创建文件并设置NTFS权限

在NTFS文件系统出现后，在Windows系统(2K/XP/Vista..)下的对象，包括文件系统，进程、命名管道、打印机、网络共享、或是注册表等等，都可以设置用户访问权限。
在Windows系统中，其是用一个安全描述符（Security Descriptors）的结构来保存其权限的设置信息，简称为SD，其在Windows SDK中的结构名是“SECURITY_DESCRIPTOR”，这是包括了安全设置信息的结构体，其结构体内容定义如下：

typedef struct _SECURITY_DESCRIPTOR {
UCHAR Revision;
UCHAR Sbz1;
SECURITY_DESCRIPTOR_CONTROL Control;
PSID Owner;
PSID Group;
PACL Sacl;
PACL Dacl;
} SECURITY_DESCRIPTOR, *PISECURITY_DESCRIPTOR;

一个安全描述符包含以下安全信息：
两个安全标识符(Security identifiers)，简称为SID，分别是OwnerSid和GroupSid. 所谓SID就是每次当我们创建一个用户或一个组的时候，系统会分配给改用户或组一个唯一SID，当你重新安装系统后，也会得到一个唯一的SID。SID是唯一的，不随用户的删除而分配到另外的用户使用。
请记住，SID永远都是唯一的SIF是由计算机名、当前时间、当前用户态线程的CPU耗费时间的总和三个参数决定以保证它的唯一性。
例： S-1-5-21-1763234323-3212657521-1234321321-500
一个DACL（Discretionary Access Control List），其指出了允许和拒绝某用户或用户组的存取控制列表。当一个进程需要访问安全对象，系统就会检查DACL来决定进程的访问权。如果一个对象没有DACL，那么就是说这个对象是任何人都可以拥有完全的访问权限。
一个SACL（System Access Control List），其指出了在该对象上的一组存取方式（如，读、写、运行等）的存取控制权限细节的列表。
还有其自身的一些控制位。SECURITY_DESCRIPTOR_CONTROL
DACL和SACL构成了整个存取控制列表Access Control List，简称ACL，ACL中的每一项，我们叫做ACE（Access Control Entry），ACL中的每一个ACE。
ACL结构体的内容如下：

typedef struct _ACL {
BYTE AclRevision;
BYTE Sbz1;
WORD AclSize;
WORD AceCount;
WORD Sbz2;
} ACL;
typedef ACL *PACL;

void CreateFileForSA(TCHAR *strFile)  
{  
    SECURITY_ATTRIBUTES sa;   //和文件有关的安全结构  
    SECURITY_DESCRIPTOR sd;   //声明一个SD  
  
    BYTE aclBuffer[1024];  
    PACL pacl=(PACL)&aclBuffer; //声明一个ACL，长度是1024  
  
    BYTE sidBuffer[100];  
    PSID psid=(PSID) &sidBuffer;   //声明一个SID，长度是100  
  
    DWORD sidBufferSize = 100;  
    TCHAR domainBuffer[80];  
    DWORD domainBufferSize = 80;  
    SID_NAME_USE snu;  
    HANDLE file;  
  
    //初始化一个SD  
    InitializeSecurityDescriptor(&sd, SECURITY_DESCRIPTOR_REVISION);  
    //初始化一个ACL  
    InitializeAcl(pacl, 1024, ACL_REVISION);  
    //查找一个用户exchen，并取该用户的SID  
    LookupAccountName(0, _T("exchen"), psid,&sidBufferSize, domainBuffer,&domainBufferSize, &snu);  
    //设置该用户的Access-Allowed的ACE，其权限为“所有权限”  
    AddAccessAllowedAce(pacl, ACL_REVISION, GENERIC_ALL, psid);  
    //把ACL设置到SD中  
    SetSecurityDescriptorDacl(&sd, TRUE, pacl, FALSE);  
  
    //把SD放到文件安全结构SA中  
    sa.nLength = sizeof(SECURITY_ATTRIBUTES);  
    sa.bInheritHandle = FALSE;  
    sa.lpSecurityDescriptor = &sd;  
  
    //创建文件  
    file = CreateFile(strFile, 0, 0, &sa, CREATE_NEW, FILE_ATTRIBUTE_NORMAL, 0);  
    CloseHandle(file);  
  
    //CreateDirectory(_T("D:\\testfile"),&sa);  
}

void CreateFileForSA(TCHAR *strFile)

{

SECURITY_ATTRIBUTES sa; //和文件有关的安全结构

SECURITY_DESCRIPTOR sd; //声明一个SD

BYTE aclBuffer[1024];

PACL pacl=(PACL)&aclBuffer; //声明一个ACL，长度是1024

BYTE sidBuffer[100];

PSID psid=(PSID) &sidBuffer; //声明一个SID，长度是100

DWORD sidBufferSize = 100;

TCHAR domainBuffer[80];

DWORD domainBufferSize = 80;

SID_NAME_USE snu;

HANDLE file;

//初始化一个SD

InitializeSecurityDescriptor(&sd, SECURITY_DESCRIPTOR_REVISION);

//初始化一个ACL

InitializeAcl(pacl, 1024, ACL_REVISION);

//查找一个用户exchen，并取该用户的SID

LookupAccountName(0, _T("exchen"), psid,&sidBufferSize, domainBuffer,&domainBufferSize, &snu);

//设置该用户的Access-Allowed的ACE，其权限为“所有权限”

AddAccessAllowedAce(pacl, ACL_REVISION, GENERIC_ALL, psid);

//把ACL设置到SD中

SetSecurityDescriptorDacl(&sd, TRUE, pacl, FALSE);

//把SD放到文件安全结构SA中

sa.nLength = sizeof(SECURITY_ATTRIBUTES);

sa.bInheritHandle = FALSE;

sa.lpSecurityDescriptor = &sd;

//创建文件

file = CreateFile(strFile, 0, 0, &sa, CREATE_NEW, FILE_ATTRIBUTE_NORMAL, 0);

CloseHandle(file);

//CreateDirectory(_T("D:\\testfile"),&sa);

}

转载请注明：exchen's blog » 创建文件并设置NTFS权限

创建文件并设置NTFS权限

与本文相关的文章

Hi，您需要填写昵称和邮箱！