.NET 控制Windows文件和目录访问权限研究(FileSystemAccessRule)
前一段时间学习了.net 控制windows文件和目录权限的相关内容,期间做了一些总结。想把这方面的研究跟大家分享,一起学习。其中不免得有些用词不太标准的地方,希望大家留言指正,我加以修改。
首先,我们利用一个方法作为示例:
/// <summary>
/// 为指定用户组,授权目录指定完全访问权限
/// </summary>
/// <param name="user">用户组,如Users</param>
/// <param name="folder">实际的目录</param>
/// <returns></returns>
private static bool SetAccess(string user, string folder)
{
//定义为完全控制的权限
const FileSystemRights Rights = FileSystemRights.FullControl; //添加访问规则到实际目录
var AccessRule = new FileSystemAccessRule(user, Rights,InheritanceFlags.None,PropagationFlags.NoPropagateInherit, AccessControlType.Allow);
var Info = new DirectoryInfo(folder);
var Security = Info.GetAccessControl(AccessControlSections.Access);
bool Result;
Security.ModifyAccessRule(AccessControlModification.Set, AccessRule, out Result);
if (!Result) return false; //总是允许再目录上进行对象继承
const InheritanceFlags iFlags = InheritanceFlags.ContainerInherit | InheritanceFlags.ObjectInherit;
//为继承关系添加访问规则
AccessRule = new FileSystemAccessRule(user, Rights,iFlags,PropagationFlags.InheritOnly,AccessControlType.Allow);
Security.ModifyAccessRule(AccessControlModification.Add, AccessRule, out Result);
if (!Result)
return false;
Info.SetAccessControl(Security);//将 FileSecurity 对象所描述的访问控制列表 (ACL) 项应用于当前 FileStream 对象所描述的文件。
return true;
}
下面详细的介绍一下比较重要的几个方法,第一个:
一、 public FileSystemAccessRule( string identity, FileSystemRights fileSystemRights, InheritanceFlags inheritanceFlags, PropagationFlags propagationFlags, AccessControlType type)
定义访问规则,参数如下:
identity
Type: System.String
The name of a user account. (账户名)
fileSystemRights
Type: System.Security.AccessControl.FileSystemRights
One of the FileSystemRights values that specifies the type of operation associated with the access rule. (与访问规则相关联的操作类型)
inheritanceFlags
Type: System.Security.AccessControl.InheritanceFlags
One of the InheritanceFlags values that specifies how access masks are propagated to child objects.
(CSDN上解释的是“该值指示如何将访问掩码传播到子对象”,我的理解是 该值规定是将继承规则作用在文件夹上还是文件上)
propagationFlags
Type: System.Security.AccessControl.PropagationFlags
One of the PropagationFlags values that specifies how Access Control Entries (ACEs) are propagated to child objects.
(CSDN上解释的是“该值指定如何将访问控制项 (Ace) 传播到子对象”,propagationFlags能起作用的前提是inheritanceFlags不为None)
type
Type: System.Security.AccessControl.AccessControlType
One of the AccessControlType values that specifies whether to allow or deny the operation.(允许还是拒绝)
第一个参数是账户名,第二个是操作类型,操作类型对应的有以下:
("AppendData", "附加数据");
("ChangePermissions", "更改权限");
("CreateDirectories", "创建文件夹/附加数据");
("CreateFiles", "创建文件/写入数据");
("Delete", "删除");
("DeleteSubdirectoriesAndFiles", "删除子文件夹及文件");
("ExecuteFile", "执行文件");
("FullControl", "完全控制");
("ListDirectory", "列出文件夹/读取数据");
("Modify", "修改");
("Read", "读取");
("ReadAndExecute", "读取和执行");
("ReadAttributes", "读取属性");
("ReadData", "读取数据");
("ReadExtendedAttributes", "读取扩展属性");
("ReadPermissions", "读取权限");
("Synchronize", "同步");
("TakeOwnership", "更改文件(夹)所有者");
("Traverse", "执行程序");
("Write", "写入");
("WriteAttributes", "写入属性");
("WriteData", "写入数据");
("WriteExtendedAttributes", "写入扩展属性");
第三四个参数比较难懂,并且他两个应该组合起来应用。一个是inheritanceFlags(ContainerInherit,None,ObjectInherit),另一个是propagationFlags(InheritOnly,None,NoPropagateInherit),这两枚举都有三个值,都具有允许其成员值的按位组合的 FlagsAttribute 特性,propagationFlags能起作用的前提是inheritanceFlags不为None。
下面是我总结的常用的枚举组合:
对应到windows界面操作上后,如下图所示:
第五个参数规定该访问规则的类型是 允许还是拒绝。
再看一下另一个方法:
二 、public virtual bool ModifyAccessRule( AccessControlModification modification, AccessRule rule, out bool modified)
修改访问规则,参数如下:
modification
Type: System.Security.AccessControl.AccessControlModification
The modification to apply to the DACL.(包括Add、Remove、RemoveAll、RemoveSpecific、Reset、Set)
rule
Type: System.Security.AccessControl.AccessRule
The access rule to modify.(访问规则)
modified
Type: System.Boolean
true if the DACL is successfully modified; otherwise, false.(指示成功还是失败) 返回值
Type: System.Boolean
true if the DACL is successfully modified; otherwise, false.
最后利用SetAccessControl将FileSecurity 对象所描述的访问控制列表 (ACL) 项应用于当前 FileStream 对象所描述的文件。
最后贴上我自己写的一个类,可根据自己需要加以修改。
using System;
using System.Collections.Generic;
using System.Text;
using System.Security.AccessControl;
using System.IO;
using System.Security.Principal; namespace subServer
{
class WinFileAccessHelper
{
private enum MyRights
{
ChangePermissions,
CreateDirectories,
CreateFiles,
Delete,
DeleteSubdirectoriesAndFiles,
ExecuteFile,
FullControl,
ListDirectory,
Modify,
Read,
ReadAndExecute,
ReadAttributes,
ReadData,
ReadExtendedAttributes,
ReadPermissions,
Synchronize,
TakeOwnership,
Traverse,
Write,
WriteAttributes,
WriteData,
WriteExtendedAttributes
}; public enum MyEffectRange//作用范围
{
OnlyThisFolder, // 仅作用于此文件夹 ThisAndAllChildFolder, // 此文件夹和子文件夹(包括子文件夹下的所有文件夹)
OnlyAllChildFolder, // 只有子文件夹(包括子文件夹下的所有文件夹,但不包括此文件夹)
ThisAndOnlyChildFolder, // 此文件夹和子文件夹(不包括子文件夹下的文件夹) ThisAndALLFiles, // 此文件夹和文件(包括子文件夹下的所有文件)
OnlyAllFiles, // 只有文件(包括子文件夹下的所有文件,但不包括此文件夹)
ThisAndOnlyChildFiles, // 此文件夹和此文件夹下的文件(不包括子文件夹和子文件夹下的文件) ThisAndAllFolderFiles, // 此文件夹、子文件夹和文件(包括文件夹下的所有文件夹和文件)
OnlyAllChildFolderFiles, // 子文件夹和文件(包括文件夹下的所有文件夹和文件,不包括此文件夹)
ThisAndOnlyChildFolderFiles // 此文件夹、此文件夹下的文件 和子文件夹(不包括子文件夹下的文件夹和文件)
}; public struct InheritPropPair
{
public InheritPropPair(InheritanceFlags inher, PropagationFlags pro)
{
inherit = inher;
propagation = pro;
}
public InheritanceFlags inherit;
public PropagationFlags propagation;
} /// <summary>
/// 通过作用范围获得InheritPropPair
/// </summary>
/// <param name="range"></param>
/// <param name="pair"></param>
/// <returns></returns>
public static bool getInheritPropPair(MyEffectRange range, out InheritPropPair pair)
{
bool isRight = true;
InheritanceFlags inheritTmp = InheritanceFlags.None;
PropagationFlags propagationTmp = PropagationFlags.None; switch (range)
{
case MyEffectRange.OnlyThisFolder:
inheritTmp = InheritanceFlags.None;
propagationTmp = PropagationFlags.None;
break; case MyEffectRange.ThisAndAllChildFolder:
inheritTmp = InheritanceFlags.ContainerInherit;
propagationTmp = PropagationFlags.None;
break;
case MyEffectRange.OnlyAllChildFolder:
inheritTmp = InheritanceFlags.ContainerInherit;
propagationTmp = PropagationFlags.InheritOnly;
break;
case MyEffectRange.ThisAndOnlyChildFolder:
inheritTmp = InheritanceFlags.ContainerInherit;
propagationTmp = PropagationFlags.NoPropagateInherit;
break; case MyEffectRange.ThisAndALLFiles:
inheritTmp = InheritanceFlags.ObjectInherit;
propagationTmp = PropagationFlags.None;
break;
case MyEffectRange.OnlyAllFiles:
inheritTmp = InheritanceFlags.ObjectInherit;
propagationTmp = PropagationFlags.InheritOnly;
break;
case MyEffectRange.ThisAndOnlyChildFiles:
inheritTmp = InheritanceFlags.ObjectInherit;
propagationTmp = PropagationFlags.NoPropagateInherit;
break; case MyEffectRange.ThisAndAllFolderFiles:
inheritTmp = InheritanceFlags.ContainerInherit | InheritanceFlags.ObjectInherit;
propagationTmp = PropagationFlags.None;
break;
case MyEffectRange.OnlyAllChildFolderFiles:
inheritTmp = InheritanceFlags.ContainerInherit | InheritanceFlags.ObjectInherit;
propagationTmp = PropagationFlags.InheritOnly;
break;
case MyEffectRange.ThisAndOnlyChildFolderFiles:
inheritTmp = InheritanceFlags.ContainerInherit | InheritanceFlags.ObjectInherit;
propagationTmp = PropagationFlags.NoPropagateInherit;
break; default:
Console.WriteLine("输入参数不正确");
isRight = false;
break;
}
pair.inherit = inheritTmp;
pair.propagation = propagationTmp;
return isRight;
} /// <summary>
/// 为指定用户组,授权目录指定访问权限
/// </summary>
/// <param name="user">用户组,如Users/Everyone</param>
/// <param name="folderOrFile">目录或文件路径</param>
/// <param name="rights">FileSystemRights类型的权限,可叠加</param>
/// <param name="pair">由作用范围得到的继承和传播方式pair</param>
/// <param name="accessType">AccessControlType类型的参数,有Allow/Deny</param>
/// <param name="isDelExistingAccess">是否删除该用户已有的权限控制</param>
/// <returns></returns>
public static bool SetAccess(string user, string folderOrFile, FileSystemRights rights, InheritPropPair pair,AccessControlType accessType)
{
try
{
if (!Directory.Exists(folderOrFile) && !File.Exists(folderOrFile))
return false; var Info = new DirectoryInfo(folderOrFile);
var Security = Info.GetAccessControl(AccessControlSections.Access);
bool Result;
var AccessRule = new FileSystemAccessRule(user, rights, pair.inherit, pair.propagation, accessType); Security.ModifyAccessRule(AccessControlModification.Set, AccessRule, out Result);
if (!Result)
return false; Info.SetAccessControl(Security);
return true;
}
catch(Exception ex)
{
System.Windows.Forms.MessageBox.Show(ex.ToString(), "设置权限错误");
return false;
}
} /// <summary>
/// 删除权限
/// </summary>
/// <param name="user"></param>
/// <param name="folderOrFile"></param>
/// <param name="rights"></param>
/// <param name="pair"></param>
/// <param name="accessType"></param>
/// <returns></returns>
public static bool RemoveAccess(string user, string folderOrFile, FileSystemRights rights, InheritPropPair pair, AccessControlType accessType)
{
try
{
if (!Directory.Exists(folderOrFile) && !File.Exists(folderOrFile))
return false; var Info = new DirectoryInfo(folderOrFile);
var Security = Info.GetAccessControl(AccessControlSections.Access);
bool Result;
var AccessRule = new FileSystemAccessRule(user, rights, pair.inherit, pair.propagation, accessType); Security.ModifyAccessRule(AccessControlModification.Remove, AccessRule, out Result);
if (!Result)
return false; Info.SetAccessControl(Security);
return true;
}
catch (Exception ex)
{
System.Windows.Forms.MessageBox.Show(ex.ToString(), "删除权限错误");
return false;
}
} /// <summary>
/// 删除所有“拒绝”权限,只能删除自身设置的访问控制权限,不能删除继承得来的权限。如果想删除继承的权限,请先调用DenyInheritAccess()
/// </summary>
/// <param name="folderOrFile">文件夹或文件</param>
/// <returns></returns>
public static bool RemoveAllDenyAccess(string folderOrFile)
{
try
{
if (!Directory.Exists(folderOrFile) && !File.Exists(folderOrFile))
return false; var Info = new DirectoryInfo(folderOrFile);
var Security = Info.GetAccessControl(AccessControlSections.Access);
bool Result; foreach (FileSystemAccessRule rule in Security.GetAccessRules(true, true, typeof(NTAccount)))
//foreach (FileSystemAccessRule rule in Security.GetAccessRules(true, true, typeof(SecurityIdentifier)))
{
//NTAccount时输出:允许 BUILTIN\Administrators---- FullControl
//SecurityIdentifier时输出:允许 S-1-5-32-544---- FullControl
//Console.WriteLine("{0} {1}---- {2}",
// rule.AccessControlType == AccessControlType.Allow ? "允许" : "拒绝",
// rule.IdentityReference.ToString(),
// rule.FileSystemRights
// );
if (rule.AccessControlType == AccessControlType.Deny)
{
Security.ModifyAccessRule(AccessControlModification.Remove, rule, out Result);
if (!Result)
return false;
Info.SetAccessControl(Security);
// System.Windows.Forms.MessageBox.Show(folderOrFile+"Deny result"+Result);
}
} return true;
}
catch (Exception ex)
{
System.Windows.Forms.MessageBox.Show(ex.ToString(), "删除权限错误");
return false;
}
} /// <summary>
/// 删除继承得来的访问权限
/// </summary>
/// <param name="folderOrFile">文件夹或文件</param>
/// <param name="preserveInheritance">是否保留继承得来的访问权限</param>
/// <returns></returns>
public static bool DenyInheritAccess(string folderOrFile, bool preserveInheritance)
{
try
{
if (!Directory.Exists(folderOrFile) && !File.Exists(folderOrFile))
return false;
var Info = new DirectoryInfo(folderOrFile);
var Security = Info.GetAccessControl(AccessControlSections.Access);
Security.SetAccessRuleProtection(true, preserveInheritance);
Info.SetAccessControl(Security);
return true;
}
catch (Exception ex)
{
System.Windows.Forms.MessageBox.Show(ex.ToString(), "禁用继承权限错误");
return false;
}
}
}
}
目录访问控制类
如果想进一步了解关于访问控制的详细介绍,可以参考http://www.cnblogs.com/xuanhun/archive/2012/06/23/2559576.html
.NET 控制Windows文件和目录访问权限研究(FileSystemAccessRule)的更多相关文章
- apache环境下禁止某文件夹内运行PHP脚本、禁止访问文件或目录执行权限的设置方法
apache环境下禁止某文件夹内运行PHP脚本.禁止访问文件或目录执行权限的设置方法 首先我们来看两段对上传目录设置无权限的列子,配置如下: <Directory "要去掉PHP执 ...
- CentOS 6.5系统上安装SVN服务器端的方法及目录访问权限配置(转总结)
SVN其实就是Subversion,分为服务器端和客户端.之前在网上搜了很多方法,都有各种问题,经过自己搜集整理以及实际尝试,总算有个比较靠谱的方法.本文主要介绍CentOS 6.5系统上安装SVN服 ...
- WIN7 WIN10赋予文件或者文件夹完全访问权限
WIN7 WIN10赋予文件或者文件夹完全访问权限win7文件夹图标中多了一把小锁打不开文件夹怎么办?解决办法一:右击目录→取得管理员权限!该方法适用于win7旗舰版.解决办法二:添加everyone ...
- asp.net项目中通过Web.config配置文件及文件夹的访问权限!
描述:在开发中我们通常会碰到这样的问题,例如:在项目的根目录下面有一个文件或者文件夹需要用户登陆后才能访问.如果用户在没有登录的情况下访问该文件或者该文件夹下面的文件时,直接拦截重定向到对应的登陆页面 ...
- Unix/Linux文件类型及访问权限
在Linux系统中,有7种文件类型. 普通文件 (regular file) 目录文件 (directory) 链接文件 (symbolic link) 管道文件 (FIFO) 套接字文件 (sock ...
- chmod变更文件或目录的权限
chmod命令用来变更文件或目录的权限.在UNIX系统家族里,文件或目录权限的控制分别以读取.写入.执行3种一般权限来区分,另有3种特殊权限可供运用.用户可以使用chmod指令去变更文件与目录的权限, ...
- chmod---变更文件或目录的权限
chmod命令用来变更文件或目录的权限.在UNIX系统家族里,文件或目录权限的控制分别以读取.写入.执行3种一般权限来区分,另有3种特殊权限可供运用.用户可以使用chmod指令去变更文件与目录的权限, ...
- CentOS Linux SVN服务器 配置用户目录访问 权限 Authorization failed
SVN 修改 aurhz 文件设置用户目录访问权限格式: [/code] user=rw user 用户对code目录拥有读和写的权限. 但是访问 svn://192.168.1.59 的时候却提示A ...
- 15、linux文件、目录的权限及如何改变权限(root用户不受任何权限的限制)
15.1.linux普通文件的读.写.执行权限说明: r:读,表示具有读取\阅读文件内容的权限: w:可写,表示具有新增,修改文件内容的权限: 如果没有r配合,那么vi编辑文件会提示无法编辑(但可以强 ...
随机推荐
- C语言最最最基础部分(a+b为例)
此篇为C语言最基础的部分知识简单概括,对C语言有一定了解的同学建议绕道哦~另外,文底附有此文知识点详细了解的链接. 下面我们以“a+b”为例,分析这个程序的组成. #include<stdi ...
- TypeEncodings
官网链接: https://developer.apple.com/library/content/documentation/Cocoa/Conceptual/ObjCRuntimeGuide/Ar ...
- simhash文章排重
原文链接:https://www.cnblogs.com/baochuan/p/9089244.html 背景 提升产品体验,节省用户感知度.——想想,如果看到一堆相似性很高的新闻,对于用户 ...
- js精度溢出解决方案
一般参数值不能超过16位.如果超出16都是用0替代,导致我们查询不到自己想要的结果. 遇到此问题我们做如下修改 自己写属性 原始的: <a href="javascript:void( ...
- struts2 拦截器弊端
struts2 怎样在action内获得fielderror
- CSS 基础:CSS 工作原理(2)<思维导图>
这段时间利用一下间隙时间学习了CSS的基础知识,主要目的是加深对CSS的理解,虽然个人主要工作基本都是后台开发,但是个人觉得系统学习一下CSS的基础还是很有必要的.下面我学习CSS时做的思维导图(全屏 ...
- SpringMVC之文件上传异常处理
一般情况下,对上传的文件会进行大小的限制.如果超过指定大小时会抛出异常,一般会对异常进行捕获并友好的显示出来.以下用SpringMVC之文件上传进行完善. 首先配置CommonsMultipartRe ...
- mybatis教程6(逆向工程)
什么是逆向工程 简单点说,就是通过数据库中的单表,自动生成java代码. Mybatis官方提供了逆向工程,可以针对单表自动生成mybatis代码(mapper.java\mapper.xml\po类 ...
- netty源码解解析(4.0)-12 Channel NIO实现:channel初始化
创建一个channel实例,并把它register到eventLoopGroup中之后,这个channel然后处于inactive状态,仍然是不可用的.只有在bind或connect方法调用成功之后才 ...
- MySQL基准测试(二)--方法
MySQL基准测试(二)--方法 目的: 方法不是越高级越好.而应该善于做减法.至简是一种智慧,首先要做的是收集MySQL的各状态数据.收集到了,不管各个时间段出现的问题,至少你手上有第一时间的状态数 ...