需要首先获取特定用户的SID。

这是一些步骤,

  1. 验证输入参数。
  2. 为可能足够大的SID和域名创建缓冲区。
  3. 在循环中,调用LookupAccountName以检索提供的帐户名的SID。如果SID的缓冲区或域名的缓冲区不够大,则分别在cbSid或中返回所需的缓冲区大小cchDomainName,并在下一次调用之前分配一个新的缓冲区LookupAccountName。请注意,当lpSystemName参数设置为NULL时,将在本地系统上检索信息 。
  4. 释放分配给域名缓冲区的内存。

然后将SID传递给SetEntriesInAclA函数,

SetEntriesInAcl函数通过将新的访问控制或审核控制信息合并到现有ACL结构中来创建新的访问控制列表(ACL)。

这是传递给SetEntriesInAcl的结构参数,

 ZeroMemory(&ea, sizeof(EXPLICIT_ACCESS));

    ea.grfAccessPermissions = GENERIC_ALL;  //权限设置

    ea.grfAccessMode = SET_ACCESS;

    ea.grfInheritance = NO_INHERITANCE;

    ea.Trustee.TrusteeForm = TRUSTEE_IS_SID;

    ea.Trustee.TrusteeType = TRUSTEE_IS_USER; //特定的对象

    ea.Trustee.ptstrName = (LPTSTR)sid; //特定用户的sid

    // Create a new ACL that contains the new ACEs.

    dwRes = SetEntriesInAcl(1, &ea, NULL, &pACL);

完整代码:

#pragma comment(lib, "advapi32.lib")

#include <windows.h>

#include <stdio.h>

#include <aclapi.h>

#include <tchar.h>

#include <mq.h.>

HRESULT GetSid(

    LPCWSTR wszAccName,

    PSID* ppSid

)

{

    // Validate the input parameters.

    if (wszAccName == NULL || ppSid == NULL)

    {

        return MQ_ERROR_INVALID_PARAMETER;

    }

    // Create buffers that may be large enough.

    // If a buffer is too small, the count parameter will be set to the size needed.

    const DWORD INITIAL_SIZE = 32;

    DWORD cbSid = 0;

    DWORD dwSidBufferSize = INITIAL_SIZE;

    DWORD cchDomainName = 0;

    DWORD dwDomainBufferSize = INITIAL_SIZE;

    WCHAR* wszDomainName = NULL;

    SID_NAME_USE eSidType;

    DWORD dwErrorCode = 0;

    HRESULT hr = MQ_OK;

    // Create buffers for the SID and the domain name.

    *ppSid = (PSID) new BYTE[dwSidBufferSize];

    if (*ppSid == NULL)

    {

        return MQ_ERROR_INSUFFICIENT_RESOURCES;

    }

    memset(*ppSid, 0, dwSidBufferSize);

    wszDomainName = new WCHAR[dwDomainBufferSize];

    if (wszDomainName == NULL)

    {

        return MQ_ERROR_INSUFFICIENT_RESOURCES;

    }

    memset(wszDomainName, 0, dwDomainBufferSize * sizeof(WCHAR));

    // Obtain the SID for the account name passed.

    for (; ; )

    {

        // Set the count variables to the buffer sizes and retrieve the SID.

        cbSid = dwSidBufferSize;

        cchDomainName = dwDomainBufferSize;

        if (LookupAccountNameW(

            NULL,            // Computer name. NULL for the local computer

            wszAccName,

            *ppSid,          // Pointer to the SID buffer. Use NULL to get the size needed,

            &cbSid,          // Size of the SID buffer needed.

            wszDomainName,   // wszDomainName,

            &cchDomainName,

            &eSidType

        ))

        {

            if (IsValidSid(*ppSid) == FALSE)

            {

                wprintf(L"The SID for %s is invalid.\n", wszAccName);

                dwErrorCode = MQ_ERROR;

            }

            break;

        }

        dwErrorCode = GetLastError();

        // Check if one of the buffers was too small.

        if (dwErrorCode == ERROR_INSUFFICIENT_BUFFER)

        {

            if (cbSid > dwSidBufferSize)

            {

                // Reallocate memory for the SID buffer.

                wprintf(L"The SID buffer was too small. It will be reallocated.\n");

                FreeSid(*ppSid);

                *ppSid = (PSID) new BYTE[cbSid];

                if (*ppSid == NULL)

                {

                    return MQ_ERROR_INSUFFICIENT_RESOURCES;

                }

                memset(*ppSid, 0, cbSid);

                dwSidBufferSize = cbSid;

            }

            if (cchDomainName > dwDomainBufferSize)

            {

                // Reallocate memory for the domain name buffer.

                wprintf(L"The domain name buffer was too small. It will be reallocated.\n");

                delete[] wszDomainName;

                wszDomainName = new WCHAR[cchDomainName];

                if (wszDomainName == NULL)

                {

                    return MQ_ERROR_INSUFFICIENT_RESOURCES;

                }

                memset(wszDomainName, 0, cchDomainName * sizeof(WCHAR));

                dwDomainBufferSize = cchDomainName;

            }

        }

        else

        {

            wprintf(L"LookupAccountNameW failed. GetLastError returned: %d\n", dwErrorCode);

            hr = HRESULT_FROM_WIN32(dwErrorCode);

            break;

        }

    }

    delete[] wszDomainName;

    return hr;

}

void main()

{

    PSID sid;

    GetSid(L"strive", &sid);

    DWORD dwRes, dwDisposition;

    PACL pACL = NULL;

    PSECURITY_DESCRIPTOR pSD = NULL;

    EXPLICIT_ACCESS ea;

    SECURITY_ATTRIBUTES sa;

    HANDLE lRes = NULL;

    // Initialize an EXPLICIT_ACCESS structure for an ACE.

    // The ACE will allow Everyone read access to the key.

    ZeroMemory(&ea, sizeof(EXPLICIT_ACCESS));

    ea.grfAccessPermissions = GENERIC_ALL;

    ea.grfAccessMode = SET_ACCESS;

    ea.grfInheritance = NO_INHERITANCE;

    ea.Trustee.TrusteeForm = TRUSTEE_IS_SID;

    ea.Trustee.TrusteeType = TRUSTEE_IS_USER;

    ea.Trustee.ptstrName = (LPTSTR)sid;

    // Create a new ACL that contains the new ACEs.

    dwRes = SetEntriesInAcl(1, &ea, NULL, &pACL);

    if (ERROR_SUCCESS != dwRes)

    {

        _tprintf(_T("SetEntriesInAcl Error %u\n"), GetLastError());

        goto Cleanup;

    }

    // Initialize a security descriptor.

    pSD = (PSECURITY_DESCRIPTOR)LocalAlloc(LPTR,

        SECURITY_DESCRIPTOR_MIN_LENGTH);

    if (NULL == pSD)

    {

        _tprintf(_T("LocalAlloc Error %u\n"), GetLastError());

        goto Cleanup;

    }

    if (!InitializeSecurityDescriptor(pSD,

        SECURITY_DESCRIPTOR_REVISION))

    {

        _tprintf(_T("InitializeSecurityDescriptor Error %u\n"),

            GetLastError());

        goto Cleanup;

    }

    // Add the ACL to the security descriptor.

    if (!SetSecurityDescriptorDacl(pSD,

        TRUE,     // bDaclPresent flag

        pACL,

        FALSE))   // not a default DACL

    {

        _tprintf(_T("SetSecurityDescriptorDacl Error %u\n"),

            GetLastError());

        goto Cleanup;

    }

    // Initialize a security attributes structure.

    sa.nLength = sizeof(SECURITY_ATTRIBUTES);

    sa.lpSecurityDescriptor = pSD;

    sa.bInheritHandle = FALSE;

    // Use the security attributes to set the security descriptor

    // when you create a key.

    lRes =  CreateFile(_T("D:\\File.txt"), GENERIC_READ | GENERIC_WRITE, FILE_SHARE_READ,

        &sa, OPEN_ALWAYS, 0, NULL);

    if (lRes != NULL)

    {

        _tprintf(_T("Create file success\n"));

    }

Cleanup:

    if (pACL)

        LocalFree(pACL);

    if (pSD)

        LocalFree(pSD);

    if (lRes)

       CloseHandle(lRes);

    return;

}

结果: 创建了一个文本,我们可以检查文本的属性来验证是否成功。

文档参考: 在C ++中为新对象创建安全描述符

C-C++ Code Example: Creating a Security Descriptor

拓展:

我们可以使用SetNamedSecurityInfo函数,将访问权限限制为特定的用户帐户和/或组。 不过如果具有足够权限的合适用户帐户运行您的应用程序(或与此相关的任何应用程序),或者您的应用程序(或其他应用程序)冒充了该帐户,则它将能够访问该文件。

案例参考: 使用C ++制作具有仅用户可以查看和编辑的权限的文件

关于ACL和ACE的详细介绍: 关于Windows安全权限的学习(三)

部分内容(防止丢失):

一个安全描述符包含以下安全信息:

  • 两个安全标识符(Security identifiers),简称为SID,分别是OwnerSid和GroupSid. 所谓SID就是每次当我们创建一个用户或一个组的时候,系统会分配给改用户或组一个唯一SID,当你重新安装系统后,也会得到一个唯一的SID。SID是唯一的,不随用户的删除而分配到另外的用户使用。
    请记住,SID永远都是唯一的SIF是由计算机名、当前时间、当前用户态线程的CPU耗费时间的总和三个参数决定以保证它的唯一性。
      例:   S-1-5-21-1763234323-3212657521-1234321321-500
  • 一个DACL(Discretionary Access Control List),其指出了允许和拒绝某用户或用户组的存取控制列表。 当一个进程需要访问安全对象,系统就会检查DACL来决定进程的访问权。如果一个对象没有DACL,那么就是说这个对象是任何人都可以拥有完全的访问权限。
  • 一个SACL(System Access Control List),其指出了在该对象上的一组存取方式(如,读、写、运行等)的存取控制权限细节的列表。
  • 还有其自身的一些控制位。SECURITY_DESCRIPTOR_CONTROL

DACL和SACL构成了整个存取控制列表Access Control List,简称ACL,ACL中的每一项,我们叫做ACE(Access Control Entry),ACL中的每一个ACE。

win32 - 将文件的访问权限给特定的用户的更多相关文章

  1. UNIX环境编程学习笔记(8)——文件I/O之校验当前登录用户对文件的访问权限

    lienhua342014-09-03 通过前面一篇随笔(文件访问权限与进程访问控制),我们知道内核校验文件的访问权限使用的是进程的有效用户 ID 和有效组 ID.但有时我们需要知道当前登录用户对某个 ...

  2. python判断文件的访问权限

    os.access(file, mode)判断文件的访问权限file为文件mode为操作模式,有这么几种:os.F_OK: 检查文件是否存在;os.R_OK: 检查文件是否可读;os.W_OK: 检查 ...

  3. 【C# IO 操作】C#修改文件或文件夹的权限,为指定用户、用户组添加完全控制权限

    代码实现 在C盘添加一个文件夹,并在文件夹内部,新建一个文本文件,如图所示: 该文件夹下,新建一个文本文件,如图所示: 为文件添加完全控制权限: /// <summary> /// 为文件 ...

  4. C#修改文件或文件夹的权限,为指定用户、用户组添加完全控制权限

    C#修改文件或文件夹的权限,为指定用户.用户组添加完全控制权限 public void SetFileRole(string foldPath) { DirectorySecurity fsec = ...

  5. 关于heritrix安装配置时出现”必须限制口令文件读取访问权限”的解决方法

    转载:http://www.floatinglife.cn/关于heritrix安装配置时出现必须限制口令文件读取访问 最近开始写一个RSS聚合程序,需要爬虫支持,于是就整来heritrix,没想到, ...

  6. Windows Server 2012下手动配置IIS的文件夹访问权限

    当新建一个website的时候,一般情况下IIS对相应的物理文件夹的访问权限是不够的. 针对匿名认证(anonymous authentication)需要: 打开文件夹properties-> ...

  7. chmod - 改变文件的访问权限

    总揽 chmod [options] mode file... POSIX 选项: [-R] GNU 选项 (最短方式): [-cfvR] [--reference=rfile] [--help] [ ...

  8. Linux中文件夹访问权限不足

    经常操作Linux服务器,远程访问会遇到403问题,本篇讲述nginx下文件权限的修改. 1.命令修改该文件夹的权限 chmod -R 755 /usr/local/....   文件夹的路径 2.修 ...

  9. DACL原理.控制文件的访问权限(文件,注册表.目录.等任何带有安全属性的对象.)

    目录 一丶简介 1.DACL是什么. 2.如何创建一个自己控制的文件. 3.SDDL是个什么鬼. 二丶 编写SDDL 控制的文件 一丶简介 1.DACL是什么. DACL称为自主访问的控制列表.是应用 ...

  10. Linux的文件/目录访问权限

    一直以为对这个概念非常懂,但这次还是犯了眼高手低的毛病. 配置服务器遇到了一个问题,对某个WEB目录(例如"/bin"),有两个用户要对其进行读写操作: 首先apache服务器要对 ...

随机推荐

  1. [转帖]oracle rac后台进程和LMS说明

    本文摘抄录oracle官方文档,oracle rac使用的后台进程,用以备忘,记录之. About Oracle RAC Background Processes The GCS and GES pr ...

  2. [转帖]s3fs把 s3-like 对象存储挂载到本地

    s3fs把 s3-like 对象存储挂载到本地 s3fs把 s3-like 对象存储挂载到本地 s3fs-fuse 是一个采用 c++ 开发的开源应用,它的作用是可以将 AWS S3 以及兼容 S3 ...

  3. [转帖]PostgreSQL(三) 内存参数优化和原理(work_mem)内存表 pgfincore插件使用方法

    1.常用内存参数 1.1 shared_buffers shared_buffers是PostgreSQL用于共享缓冲区的内存,是由8kb大小的块所形成的数组.PostgreSQL在进行更新.查询等操 ...

  4. [转帖]安全技术和iptables防火墙

    目录 安全技术 Netfilter 防火墙工具介绍 iptables firewalld nftables iptables的组成概述 netfilter与iptables关系 iptables的四表 ...

  5. [转帖]Linux:crontab要点整理(表达式,转义,权限管理,日志)

    https://www.jianshu.com/p/fd46652f247e 摘要:Linux,crontab整理crontab的使用,包括cron表达式,设置和删除任务,权限管理,查看日志 cron ...

  6. [转帖]GC 日志

    https://www.xjx100.cn/news/188814.html?action=onClick 垃圾回收器的发展历史 1999年:随JDK1.3.1一起来的串行方式Serial GC(第一 ...

  7. RabbitMQ 测试环境的简单创建于使用 permission vhost 以及 权限简单设置

    之前用docker运行起来 rabbitmq的容器了 但是今天发现有问题. 简单沟通了下 需要进行处理. 方法主要是如下 1. 运行容器: docker run --name rabbitmq -ti ...

  8. 原生js拖拽元素(onmouseup不能够触发的原因)

    我们经常会遇见拖拽某一个元素的场景,拖拽也是很常用的: 这次拖拽遇见一个问题,有时在拖拽的时候吗,鼠标松开,元素仍然可以拖拽: 经过查阅资料,发现: 会触发H5原生的拖拽事件.并且不会监听到onmou ...

  9. Python 潮流周刊#22:Python 3.12.0 发布了!!

    你好,我是猫哥.这里每周分享优质的 Python.AI 及通用技术内容,大部分为英文.标题取自其中一则分享,不代表全部内容都是该主题,特此声明. 本周刊由 Python猫 出品,精心筛选国内外的 25 ...

  10. 语言模型的预训练[6]:思维链(Chain-of-thought,CoT)定义原理详解、Zero-shot CoT、Few-shot CoT 以及在LLM上应用

    大语言模型的预训练[6]:思维链(Chain-of-thought,CoT)定义原理详解.Zero-shot CoT.Few-shot CoT 以及在LLM上应用 1.思维链定义 背景 在 2017- ...