本文共 4585 字,大约阅读时间需要 15 分钟。
| // // STEP 14: 把一个 access-allowed 的ACE 加入到新的DACL中 // 前面的循环拷贝了所有的非继承且SID为其它用户的ACE,退出循环的第一件事 // 就是加入我们指定的ACE。请注意首先先动态装载了一个AddAccessAllowedAceEx // 的API函数,如果装载不成功,就调用AddAccessAllowedAce函数。前一个函数仅 // 在Windows 2000以后的版本支持,NT则没有,我们为了使用新版本的函数,我们首 // 先先检查一下当前系统中可不可以装载这个函数,如果可以则就使用。使用动态链接 // 比使用静态链接的好处是,程序运行时不会因为没有这个API函数而报错。 // // Ex版的函数多出了一个参数AceFlag(第三人参数),用这个参数我们可以来设置一 // 个叫ACE_HEADER的结构,以便让我们所设置的ACE可以被其子目录所继承下去,而 // AddAccessAllowedAce函数不能定制这个参数,在AddAccessAllowedAce函数 // 中,其会把ACE_HEADER这个结构设置成非继承的。 // _AddAccessAllowedAceEx = (AddAccessAllowedAceExFnPtr) GetProcAddress(GetModuleHandle(TEXT("advapi32.dll")), "AddAccessAllowedAceEx"); if (_AddAccessAllowedAceEx) { if (!_AddAccessAllowedAceEx(pNewACL, ACL_REVISION2, CONTAINER_INHERIT_ACE | OBJECT_INHERIT_ACE , dwAccessMask, pUserSID)) { _tprintf(TEXT("AddAccessAllowedAceEx() failed. Error %d\n"), GetLastError()); __leave; } }else{ if (!AddAccessAllowedAce(pNewACL, ACL_REVISION2, dwAccessMask, pUserSID)) { _tprintf(TEXT("AddAccessAllowedAce() failed. Error %d\n"), GetLastError()); __leave; } } // // STEP 15: 按照已存在的 ACE 的顺序拷贝从父目录继承而来的 ACE // if (fDaclPresent && AclInfo.AceCount) { for (; CurrentAceIndex < AclInfo.AceCount; CurrentAceIndex++) { // // STEP 16: 从文件(目录)的 DACL 中继续取 ACE // if (!GetAce(pACL, CurrentAceIndex, &pTempAce)) { _tprintf(TEXT("GetAce() failed. Error %d\n"), GetLastError()); __leave; } // // STEP 17: 把 ACE 加入到新的 DACL 中 // if (!AddAce(pNewACL, ACL_REVISION, MAXDWORD, pTempAce, ((PACE_HEADER) pTempAce)->AceSize)) { _tprintf(TEXT("AddAce() failed. Error %d\n"), GetLastError()); __leave; } } } // // STEP 18: 把新的 ACL 设置到新的 SD 中 // if (!SetSecurityDescriptorDacl(&newSD, TRUE, pNewACL, FALSE)) { _tprintf(TEXT("SetSecurityDescriptorDacl() failed. Error %d\n"), GetLastError()); __leave; } // // STEP 19: 把老的 SD 中的控制标记再拷贝到新的 SD 中 ,我们使用的是一个叫 // SetSecurityDescriptorControl() 的 API 函数,这个函数同样只存在于 // Windows 2000 以后的版本中,所以我们还是要动态地把其从 advapi32.dll // 中载入,如果系统不支持这个函数,那就不拷贝老的 SD 的控制标记了。 // _SetSecurityDescriptorControl =(SetSecurityDescriptorControlFnPtr) GetProcAddress(GetModuleHandle(TEXT("advapi32.dll")), "SetSecurityDescriptorControl"); if (_SetSecurityDescriptorControl) { SECURITY_DESCRIPTOR_CONTROL controlBitsOfInterest = 0; SECURITY_DESCRIPTOR_CONTROL controlBitsToSet = 0; SECURITY_DESCRIPTOR_CONTROL oldControlBits = 0; DWORD dwRevision = 0; if (!GetSecurityDescriptorControl(pFileSD, &oldControlBits, &dwRevision)) { _tprintf(TEXT("GetSecurityDescriptorControl() failed.") TEXT("Error %d\n"), GetLastError()); __leave; } if (oldControlBits & SE_DACL_AUTO_INHERITED) { controlBitsOfInterest = SE_DACL_AUTO_INHERIT_REQ | SE_DACL_AUTO_INHERITED ; controlBitsToSet = controlBitsOfInterest; } else if (oldControlBits & SE_DACL_PROTECTED) { controlBitsOfInterest = SE_DACL_PROTECTED; controlBitsToSet = controlBitsOfInterest; } if (controlBitsOfInterest) { if (!_SetSecurityDescriptorControl(&newSD, controlBitsOfInterest, controlBitsToSet)) { _tprintf(TEXT("SetSecurityDescriptorControl() failed.") TEXT("Error %d\n"), GetLastError()); __leave; } } } // // STEP 20: 把新的 SD 设置设置到文件的安全属性中 (千山万水啊,终于到了) // if (!SetFileSecurity(lpszFileName, secInfo, &newSD)) { _tprintf(TEXT("SetFileSecurity() failed. Error %d\n"), GetLastError()); __leave; } fResult = TRUE; } __finally { // // STEP 21: 释放已分配的内存,以免 Memory Leak // if (pUserSID) myheapfree(pUserSID); if (szDomain) myheapfree(szDomain); if (pFileSD) myheapfree(pFileSD); if (pNewACL) myheapfree(pNewACL); } return fResult; } int _tmain(int argc, TCHAR *argv[]) { if (argc < 3) { _tprintf(TEXT("usage: \"%s\" <FileName> <AccountName>\n"), argv[0]); return 1; } // argv[1] – 文件(目录)名 // argv[2] – 用户(组)名 // GENERIC_ALL 表示所有的权限,其是一系列的 NTFS 权限的或 // NTFS 的文件权限很细,还请参看 MSDN 。 if (!AddAccessRights(argv[1], argv[2], GENERIC_ALL)) { _tprintf(TEXT("AddAccessRights() failed.\n")); return 1; } else { _tprintf(TEXT("AddAccessRights() succeeded.\n")); return 0; } } |