Modificando as ACLs de um objeto em C++
O exemplo a seguir adiciona uma ACE ( entrada de controle de acesso ) à DACL ( lista de controle de acesso discricionário ) de um objeto.
O parâmetro AccessMode determina o tipo de novo ACE e como o novo ACE é combinado com quaisquer ACEs existentes para o administrador especificado. Use os sinalizadores GRANT_ACCESS, SET_ACCESS, DENY_ACCESS ou REVOKE_ACCESS no parâmetro AccessMode . Para obter informações sobre esses sinalizadores, consulte ACCESS_MODE.
Código semelhante pode ser usado para trabalhar com uma SACL ( lista de controle de acesso do sistema ). Especifique SACL_SECURITY_INFORMATION nas funções GetNamedSecurityInfo e SetNamedSecurityInfo para obter e definir o SACL para o objeto. Use os sinalizadores SET_AUDIT_SUCCESS, SET_AUDIT_FAILURE e REVOKE_ACCESS no parâmetro AccessMode . Para obter informações sobre esses sinalizadores, consulte ACCESS_MODE.
Use esse código para adicionar um ACE específico ao objeto à DACL de um objeto de serviço de diretório. Para especificar os GUIDs em um ACE específico do objeto, defina o parâmetro TrusteeForm como TRUSTEE_IS_OBJECTS_AND_NAME ou TRUSTEE_IS_OBJECTS_AND_SID e defina o parâmetro pszTrustee como um ponteiro para uma estrutura de OBJECTS_AND_NAME ou OBJECTS_AND_SID .
Este exemplo usa a função GetNamedSecurityInfo para obter a DACL existente. Em seguida, ele preenche uma estrutura EXPLICIT_ACCESS com informações sobre um ACE e usa a função SetEntriesInAcl para mesclar o novo ACE com quaisquer ACEs existentes na DACL. Por fim, o exemplo chama a função SetNamedSecurityInfo para anexar a nova DACL ao descritor de segurança do objeto.
#include <windows.h>
#include <stdio.h>
DWORD AddAceToObjectsSecurityDescriptor (
LPTSTR pszObjName, // name of object
SE_OBJECT_TYPE ObjectType, // type of object
LPTSTR pszTrustee, // trustee for new ACE
TRUSTEE_FORM TrusteeForm, // format of trustee structure
DWORD dwAccessRights, // access mask for new ACE
ACCESS_MODE AccessMode, // type of ACE
DWORD dwInheritance // inheritance flags for new ACE
)
{
DWORD dwRes = 0;
PACL pOldDACL = NULL, pNewDACL = NULL;
PSECURITY_DESCRIPTOR pSD = NULL;
EXPLICIT_ACCESS ea;
if (NULL == pszObjName)
return ERROR_INVALID_PARAMETER;
// Get a pointer to the existing DACL.
dwRes = GetNamedSecurityInfo(pszObjName, ObjectType,
DACL_SECURITY_INFORMATION,
NULL, NULL, &pOldDACL, NULL, &pSD);
if (ERROR_SUCCESS != dwRes) {
printf( "GetNamedSecurityInfo Error %u\n", dwRes );
goto Cleanup;
}
// Initialize an EXPLICIT_ACCESS structure for the new ACE.
ZeroMemory(&ea, sizeof(EXPLICIT_ACCESS));
ea.grfAccessPermissions = dwAccessRights;
ea.grfAccessMode = AccessMode;
ea.grfInheritance= dwInheritance;
ea.Trustee.TrusteeForm = TrusteeForm;
ea.Trustee.ptstrName = pszTrustee;
// Create a new ACL that merges the new ACE
// into the existing DACL.
dwRes = SetEntriesInAcl(1, &ea, pOldDACL, &pNewDACL);
if (ERROR_SUCCESS != dwRes) {
printf( "SetEntriesInAcl Error %u\n", dwRes );
goto Cleanup;
}
// Attach the new ACL as the object's DACL.
dwRes = SetNamedSecurityInfo(pszObjName, ObjectType,
DACL_SECURITY_INFORMATION,
NULL, NULL, pNewDACL, NULL);
if (ERROR_SUCCESS != dwRes) {
printf( "SetNamedSecurityInfo Error %u\n", dwRes );
goto Cleanup;
}
Cleanup:
if(pSD != NULL)
LocalFree((HLOCAL) pSD);
if(pNewDACL != NULL)
LocalFree((HLOCAL) pNewDACL);
return dwRes;
}
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de