用API实现指定共享用户访问权限的方法

最新推荐文章于 2022-11-25 09:34:12 发布
最新推荐文章于 2022-11-25 09:34:12 发布
阅读量2.3k 收藏 1
点赞数
分类专栏: windows编程 文章标签: api descriptor null iterator security permissions
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sistwl/article/details/7329272
版权

思想是首先获得指定用户的SID,建立一个共享资源的访问控制列表,把SID加入访问控制列表,初始化共享资源的安全描述符

void AddShareDir(VectorShareDir& vecShareDir)
{
for (VectorShareDir::iterator iter = vecShareDir.begin(); iter != vecShareDir.end(); iter++)
{
SECURITY_DESCRIPTOR sd;
PACL pDacl = NULL;
DWORD dwAclSize = 0;
DWORD dwAccess;

// 如果没有任何权限则不添加共享
if (iter->nPermission == 1) // 读
dwAccess = 0x001200a9;
else if (iter->nPermission == 2) // 更改
dwAccess = 0x001301bf;
else if (iter->nPermission == 3) // 完全控制
dwAccess = GENERIC_ALL;
else
return;

SHARE_INFO_502   si502;
NET_API_STATUS   status;
_bstr_t bstrShareName(iter->strNetname.c_str());
_bstr_t bstrSharePath(iter->strPath.c_str());
vector<PSID> vecSid;
dwAclSize = sizeof(ACL);
GetSidByAccountName(iter->strUsers, vecSid, dwAclSize);

// 计算所需要的存储空间 add by wl
VectorShareDir::iterator _iter;
for (_iter = iter+1; _iter != vecShareDir.end(); _iter++)
{
if (strcmp(iter->strPath.c_str(), _iter->strPath.c_str()) != 0)
continue;

DWORD dwAcc;
if (_iter->nPermission == 1)
dwAcc = 0x001200a9;
else if (_iter->nPermission == 2)
dwAcc = 0x001301bf;
else if (_iter->nPermission == 3)
dwAcc = GENERIC_ALL;
else
break;

vector<PSID> vecOtherSid;
GetSidByAccountName(_iter->strUsers, vecOtherSid, dwAclSize);
}

// 为Acl分配空间并初始化
pDacl = (PACL)malloc(dwAclSize);
if(pDacl == NULL)
return;
InitializeAcl(pDacl, dwAclSize, ACL_REVISION);

// 把SID放到ACL中
vector<PSID>::iterator it;
for (it = vecSid.begin(); it != vecSid.end(); it++)
{
BOOL bRet = AddAccessAllowedAce(pDacl, ACL_REVISION, dwAccess, *it);
DWORD dwError = 0;
if (!bRet)
{
dwError = GetLastError();
gLogger.debug("[CSharedResourceMgr::AddShareDir] Add ace to acl error:%d", GetLastError());
}
}

for (_iter = iter+1; _iter != vecShareDir.end(); _iter++)
{
if (strcmp(iter->strPath.c_str(), _iter->strPath.c_str()) != 0)
continue;

DWORD dwAcc;
if (_iter->nPermission == 1)
dwAcc = 0x001200a9;
else if (_iter->nPermission == 2)
dwAcc = 0x001301bf;
else if (_iter->nPermission == 3)
dwAcc = GENERIC_ALL;
else
break;

vector<PSID> vecOtherSid;
DWORD dwTemp = 0;
GetSidByAccountName(_iter->strUsers, vecOtherSid, dwTemp);
for (it = vecOtherSid.begin(); it != vecOtherSid.end(); it++)
{
BOOL bRet = AddAccessAllowedAce(pDacl, ACL_REVISION, dwAcc, *it);
DWORD dwError = 0;
if (!bRet)
{
dwError = GetLastError();
gLogger.debug("[CSharedResourceMgr::AddShareDir] Add ace to acl error:%d", GetLastError());
}
}
}

InitializeSecurityDescriptor(&sd, SECURITY_DESCRIPTOR_REVISION);
SetSecurityDescriptorDacl(&sd, TRUE, pDacl, FALSE);

si502.shi502_netname = bstrShareName;
si502.shi502_type = STYPE_DISKTREE;
si502.shi502_remark = NULL;
si502.shi502_max_uses = SHI_USES_UNLIMITED;
si502.shi502_permissions = ACCESS_ALL; // 此权限不起作用
si502.shi502_current_uses = 0;
si502.shi502_path = bstrSharePath;
si502.shi502_passwd = NULL;
si502.shi502_reserved = 0;
si502.shi502_security_descriptor = &sd;

status = NetShareAdd(NULL, 502, (LPBYTE)&si502, NULL);

if (NERR_DuplicateShare==status)
{
PSHARE_INFO_502 bufPtr;
if (NERR_Success == NetShareGetInfo(NULL, bstrShareName, 502, (LPBYTE*)&bufPtr))
{
bufPtr->shi502_security_descriptor = &sd;
if (NERR_Success == NetShareSetInfo(NULL, bstrShareName, 502, (LPBYTE)bufPtr, NULL))
{
status = NERR_Success;
}
else
{
gLogger.debug("[CSharedResourceMgr::AddShareDir]Set share info erroe:%d\n", GetLastError());
}
}
else
{
gLogger.debug("[CSharedResourceMgr::AddShareDir]Get share info erroe:%d\n", GetLastError());
}
}

if (pDacl != NULL)
free(pDacl);

if(status==NERR_Success)
gLogger.debug("[CSharedResourceMgr::AddShareDir] Create share:%s successed.", iter->strNetname);
else   
gLogger.debug("[CSharedResourceMgr::AddShareDir].Create share:%s meets an error:%d.", iter->strNetname, status);
}
}

void GetSidByAccountName(string strUsers, vector<PSID>& vecSid, DWORD& dwAclSize)
{
TCHAR RefDomain[64];
DWORD cchDomain = 64;
DWORD cbSid = 96;
SID_NAME_USE peUse = SidTypeUser;
vector<string> vecUsers;
Linkwork::String::SplitString(strUsers, ',', vecUsers);
size_t nSize = vecUsers.size();

for (int i = 0; i < nSize; i++)
{
PSID pSid = (PSID)malloc(cbSid);
if(pSid == NULL)
{
gLogger.debug("[CSharedResourceMgr::AddShareDir]HeapAlloc memory for user:%s error.", vecUsers[i]);
continue;
}

if(!LookupAccountName(NULL,     //[in]    这个参数指明查找的用户或组在哪个系统上,为NULL表示本地系统
vecUsers[i].c_str(), //[in]    欲授予访问权限的用户或组
pSid, //[out]   存放返回的SID值
&cbSid, //[in,out]进去的是你设定的缓冲区长度,出来的是实际SID的长度
RefDomain, //[out]   域名
&cchDomain, //[in,out]长度
&peUse)) //[out]   结构,用来指示用户的类型
{
free(pSid);
pSid = NULL;
if(GetLastError() == ERROR_INSUFFICIENT_BUFFER)
{
pSid = (PSID)malloc(cbSid);
if(pSid == NULL)
{
gLogger.debug("[CSharedResourceMgr::AddShareDir]HeapAlloc memory for user:%s error.", vecUsers[i]);
continue;
}
cchDomain = DNLEN + 1;
if(!LookupAccountName(NULL, vecUsers[i].c_str(), pSid, &cbSid, RefDomain, &cchDomain, &peUse))
{
free(pSid);
pSid = NULL;
gLogger.debug("[CSharedResourceMgr::AddShareDir]LookupAccountName error:%d!", GetLastError());
continue;
}
}
else
{
if(!IsValidSid(pSid))
gLogger.debug("[CSharedResourceMgr::AddShareDir]SID is NOT valid!");
else
gLogger.debug("[CSharedResourceMgr::AddShareDir]Lookup Account Name error:%d!", GetLastError());
continue;
}
}
char* pszStringSid;
if (ConvertSidToStringSid(pSid, &pszStringSid))
gLogger.info("The sid of %s is %s", vecUsers[i].c_str(), pszStringSid);
vecSid.push_back(pSid);
dwAclSize += (sizeof(ACCESS_ALLOWED_ACE) - sizeof(DWORD)) + GetLengthSid(pSid);
LocalFree(pszStringSid);
pszStringSid = NULL;
}
}

sistwl
关注
专栏目录
Kafka集群多用户访问权限分治和消息共享配置指导
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
04-24 2874
这明显在生产环境,这种认证方式时不符合实际业务场景的。allow.everyone.if.no.acl.found=true #false的话就只能超级用户才能访问资源,true的话其他也可以,如果用户读写一个 Topic,但是没有配置 ACL 权限,客户端会报认证失败错误。现场业务由于多厂商集成,共享数据需要,需对接当前kafka集群,为做到类似租户隔离的功能,需要开启kafka的权限控制和动态用户管理功能,实现不同厂商访问被授权的合法资源,消费者账号只能消费数据,生产者账号只能生产数据。
创建共享目录权限问题
aibi9196的博客
02-03 233
创建共享目录权限问题 Delphi / Windows SDK/APIhttp://www.delphi2007.net/DelphiAPI/html/delphi_20061115131918227.html 我想通过代码实现设置一个文件夹为共享目录,然后怎么用代码写共享目录权限呢,例如完全控制,只读,修改等,希望能给我一个完整的代码小例子,谢谢各位老大 api, ...
.net 单点登录与权限管理(web api)
04-15
.net 单点登录与权限管理(web api)
【转帖】用Win32 API设置windows XP中FAT32文件夹共享的读写权限
floweronwarmbed的专栏
11-06 3429
 刚加入博客园。虽然以前也经常在园子里晃悠,但只记得欣赏大牛们的大作了,从来没灌过水。这算是我的处女贴,权当是给园子增加流量了。     毕业走出校门,找了份编程的差事。     刚一上岗,就接到项目组长分派的任务:用Win32 API编程实现Windows XP中FAT32格式的文件夹只读共享,为啥要强调是FAT32格式呢?原来在我来之前,现在这个项目的老版本里已经实现了NTFS格式的文
APIAPI函数创建用户,添加到管理组
weixin_30599769的博客
04-30 389
1 学习目标 使用API添加用户可以绕过某些杀毒软件的限制。 2 编程思路 2.1 代码原理 使用NetUserAdd这个API添加普通权限的用户,NetLocalGroupAddMembers这个API添加管理员权限。 2.2 编写思路 1、定义USER_INFO_1 结构体 2、调用NetUserAdd添加普通权限账户 3、调用NetLocalGroupAddMembers添加到管...
ASP.NET Web API 全局权限和全局异常处理
kodmoqn的博客
07-18 161
ASP.NET Web API 全局权限和全局异常处理
想把 API 分享出去,这个真的难么?
最新发布
qq_42107247的博客
11-25 248
API 分享这个功能,不知道有多少人在工作中用的到呢?至少我的工作中会用到这个功能。也让朋友推荐了,但觉得不太合适,于是我就在网上冲浪的时候,终于让我找到了这个支持 API 分享的开源软件。
asp.net实现访问局域网共享目录下文件的解决方法
10-25
在***中实现访问局域网共享目录下文件的方法,通常需要跨越网络权限限制,尤其是在不同的网络环境和安全策略下。在本文中,我们将详细探讨如何在***应用程序中实现对局域网内共享文件夹的访问。这通常需要模拟用户...
阿里云OSS访问权限配置(RAM权限控制)实现
09-14
在使用OSS的过程中,确保数据的安全性至关重要,这就涉及到了访问权限的配置。本文主要讲解如何通过RAM(Resource Access Management)权限控制系统来实现对阿里云OSS的访问权限配置。 首先,RAM是阿里云提供的权限...
winform调用webapi获取Token授权案例,webapi使用oauth2.0权限控制
03-01
OAuth2.0是一种广泛采用的授权框架,用于安全地授予第三方应用访问用户资源的权限,而无需共享用户凭据。 首先,让我们深入理解OAuth2.0的基本流程。OAuth2.0包含四个主要角色:资源所有者(User)、资源服务器...
C#如何访问共享文件夹或者磁盘
01-20
3. **ImpersonateLoggedOnUser**:使用`LogonUser`得到的句柄,此函数允许当前进程模拟指定用户的权限。这样,进程就可以以该用户的身份访问受保护的资源,包括网络上的共享文件夹或磁盘。 4. **RevertToSelf**:当...
使用 NetShareEnum 遍历本地共享目录需要注意的问题
Fire_Lord的专栏
01-14 3935
1 简介 Windows提供了NetShareEnum函数用于实现遍历服务器的共享目录,但在实现该功能时发现一个有关UNICODE和ANSI字符串的问题。 2. 函数原型简介 该函数原型如下: NET_API_STATUS NetShareEnum( LPWSTR servername, DWORD level, LPBYTE* bufptr, DWORD
大型API网关(四)—— 接口权限
xinzhongtianxia的博客
03-05 3135
想象一下,我们的API网关对外开放了好多个接口,有的接口是通用的,大家都可以访问,有的接口是定制的,只对特定用户开放,比如付费用户、合作伙伴等,这就涉及到接口权限控制的问题。 权限功能的示意图如下: 接口权限是一个网关系统最基本的需求,实现方式也有很多。我们这里只讨论最简单的一种。 ACL这个英文缩写,大家都不陌生,全拼是Access Control Lists 访问控制列表。 举个例子,我们有service1,service2,service3三个接口,有userA, userB, userC三个用户.
获取当前用户的SID
四维空间
12-12 894
方法一: BOOL GetSID(CString&amp; csSID) { BOOL bRes = FALSE; csSID.Empty(); char acUserName[UNLEN + 1]; ::SecureZeroMemory(acUserName, sizeof(acUserName)); DWORD dwLength = U...
权限设计,可控制每个接口的使用。
热门推荐
weirtang的专栏
05-20 1万+
权限功能设计说明 1功能介绍 1.1已实现功能 用户管理 Ø新增用户信息 Ø删除用户信息 Ø修改用户信息 Ø查看用户信息 Ø分配角色 角色管理 Ø新增用户角色 Ø删除用户角色 Ø修改用户角色 Ø查询用户角色 Ø分配用户 权限验证 验证匿名用户权限:匿名用户只能访问登录、获取验证码、判断是否登录等无需授权功能。 ...
买单侠任浩军:微服务API级权限的技术架构
OmniStack的博客
09-07 1万+
微服务的权限
ASP.NET Core 自定义验证属性实现访问权限控制详解
ASP.NET Core 是一个现代化的 Web 开发框架,它提供了强大的功能和灵活性,其中包括自定义验证属性来控制访问权限。本文详细探讨了如何在 ASP.NET Core 应用中利用自定义验证属性来确保只有经过认证的终端应用(例如...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值