我之前寫過幾篇關於Windows存取控制的文章:
- 淺談Windows存取控制在.NET(C#)中的實現(ACE, SD, DACL, SACL)
- .NET(C#):使用存取控制建立一個只有目前使用者可以訪問的檔案
- .NET(C#):使用ObjectSecurity.SetAccessRuleProtection保留存取控制資料
這篇文章起到一定的補充作用。
講一下在Windows下(具體是在Windows 7下)設定一個檔案系統對象存取控制,比如我們想讓這個對象只能被擁有者訪問(和控制),同時這個對象不繼承任何父容器的控制選項。
那麼屬性的安全選項卡中選擇進階:
這裡很明顯包含了繼承過來的存取控制選項。
選擇改變許可權,接著選擇取消從父物件中繼承許可權:
取消該選項後,Windows會提示,既然選擇了不繼承許可權,那麼已經繼承的許可權是顯示定義一下呢還是全部刪除?(另外還有一個取消操作)。
好吧,既然我們只需要定義擁有者才可以訪問的許可權,不需要其他繼承下來的許可權,選擇刪除。
接著添加一個針對目前使用者的許可權:
最後選擇需要的許可權:
接著在.NET中進行上述操作,下面這個方法可以按上述要求迴圈設定一個檔案夾內的子檔案和子檔案夾得存取控制選項:
//+ using System.IO;
//+ using System.Security.Principal;
//+ using System.Security.AccessControl;
static void SetMyAccessRules(string folder)
{
var currentIdentity = WindowsIdentity.GetCurrent();
foreach (var file in Directory.GetFiles(folder))
{
//建立訪問規則(僅為目前使用者添加全部控制)
var accessRule = new FileSystemAccessRule(currentIdentity.User, FileSystemRights.FullControl, AccessControlType.Allow);
//建立安全描述項:針對檔案的FileSecurity對象
var fileSecur = new FileSecurity();
//將訪問規則添加
fileSecur.AddAccessRule(accessRule);
//設定繼承選項
fileSecur.SetAccessRuleProtection(true, false);
//設定檔案
File.SetAccessControl(file, fileSecur);
}
foreach (var dir in Directory.GetDirectories(folder))
{
//建立訪問規則(僅為目前使用者添加全部控制)
var accessRule = new FileSystemAccessRule(currentIdentity.User, FileSystemRights.FullControl, AccessControlType.Allow);
//建立安全描述項:針對檔案夾的DirectorySecurity對象
var dirSecur = new DirectorySecurity();
//將訪問規則添加
dirSecur.AddAccessRule(accessRule);
//設定繼承選項
dirSecur.SetAccessRuleProtection(true, false);
//設定檔案夾
Directory.SetAccessControl(dir, dirSecur);
SetMyAccessRules(dir);
}
}
調用該方法後,在Windows 7下,檔案對象由於使用權限設定成了(僅)目前使用者,檔案表徵圖加了個小鎖:
如果你有一個檔案夾內所有子物件都是這樣定義的,那麼一個一個重複去掉存取權限會很費時間的,這樣我又寫了個小方法去掉檔案夾內的全部顯示定義許可權,讓檔案對象保留預設的繼承選項,代碼;
//+ using System.IO;
//+ using System.Security.Principal;
//+ using System.Security.AccessControl;
static void ClearMyAccessRules(string folder)
{
foreach (var file in Directory.GetFiles(folder))
{
//建立空的ACL
var fileSecurity = new FileSecurity();
//設定繼承
fileSecurity.SetAccessRuleProtection(false, true);
//設定檔案
File.SetAccessControl(file, fileSecurity);
}
foreach (var dir in Directory.GetDirectories(folder))
{
//建立空的ACL
var dirSecurity = new DirectorySecurity();
//設定繼承
dirSecurity.SetAccessRuleProtection(false, true);
//設定檔案夾
Directory.SetAccessControl(dir, dirSecurity);
ClearMyAccessRules(dir);
}
}
這樣檔案對象的存取控制選項又保留到了預設狀態: