创建文件并设置NTFS权限

zjh7272

在NTFS文件系统出现后，在Windows系统(2K/XP/Vista..)下的对象，包括文件系统，进程、命名管道、打印机、网络共享、或是注册表等等，都可以设置用户访问权限。

在Windows系统中，其是用一个安全描述符（Security Descriptors）的结构来保存其权限的设置信息，简称为SD，其在Windows SDK中的结构名是“SECURITY_DESCRIPTOR”，这是包括了安全设置信息的结构体，其结构体内容定义如下：

typedef struct _SECURITY_DESCRIPTOR {
  UCHAR  Revision;
  UCHAR  Sbz1;
  SECURITY_DESCRIPTOR_CONTROL  Control;
  PSID  Owner;
  PSID  Group;
  PACL  Sacl;
  PACL  Dacl;
} SECURITY_DESCRIPTOR, *PISECURITY_DESCRIPTOR;
一个安全描述符包含以下安全信息：

两个安全标识符(Security identifiers)，简称为SID，分别是OwnerSid和GroupSid. 所谓SID就是每次当我们创建一个用户或一个组的时候，系统会分配给改用户或组一个唯一SID，当你重新安装系统后，也会得到一个唯一的SID。SID是唯一的，不随用户的删除而分配到另外的用户使用。
请记住，SID永远都是唯一的SIF是由计算机名、当前时间、当前用户态线程的CPU耗费时间的总和三个参数决定以保证它的唯一性。
  例：   S-1-5-21-1763234323-3212657521-1234321321-500
一个DACL（Discretionary Access Control List），其指出了允许和拒绝某用户或用户组的存取控制列表。 当一个进程需要访问安全对象，系统就会检查DACL来决定进程的访问权。如果一个对象没有DACL，那么就是说这个对象是任何人都可以拥有完全的访问权限。
一个SACL（System Access Control List），其指出了在该对象上的一组存取方式（如，读、写、运行等）的存取控制权限细节的列表。
还有其自身的一些控制位。SECURITY_DESCRIPTOR_CONTROL
    DACL和SACL构成了整个存取控制列表Access Control List，简称ACL，ACL中的每一项，我们叫做ACE（Access Control Entry），ACL中的每一个ACE。

    ACL结构体的内容如下：



typedef struct _ACL {
    BYTE  AclRevision;
    BYTE  Sbz1;
    WORD   AclSize;
    WORD   AceCount;
    WORD   Sbz2;
} ACL;
typedef ACL *PACL;


void CreateFileForSA(TCHAR *strFile)
{
        SECURITY_ATTRIBUTES sa;   //和文件有关的安全结构
        SECURITY_DESCRIPTOR sd;   //声明一个SD

        BYTE aclBuffer[1024];
        PACL pacl=(PACL)&aclBuffer; //声明一个ACL，长度是1024

        BYTE sidBuffer[100];
        PSID psid=(PSID) &sidBuffer;   //声明一个SID，长度是100

        DWORD sidBufferSize = 100;
        TCHAR domainBuffer[80];
        DWORD domainBufferSize = 80;
        SID_NAME_USE snu;
        HANDLE file;

        //初始化一个SD
        InitializeSecurityDescriptor(&sd, SECURITY_DESCRIPTOR_REVISION);
        //初始化一个ACL
        InitializeAcl(pacl, 1024, ACL_REVISION);
        //查找一个用户exchen，并取该用户的SID
        LookupAccountName(0, _T("exchen"), psid,&sidBufferSize, domainBuffer,&domainBufferSize, &snu);
        //设置该用户的Access-Allowed的ACE，其权限为“所有权限”
        AddAccessAllowedAce(pacl, ACL_REVISION, GENERIC_ALL, psid);
        //把ACL设置到SD中
        SetSecurityDescriptorDacl(&sd, TRUE, pacl, FALSE);

        //把SD放到文件安全结构SA中
        sa.nLength = sizeof(SECURITY_ATTRIBUTES);
        sa.bInheritHandle = FALSE;
        sa.lpSecurityDescriptor = &sd;

        //创建文件
        file = CreateFile(strFile, 0, 0, &sa, CREATE_NEW, FILE_ATTRIBUTE_NORMAL, 0);
        CloseHandle(file);

        //CreateDirectory(_T("D:\\testfile"),&sa);
}

846530637

支持你呦