問題タブ [dacl]

Windows のカーネル モードからファイル/ディレクトリの DACL に ACE を追加する方法はありますか? ルーチンに関するリファレンスを見つけましたZwQuerySecurityObject/ZwSetSecurityObjectが、それは WINDDK ヘッダーで定義されていません。

この質問の情報をいただければ幸いです。

AD で動作する独自の静的クラスを作成しようとしています。私は静的メソッドを書きました：

この関数を使用する前に、リモート資格情報でユーザーになりすますと、コードは例外なく機能しますが、結果はありません。ACE を削除する同様の機能は正常に機能します。

コンテキスト: Windows7 64 ビット、ActiveDirectory、Windows Server 2003

Win32_Printer クラス (Windows) の GetSecurityDescriptor メソッドのページで Microsoft から提供されたコードを動作させようとしています。winmgmts の二重インスタンス化がどのように機能するのか、少し興味があります (コードから)。

私は、2 番目のインスタンスが最初のインスタンスを破壊すると考えていたでしょう。これは、strComputer に入力したサーバー名に関係なく、コンピューター上のプリンターの一覧を取得できるという事実によって裏付けられているようです。

VBScript を使用して、サーバーに接続されたプリンターの DACL を取得できた人はいますか?

サービスからフォルダのセキュリティ記述子を読み取ることができません。

フォルダは制限付きユーザーによって作成されます。管理者グループは、「読み取りと実行」制御を拒否されています。制限付きユーザーとシステム ユーザーにはフル アクセス権があります。「SE_SECURITY_NAME」、「SE_BACKUP_NAME」、「SE_RESTORE_NAME」、および「SE_DEBUG_NAME」に対して特権を持つ昇格されたトークンを持っています。

GetNamedSecurityInfo は、エラー コード 5 (アクセスが拒否されました) で失敗します。

遠隔でさえ助けになることができる人には満点。前もって感謝します。

-- ヴァルン

同じグループのオブジェクトフォルダに2つのエントリを設定しようとしていますが、継承は異なります（1つはFILE_TRAVERSEのNO_INHERITANCE、もう1つはGENERIC_READのSUB_CONTAINERS_AND_OBJECTS_INHERIT）。最後の呼び出しが前例を上書きするたびにわかります。私はこれをデルファイで書きました（ただし、C++でもCでも同じです...）。誰かが何が悪いのか私を助けることができますか？

これは呼び出し元の関数です。

そして私はそれをこのように2回呼びます：

2番目の呼び出しは最初の呼び出しを代用します。最後に、同じグループに対して2つのエントリを取得しません。

目標: ローカル ユーザー アカウントの共有レベルの読み取り/書き込みアクセス許可を既存のファイル共有に追加します。

私はこれを開発する上で障害にぶつかっています。Microsoft は、ユーザーの ACE を DACL に追加してから、共有のセキュリティ記述子に戻すことを望んでいるようです。(1)。(いいえ、NET SHARE /ADD は既存の共有には使用できません。驚きました。)

理論的には十分に単純なはずですが、私の主な恐れは、それを間違って実行して、既存の共有権限 (多数のネットワーク ユーザー、特定のグループ) を失うことです。このソリューションは、数千の共有に拡張する必要があります。取り消す必要がある場合に備えて、既存の DACL に関するデータを出力するソリューションを開発しています。そのログを解釈するコードを作成し、何か問題が発生した場合にそれらをまとめて追加する準備をしておく必要があります。

現時点では VBscript を使用しています。PowerShell の方が少し強力なアプローチかもしれませんが、VBscript/WMI は既知の量です。

調査: (1) http://blogs.msdn.com/b/helloworld/archive/2008/07/22/editing-share-permission.aspx

作成中の名前付きパイプへのアクセスを全員に許可する必要があります。その方法は、NULL/空の DACL を作成して に渡すことだと理解していますCreateNamedPipe。

NULL DACL を作成するにはどうすればよいですか? に NULL ポインタを渡すのと同じではないと言われましたLPSECURITY_ATTRIBUTES。

プロセスがローカルの管理者アカウントによって実行されている場合でも、ファイルをWindowsサービスでのみ開くことができ、通常のプロセスでは開くことができないように、DACL文字列を使用してそのようなセキュリティ記述子を選択することは可能ですか？

明確にするために、技術者以外のユーザーがメモ帳で開いて改ざんするのをかなり難しくする必要があります。リバースエンジニアリングとそれをクラックするために彼の人生の1か月を捧げることをいとわないプログラマーに反対する必要はありません。

ファイルをロックする代わりにDACLを使用してこれを実現することを好みます。これは、ファイルを保護するためにWindowsサービスを常に実行する必要がないためです。

私のプログラムは特定のファイルを処理します。何らかの条件が満たされた場合、管理者であってもすべてのユーザーに対して、そのファイルへのアクセス (READ n WRITE) をブロックする必要があります。

後で、別の関数が呼び出されたときに、アクセス制御設定を通常に戻す必要があります。

私は次のコードを試しました

IT は正常に機能し、書き込みアクセスをブロックします。しかし、読み取りアクセスをブロックすることはできません。また、以前のアクセス設定を復元する方法もわかりません。管理者の読み取りアクセスをブロックすると、言葉にならないからです。

必要な機能を実装する方法を教えてください。