Modificación de las ACL de un objeto en C++

  • Artículo

En el ejemplo siguiente se agrega una entrada de control de acceso (ACE) a la lista de control de acceso discrecional (DACL) de un objeto .

El parámetro AccessMode determina el tipo de ACE nuevo y cómo se combina la nueva ACE con las ACE existentes para el administrador especificado. Use las marcas GRANT_ACCESS, SET_ACCESS, DENY_ACCESS o REVOKE_ACCESS en el parámetro AccessMode . Para obtener información sobre estas marcas, consulte ACCESS_MODE.

Se puede usar código similar para trabajar con una lista de control de acceso del sistema (SACL). Especifique SACL_SECURITY_INFORMATION en las funciones GetNamedSecurityInfo y SetNamedSecurityInfo para obtener y establecer la SACL para el objeto. Use las marcas SET_AUDIT_SUCCESS, SET_AUDIT_FAILURE y REVOKE_ACCESS en el parámetro AccessMode . Para obtener información sobre estas marcas, consulte ACCESS_MODE.

Use este código para agregar una ACE específica del objeto a la DACL de un objeto de servicio de directorio. Para especificar los GUID en una ACE específica del objeto, establezca el parámetro TrusteeForm en TRUSTEE_IS_OBJECTS_AND_NAME o TRUSTEE_IS_OBJECTS_AND_SID y establezca el parámetro pszTrustee como puntero a una estructura de OBJECTS_AND_NAME o OBJECTS_AND_SID .

En este ejemplo se usa la función GetNamedSecurityInfo para obtener la DACL existente. A continuación, rellena una estructura de EXPLICIT_ACCESS con información sobre una ACE y usa la función SetEntriesInAcl para combinar la nueva ACE con las ACE existentes en la DACL. Por último, el ejemplo llama a la función SetNamedSecurityInfo para adjuntar la nueva DACL al descriptor de seguridad del objeto.

#include <windows.h>
#include <stdio.h>

DWORD AddAceToObjectsSecurityDescriptor (
    LPTSTR pszObjName,          // name of object
    SE_OBJECT_TYPE ObjectType,  // type of object
    LPTSTR pszTrustee,          // trustee for new ACE
    TRUSTEE_FORM TrusteeForm,   // format of trustee structure
    DWORD dwAccessRights,       // access mask for new ACE
    ACCESS_MODE AccessMode,     // type of ACE
    DWORD dwInheritance         // inheritance flags for new ACE
) 
{
    DWORD dwRes = 0;
    PACL pOldDACL = NULL, pNewDACL = NULL;
    PSECURITY_DESCRIPTOR pSD = NULL;
    EXPLICIT_ACCESS ea;

    if (NULL == pszObjName) 
        return ERROR_INVALID_PARAMETER;

    // Get a pointer to the existing DACL.

    dwRes = GetNamedSecurityInfo(pszObjName, ObjectType, 
          DACL_SECURITY_INFORMATION,
          NULL, NULL, &pOldDACL, NULL, &pSD);
    if (ERROR_SUCCESS != dwRes) {
        printf( "GetNamedSecurityInfo Error %u\n", dwRes );
        goto Cleanup; 
    }  

    // Initialize an EXPLICIT_ACCESS structure for the new ACE. 

    ZeroMemory(&ea, sizeof(EXPLICIT_ACCESS));
    ea.grfAccessPermissions = dwAccessRights;
    ea.grfAccessMode = AccessMode;
    ea.grfInheritance= dwInheritance;
    ea.Trustee.TrusteeForm = TrusteeForm;
    ea.Trustee.ptstrName = pszTrustee;

    // Create a new ACL that merges the new ACE
    // into the existing DACL.

    dwRes = SetEntriesInAcl(1, &ea, pOldDACL, &pNewDACL);
    if (ERROR_SUCCESS != dwRes)  {
        printf( "SetEntriesInAcl Error %u\n", dwRes );
        goto Cleanup; 
    }  

    // Attach the new ACL as the object's DACL.

    dwRes = SetNamedSecurityInfo(pszObjName, ObjectType, 
          DACL_SECURITY_INFORMATION,
          NULL, NULL, pNewDACL, NULL);
    if (ERROR_SUCCESS != dwRes)  {
        printf( "SetNamedSecurityInfo Error %u\n", dwRes );
        goto Cleanup; 
    }  

    Cleanup:

        if(pSD != NULL) 
            LocalFree((HLOCAL) pSD); 
        if(pNewDACL != NULL) 
            LocalFree((HLOCAL) pNewDACL); 

        return dwRes;
}