DACL原理.控制文件的访问权限(文件,注册表.目录.等任何带有安全(2)

这里解析下:
根据ACE String.可以得出格式.如上所说.

ace_type;
ace_flags;
rights;
object_guid;
inherit_object_guid;
account_sid;(resource_attribute)

解析ACE字符串: 
    (D;OICI;GRGW;;;BG)       
    D 代表拒绝还是允许.     也就是ACE的类型.这里可以控制你的用户的是允许还是拒绝
    OICI: 代表 对象继承  还是容器继承 一般是子继承有关.子对象是否可以集成
    GR:  代表只读权限. 也就是 rights GA是所有权限 GW可写 GX可执行
    BG: 是一个SID字符串. 代表的是 内置客人用户,相应的 BU是内置用户 BA是内置管理员 可以根据上面所说.查询SID 字符串代表的意思

我这里的代码是创建了文件.DACL是我自己控制的.

根据ACE字符串格式可以得出我的文件安全权限为:
1.是一个拒绝访问的用户
2.是一个允许 对象继承还有容器继承的.
3.是有可读可写的属性的.
4.使用的BA 说明是内置管理员

看下文件安全属性.

此时我们的文件可读可写 但是管理员能不能访问.

是不是变相的就给文件加了保护了. 不能管理员访问.但是可以其他用户来操作.或者允许管理员访问.但是只能只读.不能写. 那么你这个文件是不是就不能删除了.
如下.代码修改了一下. 改为 可读 可访问.
这里只给出 SDDL描述符语言.

TCHAR * szSD =(TCHAR*) TEXT("D:(A;OICI;GR;;;BA)");

此时文件只能可读了.

如果想要添加新的用户.可以继续参考MSDN的创建DACL一章. 理解了原理. SDDL字符串不就是自己手动改改的事情.

（编辑：ASP站长网）