创建文件并设置NTFS权限

在NTFS文件系统出现后，在Windows系统(2K/XP/Vista..)下的对象，包括文件系统，进程、命名管道、打印机、网络共享、或是注册表等等，都可以设置用户访问权限。

在Windows系统中，其是用一个安全描述符（Security Descriptors）的结构来保存其权限的设置信息，简称为SD，其在Windows SDK中的结构名是“SECURITY_DESCRIPTOR”，这是包括了安全设置信息的结构体，其结构体内容定义如下：

typedef struct _SECURITY_DESCRIPTOR {
  UCHAR  Revision;
  UCHAR  Sbz1;
  SECURITY_DESCRIPTOR_CONTROL  Control;
  PSID  Owner;
  PSID  Group;
  PACL  Sacl;
  PACL  Dacl;
} SECURITY_DESCRIPTOR, *PISECURITY_DESCRIPTOR;

一个安全描述符包含以下安全信息：

• 两个安全标识符(Security identifiers)，简称为SID，分别是OwnerSid和GroupSid. 所谓SID就是每次当我们创建一个用户或一个组的时候，系统会分配给改用户或组一个唯一SID，当你重新安装系统后，也会得到一个唯一的SID。SID是唯一的，不随用户的删除而分配到另外的用户使用。
  请记住，SID永远都是唯一的SIF是由计算机名、当前时间、当前用户态线程的CPU耗费时间的总和三个参数决定以保证它的唯一性。
    例：   S-1-5-21-1763234323-3212657521-1234321321-500
• 一个DACL（Discretionary Access Control List），其指出了允许和拒绝某用户或用户组的存取控制列表。 当一个进程需要访问安全对象，系统就会检查DACL来决定进程的访问权。如果一个对象没有DACL，那么就是说这个对象是任何人都可以拥有完全的访问权限。
• 一个SACL（System Access Control List），其指出了在该对象上的一组存取方式（如，读、写、运行等）的存取控制权限细节的列表。
• 还有其自身的一些控制位。SECURITY_DESCRIPTOR_CONTROL

    DACL和SACL构成了整个存取控制列表Access Control List，简称ACL，ACL中的每一项，我们叫做ACE（Access Control Entry），ACL中的每一个ACE。

    ACL结构体的内容如下：

 

typedef struct _ACL {
    BYTE  AclRevision;
    BYTE  Sbz1;
    WORD   AclSize;
    WORD   AceCount;
    WORD   Sbz2;
} ACL;
typedef ACL *PACL;

 

#include <stdio.h>#include <windows.h>#include <tchar.h>void CreateFileForSA(TCHAR *strFile){SECURITY_ATTRIBUTES sa;   //和文件有关的安全结构SECURITY_DESCRIPTOR sd;   //声明一个SDBYTE aclBuffer[1024];PACL pacl = (PACL)&aclBuffer; //声明一个ACL，长度是1024BYTE sidBuffer[100];PSID psid = (PSID)&sidBuffer;   //声明一个SID，长度是100DWORD sidBufferSize = 100;TCHAR domainBuffer[80];DWORD domainBufferSize = 80;SID_NAME_USE snu;HANDLE file;//初始化一个SDInitializeSecurityDescriptor(&sd, SECURITY_DESCRIPTOR_REVISION);//初始化一个ACLInitializeAcl(pacl, 1024, ACL_REVISION);//查找一个用户exchen，并取该用户的SIDLookupAccountName(0, _T("Everyone"), psid, &sidBufferSize, domainBuffer, &domainBufferSize, &snu);//设置该用户的Access-Allowed的ACE，其权限为“所有权限”AddAccessAllowedAce(pacl, ACL_REVISION, GENERIC_ALL, psid);//把ACL设置到SD中SetSecurityDescriptorDacl(&sd, TRUE, pacl, FALSE);//把SD放到文件安全结构SA中sa.nLength = sizeof(SECURITY_ATTRIBUTES);sa.bInheritHandle = FALSE;sa.lpSecurityDescriptor = &sd;//创建文件file = CreateFile(strFile, 0, 0, &sa, CREATE_NEW, FILE_ATTRIBUTE_NORMAL, 0);CloseHandle(file);//CreateDirectory(_T("D:\\testfile"),&sa);}int _tmain(int argc, _TCHAR* argv[]){CreateFileForSA(TEXT("c:\\123.txt"));getchar();return 0;}