创建文件并设置NTFS权限

在NTFS文件系统出现后，在Windows系统(2K/XP/Vista..)下的对象，包括文件系统，进程、命名管道、打印机、网络共享、或是注册表等等，都可以设置用户访问权限。

在Windows系统中，其是用一个安全描述符（Security Descriptors）的结构来保存其权限的设置信息，简称为SD，其在Windows SDK中的结构名是“SECURITY_DESCRIPTOR”，这是包括了安全设置信息的结构体，其结构体内容定义如下：

typedef struct _SECURITY_DESCRIPTOR {
  UCHAR  Revision;
  UCHAR  Sbz1;
  SECURITY_DESCRIPTOR_CONTROL  Control;
  PSID  Owner;
  PSID  Group;
  PACL  Sacl;
  PACL  Dacl;
} SECURITY_DESCRIPTOR, *PISECURITY_DESCRIPTOR;

一个安全描述符包含以下安全信息：

• 两个安全标识符(Security identifiers)，简称为SID，分别是OwnerSid和GroupSid. 所谓SID就是每次当我们创建一个用户或一个组的时候，系统会分配给改用户或组一个唯一SID，当你重新安装系统后，也会得到一个唯一的SID。SID是唯一的，不随用户的删除而分配到另外的用户使用。
  请记住，SID永远都是唯一的SIF是由计算机名、当前时间、当前用户态线程的CPU耗费时间的总和三个参数决定以保证它的唯一性。
    例：   S-1-5-21-1763234323-3212657521-1234321321-500
• 一个DACL（Discretionary Access Control List），其指出了允许和拒绝某用户或用户组的存取控制列表。 当一个进程需要访问安全对象，系统就会检查DACL来决定进程的访问权。如果一个对象没有DACL，那么就是说这个对象是任何人都可以拥有完全的访问权限。
• 一个SACL（System Access Control List），其指出了在该对象上的一组存取方式（如，读、写、运行等）的存取控制权限细节的列表。
• 还有其自身的一些控制位。SECURITY_DESCRIPTOR_CONTROL

    DACL和SACL构成了整个存取控制列表Access Control List，简称ACL，ACL中的每一项，我们叫做ACE（Access Control Entry），ACL中的每一个ACE。

    ACL结构体的内容如下：

 

typedef struct _ACL {
    BYTE  AclRevision;
    BYTE  Sbz1;
    WORD   AclSize;
    WORD   AceCount;
    WORD   Sbz2;
} ACL;
typedef ACL *PACL;

 

#include <stdio.h>
#include <windows.h>
#include <tchar.h>

void CreateFileForSA(TCHAR *strFile)
{
	SECURITY_ATTRIBUTES sa;   //和文件有关的安全结构
	SECURITY_DESCRIPTOR sd;   //声明一个SD

	BYTE aclBuffer[1024];
	PACL pacl = (PACL)&aclBuffer; //声明一个ACL，长度是1024

	BYTE sidBuffer[100];
	PSID psid = (PSID)&sidBuffer;   //声明一个SID，长度是100

	DWORD sidBufferSize = 100;
	TCHAR domainBuffer[80];
	DWORD domainBufferSize = 80;
	SID_NAME_USE snu;
	HANDLE file;

	//初始化一个SD
	InitializeSecurityDescriptor(&sd, SECURITY_DESCRIPTOR_REVISION);
	//初始化一个ACL
	InitializeAcl(pacl, 1024, ACL_REVISION);
	//查找一个用户exchen，并取该用户的SID
	LookupAccountName(0, _T("Everyone"), psid, &sidBufferSize, domainBuffer, &domainBufferSize, &snu);
	//设置该用户的Access-Allowed的ACE，其权限为“所有权限”
	AddAccessAllowedAce(pacl, ACL_REVISION, GENERIC_ALL, psid);
	//把ACL设置到SD中
	SetSecurityDescriptorDacl(&sd, TRUE, pacl, FALSE);

	//把SD放到文件安全结构SA中
	sa.nLength = sizeof(SECURITY_ATTRIBUTES);
	sa.bInheritHandle = FALSE;
	sa.lpSecurityDescriptor = &sd;

	//创建文件
	file = CreateFile(strFile, 0, 0, &sa, CREATE_NEW, FILE_ATTRIBUTE_NORMAL, 0);
	CloseHandle(file);

	//CreateDirectory(_T("D:\\testfile"),&sa);
}

int _tmain(int argc, _TCHAR* argv[])
{


	CreateFileForSA(TEXT("c:\\123.txt"));
	getchar();
	return 0;
}