以程序的方式操纵NTFS的文件权限（下）

    // 

    // STEP 14: 把一个 access-allowed 的ACE 加入到新的DACL中

    //     前面的循环拷贝了所有的非继承且SID为其它用户的ACE，退出循环的第一件事

    // 就是加入我们指定的ACE。请注意首先先动态装载了一个AddAccessAllowedAceEx

    // 的API函数，如果装载不成功，就调用AddAccessAllowedAce函数。前一个函数仅

    // 在Windows 2000以后的版本支持，NT则没有，我们为了使用新版本的函数，我们首

    // 先先检查一下当前系统中可不可以装载这个函数，如果可以则就使用。使用动态链接

    // 比使用静态链接的好处是，程序运行时不会因为没有这个API函数而报错。

    // Ex版的函数多出了一个参数AceFlag（第三人参数），用这个参数我们可以来设置一

    // 个叫ACE_HEADER的结构，以便让我们所设置的ACE可以被其子目录所继承下去，而 

    // AddAccessAllowedAce函数不能定制这个参数，在AddAccessAllowedAce函数

    // 中，其会把ACE_HEADER这个结构设置成非继承的。

      _AddAccessAllowedAceEx = (AddAccessAllowedAceExFnPtr)

            GetProcAddress(GetModuleHandle(TEXT("advapi32.dll")),

            "AddAccessAllowedAceEx");

      if (_AddAccessAllowedAceEx) {

           if (!_AddAccessAllowedAceEx(pNewACL, ACL_REVISION2,

              CONTAINER_INHERIT_ACE | OBJECT_INHERIT_ACE ,

                dwAccessMask, pUserSID)) {

             _tprintf(TEXT("AddAccessAllowedAceEx() failed. Error %d\n"),

                   GetLastError());

             __leave;

          }

      }else{

          if (!AddAccessAllowedAce(pNewACL, ACL_REVISION2, 

             _tprintf(TEXT("AddAccessAllowedAce() failed. Error %d\n"),

      }

      // 

      // STEP 15: 按照已存在的ACE的顺序拷贝从父目录继承而来的ACE

      // 

      if (fDaclPresent && AclInfo.AceCount) {

         for (; 

              CurrentAceIndex < AclInfo.AceCount;

              CurrentAceIndex++) {

            // 

            // STEP 16: 从文件（目录）的DACL中继续取ACE

            // 

            if (!GetAce(pACL, CurrentAceIndex, &pTempAce)) {

               _tprintf(TEXT("GetAce() failed. Error %d\n"), 

                     GetLastError());

               __leave;

            }

            // STEP 17: 把ACE加入到新的DACL中

            if (!AddAce(pNewACL, ACL_REVISION, MAXDWORD, pTempAce,

                  ((PACE_HEADER) pTempAce)->AceSize)) {

               _tprintf(TEXT("AddAce() failed. Error %d\n"), 

         }

      // STEP 18: 把新的ACL设置到新的SD中

      if (!SetSecurityDescriptorDacl(&newSD, TRUE, pNewACL, 

            FALSE)) {

         _tprintf(TEXT("SetSecurityDescriptorDacl() failed. Error %d\n"),

               GetLastError());

         __leave;

      }

      // STEP 19: 把老的SD中的控制标记再拷贝到新的SD中，我们使用的是一个叫 

      // SetSecurityDescriptorControl() 的API函数，这个函数同样只存在于

      // Windows 2000以后的版本中，所以我们还是要动态地把其从advapi32.dll 

      // 中载入，如果系统不支持这个函数，那就不拷贝老的SD的控制标记了。

      _SetSecurityDescriptorControl =(SetSecurityDescriptorControlFnPtr)

            "SetSecurityDescriptorControl");

      if (_SetSecurityDescriptorControl) {

         SECURITY_DESCRIPTOR_CONTROL controlBitsOfInterest = 0;

         SECURITY_DESCRIPTOR_CONTROL controlBitsToSet = 0;

         SECURITY_DESCRIPTOR_CONTROL oldControlBits = 0;

         DWORD dwRevision = 0;

         if (!GetSecurityDescriptorControl(pFileSD, &oldControlBits,

            &dwRevision)) {

            _tprintf(TEXT("GetSecurityDescriptorControl() failed.")

                  TEXT("Error %d\n"), GetLastError());

            __leave;

         if (oldControlBits & SE_DACL_AUTO_INHERITED) {

            controlBitsOfInterest =

               SE_DACL_AUTO_INHERIT_REQ |

               SE_DACL_AUTO_INHERITED ;

            controlBitsToSet = controlBitsOfInterest;

         else if (oldControlBits & SE_DACL_PROTECTED) {

            controlBitsOfInterest = SE_DACL_PROTECTED;

            controlBitsToSet = controlBitsOfInterest;

         }       

         if (controlBitsOfInterest) {

            if (!_SetSecurityDescriptorControl(&newSD,

               controlBitsOfInterest,

               controlBitsToSet)) {

               _tprintf(TEXT("SetSecurityDescriptorControl() failed.")

                     TEXT("Error %d\n"), GetLastError());

      // STEP 20: 把新的SD设置设置到文件的安全属性中（千山万水啊，终于到了）

      if (!SetFileSecurity(lpszFileName, secInfo,

            &newSD)) {

         _tprintf(TEXT("SetFileSecurity() failed. Error %d\n"), 

      fResult = TRUE;

   } __finally {

      // STEP 21: 释放已分配的内存，以免Memory Leak

      if (pUserSID)  myheapfree(pUserSID);

      if (szDomain)  myheapfree(szDomain);

      if (pFileSD) myheapfree(pFileSD);

      if (pNewACL) myheapfree(pNewACL);

   }

   return fResult;

}

int _tmain(int argc, TCHAR *argv[]) {

   if (argc < 3) {

      _tprintf(TEXT("usage: \"%s\" <FileName> <AccountName>\n"), argv[0]);

      return 1;

   // argv[1] – 文件（目录）名

   // argv[2] – 用户（组）名

   // GENERIC_ALL表示所有的权限，其是一系列的NTFS权限的或

   //      NTFS的文件权限很细，还请参看MSDN。

   if (!AddAccessRights(argv[1], argv[2], GENERIC_ALL)) {

      _tprintf(TEXT("AddAccessRights() failed.\n"));

   else {

      _tprintf(TEXT("AddAccessRights() succeeded.\n"));

      return 0;

通过以上的示例，相信你已知道如何操作NTFS文件安全属性了，还有一些API函数需要介绍一下。

1、  如果你要加入一个Access-Denied 的ACE，你可以使用AddAccessDeniedAce函数

2、  如果你要删除一个ACE，你可以使用DeleteAce函数

3、  如果你要检查你所设置的ACL是否合法，你可以使用IsValidAcl函数，同样，对于SD的合法也有一个叫IsValidSecurityDescriptor的函数

4、  MakeAbsoluteSD和MakeSelfRelativeSD两个函数可以在两种SD的格式中进行转换。

5、  使用SetSecurityDescriptorDacl 和 SetSecurityDescriptorSacl可以方便地把ACL设置到SD中。

6、  使用GetSecurityDescriptorDacl or GetSecurityDescriptorSacl可以方便地取得SD中的ACL结构。

我们把一干和SD/ACL/ACE相关的API函数叫作Low-Level Security Descriptor Functions，其详细信息还请参看MSDN。

本文转自 haoel 51CTO博客，原文链接：http://blog.51cto.com/haoel/124664，如需转载请自行联系原作者