windows Server 2003及后续版本提供了...
7. **文件权限和安全**:NTFS支持细粒度的权限控制,每个文件和目录都可以设置用户或用户组的访问权限。此外,NTFS还支持文件加密(EFS,Encrypting File System),保证数据的安全性。 8. **硬链接和符号链接**:...
其次,NTFS支持安全特性,如权限控制和文件加密。通过ACL(Access Control List),用户可以为文件和目录设置特定的访问权限,限制不同用户对资源的访问。EFS(Encrypting File System)则是NTFS中的一个内置功能,...