2. 程式人生 > 實用技巧 >win32 - 將檔案的訪問許可權給特定的使用者

win32 - 將檔案的訪問許可權給特定的使用者

阿新 發佈:2020-12-22

需要首先獲取特定使用者的SID。

這是一些步驟,

  1. 驗證輸入引數。
  2. 為可能足夠大的SID和域名建立緩衝區。
  3. 在迴圈中,呼叫LookupAccountName以檢索提供的帳戶名的SID。如果SID的緩衝區或域名的緩衝區不夠大,則分別cbSid或中返回所需的緩衝區大小cchDomainName,並在下一次呼叫之前分配一個新的緩衝區LookupAccountName請注意,當lpSystemName引數設定為NULL時,將在本地系統上檢索資訊
  4. 釋放分配給域名緩衝區的記憶體。

然後將SID傳遞給SetEntriesInAclA函式,


SetEntriesInAcl函式通過將新的訪問控制或稽核控制資訊合併到現有ACL結構中來建立新的訪問控制列表(ACL)。

這是傳遞給SetEntriesInAcl的結構引數,

 ZeroMemory(&ea, sizeof(EXPLICIT_ACCESS));
    ea.grfAccessPermissions = GENERIC_ALL;  //許可權設定
    ea.grfAccessMode = SET_ACCESS;
    ea.grfInheritance = NO_INHERITANCE;
    ea.Trustee.TrusteeForm = TRUSTEE_IS_SID;
    ea.Trustee.TrusteeType = TRUSTEE_IS_USER; //特定的物件
    ea.Trustee.ptstrName 
 
= (LPTSTR)sid; //特定使用者的sid

    // Create a new ACL that contains the new ACEs.
    dwRes = SetEntriesInAcl(1, &ea, NULL, &pACL);

完整程式碼:

#pragma comment(lib, "advapi32.lib")

#include <windows.h>
#include <stdio.h>
#include <aclapi.h>
#include <tchar.h>
#include <mq.h.>

HRESULT GetSid(
    LPCWSTR wszAccName,
    PSID
 
* ppSid
)
{

    // Validate the input parameters.  
    if (wszAccName == NULL || ppSid == NULL)
    {
        return MQ_ERROR_INVALID_PARAMETER;
    }

    // Create buffers that may be large enough.  
    // If a buffer is too small, the count parameter will be set to the size needed.  
    const DWORD INITIAL_SIZE = 32;
    DWORD cbSid = 0;
    DWORD dwSidBufferSize = INITIAL_SIZE;
    DWORD cchDomainName = 0;
    DWORD dwDomainBufferSize = INITIAL_SIZE;
    WCHAR* wszDomainName = NULL;
    SID_NAME_USE eSidType;
    DWORD dwErrorCode = 0;
    HRESULT hr = MQ_OK;

    // Create buffers for the SID and the domain name.  
    *ppSid = (PSID) new BYTE[dwSidBufferSize];
    if (*ppSid == NULL)
    {
        return MQ_ERROR_INSUFFICIENT_RESOURCES;
    }
    memset(*ppSid, 0, dwSidBufferSize);
    wszDomainName = new WCHAR[dwDomainBufferSize];
    if (wszDomainName == NULL)
    {
        return MQ_ERROR_INSUFFICIENT_RESOURCES;
    }
    memset(wszDomainName, 0, dwDomainBufferSize * sizeof(WCHAR));

    // Obtain the SID for the account name passed.  
    for (; ; )
    {

        // Set the count variables to the buffer sizes and retrieve the SID.  
        cbSid = dwSidBufferSize;
        cchDomainName = dwDomainBufferSize;
        if (LookupAccountNameW(
            NULL,            // Computer name. NULL for the local computer  
            wszAccName,
            *ppSid,          // Pointer to the SID buffer. Use NULL to get the size needed,  
            &cbSid,          // Size of the SID buffer needed.  
            wszDomainName,   // wszDomainName,  
            &cchDomainName,
            &eSidType
        ))
        {
            if (IsValidSid(*ppSid) == FALSE)
            {
                wprintf(L"The SID for %s is invalid.\n", wszAccName);
                dwErrorCode = MQ_ERROR;
            }
            break;
        }
        dwErrorCode = GetLastError();

        // Check if one of the buffers was too small.  
        if (dwErrorCode == ERROR_INSUFFICIENT_BUFFER)
        {
            if (cbSid > dwSidBufferSize)
            {

                // Reallocate memory for the SID buffer.  
                wprintf(L"The SID buffer was too small. It will be reallocated.\n");
                FreeSid(*ppSid);
                *ppSid = (PSID) new BYTE[cbSid];
                if (*ppSid == NULL)
                {
                    return MQ_ERROR_INSUFFICIENT_RESOURCES;
                }
                memset(*ppSid, 0, cbSid);
                dwSidBufferSize = cbSid;
            }
            if (cchDomainName > dwDomainBufferSize)
            {

                // Reallocate memory for the domain name buffer.  
                wprintf(L"The domain name buffer was too small. It will be reallocated.\n");
                delete[] wszDomainName;
                wszDomainName = new WCHAR[cchDomainName];
                if (wszDomainName == NULL)
                {
                    return MQ_ERROR_INSUFFICIENT_RESOURCES;
                }
                memset(wszDomainName, 0, cchDomainName * sizeof(WCHAR));
                dwDomainBufferSize = cchDomainName;
            }
        }
        else
        {
            wprintf(L"LookupAccountNameW failed. GetLastError returned: %d\n", dwErrorCode);
            hr = HRESULT_FROM_WIN32(dwErrorCode);
            break;
        }
    }

    delete[] wszDomainName;
    return hr;
}

void main()
{
    PSID sid;
    GetSid(L"strive", &sid);
    DWORD dwRes, dwDisposition;
    PACL pACL = NULL;
    PSECURITY_DESCRIPTOR pSD = NULL;
    EXPLICIT_ACCESS ea;
    SECURITY_ATTRIBUTES sa;
    HANDLE lRes = NULL;
    // Initialize an EXPLICIT_ACCESS structure for an ACE.
    // The ACE will allow Everyone read access to the key.
    ZeroMemory(&ea, sizeof(EXPLICIT_ACCESS));
    ea.grfAccessPermissions = GENERIC_ALL;
    ea.grfAccessMode = SET_ACCESS;
    ea.grfInheritance = NO_INHERITANCE;
    ea.Trustee.TrusteeForm = TRUSTEE_IS_SID;
    ea.Trustee.TrusteeType = TRUSTEE_IS_USER;
    ea.Trustee.ptstrName = (LPTSTR)sid;

    // Create a new ACL that contains the new ACEs.
    dwRes = SetEntriesInAcl(1, &ea, NULL, &pACL);
    if (ERROR_SUCCESS != dwRes)
    {
        _tprintf(_T("SetEntriesInAcl Error %u\n"), GetLastError());
        goto Cleanup;
    }

    // Initialize a security descriptor.  
    pSD = (PSECURITY_DESCRIPTOR)LocalAlloc(LPTR,
        SECURITY_DESCRIPTOR_MIN_LENGTH);
    if (NULL == pSD)
    {
        _tprintf(_T("LocalAlloc Error %u\n"), GetLastError());
        goto Cleanup;
    }

    if (!InitializeSecurityDescriptor(pSD,
        SECURITY_DESCRIPTOR_REVISION))
    {
        _tprintf(_T("InitializeSecurityDescriptor Error %u\n"),
            GetLastError());
        goto Cleanup;
    }

    // Add the ACL to the security descriptor. 
    if (!SetSecurityDescriptorDacl(pSD,
        TRUE,     // bDaclPresent flag   
        pACL,
        FALSE))   // not a default DACL 
    {
        _tprintf(_T("SetSecurityDescriptorDacl Error %u\n"),
            GetLastError());
        goto Cleanup;
    }

    // Initialize a security attributes structure.
    sa.nLength = sizeof(SECURITY_ATTRIBUTES);
    sa.lpSecurityDescriptor = pSD;
    sa.bInheritHandle = FALSE;

    // Use the security attributes to set the security descriptor 
    // when you create a key.
    lRes =  CreateFile(_T("D:\\File.txt"), GENERIC_READ | GENERIC_WRITE, FILE_SHARE_READ,
        &sa, OPEN_ALWAYS, 0, NULL);
    if (lRes != NULL)
    {
        _tprintf(_T("Create file success\n"));
    }
   
Cleanup:

    if (pACL)
        LocalFree(pACL);
    if (pSD)
        LocalFree(pSD);
    if (lRes)
       CloseHandle(lRes);
    return;

}

結果: 建立了一個文字,我們可以檢查文字的屬性來驗證是否成功。

文件參考:在C ++中為新物件建立安全描述符

C-C++ Code Example: Creating a Security Descriptor

拓展:

我們可以使用SetNamedSecurityInfo函式,將訪問許可權限制為特定的使用者帳戶和/或組。 不過如果具有足夠許可權的合適使用者帳戶執行您的應用程式(或與此相關的任何應用程式),或者您的應用程式(或其他應用程式)冒充了該帳戶,則它將能夠訪問該檔案。

案例參考:使用C ++製作具有僅使用者可以檢視和編輯的許可權的檔案

關於ACL和ACE的詳細介紹:關於Windows安全許可權的學習(三)

部分內容(防止丟失):

一個安全描述符包含以下安全資訊:

  • 兩個安全識別符號(Security identifiers),簡稱為SID,分別是OwnerSid和GroupSid.所謂SID就是每次當我們建立一個使用者或一個組的時候,系統會分配給改使用者或組一個唯一SID,當你重新安裝系統後,也會得到一個唯一的SID。SID是唯一的,不隨使用者的刪除而分配到另外的使用者使用。
    請記住,SID永遠都是唯一的SIF是由計算機名、當前時間、當前使用者態執行緒的CPU耗費時間的總和三個引數決定以保證它的唯一性。
    例: S-1-5-21-1763234323-3212657521-1234321321-500
  • 一個DACL(Discretionary Access Control List),其指出了允許和拒絕某使用者或使用者組的存取控制列表。 當一個程序需要訪問安全物件,系統就會檢查DACL來決定程序的訪問權。如果一個物件沒有DACL,那麼就是說這個物件是任何人都可以擁有完全的訪問許可權。
  • 一個SACL(System Access Control List),其指出了在該物件上的一組存取方式(如,讀、寫、執行等)的存取控制權限細節的列表。
  • 還有其自身的一些控制位。SECURITY_DESCRIPTOR_CONTROL

DACL和SACL構成了整個存取控制列表Access Control List,簡稱ACL,ACL中的每一項,我們叫做ACE(Access Control Entry),ACL中的每一個ACE。

相關推薦

win32 - 檔案訪問許可權特定的使用者

需要首先獲取特定使用者的SID。 這是一些步驟, 驗證輸入引數。 為可能足夠大的SID和域名建立緩衝區。

nginx代理的配置和檔案訪問許可權配置

第一、 nginx的配置檔案是在nginx.conf中引入了2個配置檔案,一個是admin,一個是default,

dotnet 使用 FileAccess 與 OpenOrCreate 對檔案訪問許可權的影響

技術標籤:pythonjavalinuxandroid資料庫 本文告訴大家在 dotnet 裡面,客戶端應用,如 WPF 應用對當前應用程式執行使用者無寫許可權檔案進行訪問的時候,呼叫 File.Open 方法的各個引數的影響

[apue] linux 檔案訪問許可權那些事兒

前言 說到 linux 上的檔案許可權,其實我們在說兩個實體,一是檔案,二是程序。一個程序能不能訪問一個檔案,其實由三部分內容決定:

C語言常用函式-access()檔案訪問許可權設定函式

演示版本 VS2012 access()函式 access()函式用於確定檔案訪問許可權。 語法 int access(const char *file, int auth);

Android開發,缺少許可權導致無法修改原檔案,獲取所有檔案訪問許可權的方法

在Android 11開發中,app會遇到使用絕對路徑無法開啟某檔案的情況(檔案存在根目錄下,獲取到的路徑為:/storage/emulated/0/XXX.txt),而使用相對路徑開啟檔案後(獲取到的路徑為:/data/user/0/com.XXX/files/XX

win32 - 原始音訊樣本轉換為wav檔案

需要先從麥克風中取樣,程式碼樣本可以參考官方示例:WASAPI Capture Shared Event Driven

多個HTML檔案訪問同一常量,常量寫入一個js檔案中便於修改維護

果我們有多個html頁面,每個頁面中都有一個常量要使用,但是以後這個常量可能會變化,如果我們這個常量寫入每個html中的話,那麼以後修改起來就要在每個頁面進行修改,不利於維護。我們可以把這個常量寫在js中,只要

@ConfigurationProperties註解配置檔案引數轉化Bean屬性

技術標籤:Springspringjava @ConfigurationProperties 註解配置檔案引數轉化Bean屬性

微軟 Defender Mac 版已支援 USB 防護:可自定義訪問許可權,防止惡意檔案傳輸

3月24日訊息微軟在 2019 年自家的安全防護軟體 Defender 帶到了 macOS 中。 近日微軟宣佈,Defender Mac 版已支援 USB 裝置訪問管理,可對外部 USB 裝置(包括 SD 卡)的讀取、寫入、執行等許可權進行自定義策略,

【K8s任務】通過檔案 Pod 資訊呈現容器

參考: https://kubernetes.io/zh/docs/tasks/inject-data-application/downward-api-volume-expose-pod-information/

自定義異常【工具類的錯誤拋呼叫servlet,原本的控制介面跳轉工作交還給servlet】

自定義異常【工具類的錯誤拋呼叫servlet,原本的控制介面跳轉工作交還給servlet】

Meta 開放更多許可權廣告商,可隨意挑選在 Facebook 和 Instagram 中的廣告位置

3 月 20 日訊息,Meta 在 3 月 17 日宣佈開始測試新的內容工具,允許廣告商控制他們的廣告在 Facebook 和 Instagram 資訊流中的展示位置。Meta 在發表的一篇文章中解釋稱,對 Facebook 和 Instagram 訂閱源新控

使用Spring安全表示式控制系統功能訪問許可權

一、SPEL表示式許可權控制 從spring security 3.0開始已經可以使用spring Expression表示式來控制授權,允許在表示式中使用複雜的布林邏輯來控制訪問許可權。Spring Security可用表示式物件的基類是SecurityExpres

使用Spring安全表示式控制系統功能訪問許可權問題

一、SPEL表示式許可權控制 從spring security 3.0開始已經可以使用spring Expression表示式來控制授權,允許在表示式中使用複雜的布林邏輯來控制訪問許可權。Spring Security可用表示式物件的基類是SecurityExpres

java四種訪問許可權例項分析

引言 Java中的訪問許可權理解起來不難,但完全掌握卻不容易,特別是4種訪問許可權並不是任何時候都可以使用。下面整理一下,在什麼情況下,有哪些訪問許可權可以允許選擇。

mysql 開放外網訪問許可權的方法

如下所示: 主要執行授權命令: 兩種方式 1. 允許任意主機以使用者bd和密碼bdpw連線到local伺服器

使用Pandasinf, nan轉化成特定的值

1. 資料處理中很噁心,出現 RuntimeWarning: divide by zero encountered in divide 發現自己的DataFrame中有除以0的運算,出現了Inf值

【Mysql】Mysql 8.0 以上授權遠端訪問許可權失敗

【現象】   由於要用 navicat 連線資料庫,navicat 報錯提示沒有許可權訪問,故要在 MySQL 中建立這個賬戶並賦予遠端訪問許可權

如何通過指標突破C++類的訪問許可權

看如下程式碼 #include \"pch.h\" #include <iostream> using namespace std; class A { public: A(int a,int b,int c) :m_a(a),m_b(b),m_c(c) {};