windows ntfs

链接

• 以程序的方式操纵NTFS的文件权限 https://blog.csdn.net/haoel/article/details/2905

SD（Security Descriptors）

在Windows系统中，其是用一个安全描述符（Security Descriptors）的结构来保存其权限的设置信息，简称为SD，其在Windows SDK中的结构名是“SECURITY_DESCRIPTOR”，这是包括了安全设置信息的结构体。

• 一个安全标识符(Security identifiers)，其标识了该信息是哪个对象的，也就是用于记录安全对象的ID。简称为：SID。
• 一个DACL（Discretionary Access Control List），其指出了允许和拒绝某用户或用户组的存取控制列表。 当一个进程需要访问安全对象，系统就会检查DACL来决定进程的访问权。如果一个对象没有DACL，那么就是说这个对象是任何人都可以拥有完全的访问权限。
• 一个SACL（System Access Control List），其指出了在该对象上的一组存取方式（如，读、写、运行等）的存取控制权限细节的列表。
• 还有其自身的一些控制位。

DACL和SACL构成了整个存取控制列表Access Control List，简称ACL，ACL中的每一项，我们叫做ACE（Access Control Entry），ACL中的每一个ACE。

我们的程序不用直接维护SD这个结构，这个结构由系统维护。我们只用使用Windows 提供的相关的API函数来取得并设置SD中的信息就行了。不过这些API函数只有Windows NT/2K/XP才支持。

例程一：创建一个有权限设置的目录

#include <windows.h>
void main(void)
{
    SECURITY_ATTRIBUTES sa;   //和文件有关的安全结构
    SECURITY_DESCRIPTOR sd;   //声明一个SD
    BYTE aclBuffer[1024];
    PACL pacl=(PACL)&aclBuffer;  //声明一个ACL，长度是1024
    BYTE sidBuffer[100];
    PSID psid=(PSID) &sidBuffer;   //声明一个SID，长度是100
    DWORD sidBufferSize = 100;
    char domainBuffer[80];
    DWORD domainBufferSize = 80;
    SID_NAME_USE snu;
    HANDLE file;
    //初始化一个SD
    InitializeSecurityDescriptor(&sd, SECURITY_DESCRIPTOR_REVISION);
    //初始化一个ACL
    InitializeAcl(pacl, 1024, ACL_REVISION);
    //查找一个用户hchen，并取该用户的SID
    LookupAccountName(0, "hchen", psid,&sidBufferSize,         
                      domainBuffer,&domainBufferSize, &snu);
    //设置该用户的Access-Allowed的ACE，其权限为“所有权限”
    AddAccessAllowedAce(pacl, ACL_REVISION, GENERIC_ALL, psid);
    //把ACL设置到SD中
    SetSecurityDescriptorDacl(&sd, TRUE, pacl, FALSE);
    //把SD放到文件安全结构SA中
    sa.nLength = sizeof(SECURITY_ATTRIBUTES);
    sa.bInheritHandle = FALSE;
    sa.lpSecurityDescriptor = &sd;
    //创建文件
    file = CreateFile("c://testfile",
                      0, 0, &sa, CREATE_NEW, FILE_ATTRIBUTE_NORMAL, 0);
    CloseHandle(file);
}