Как предоставить доступ к папке определенному пользователю программно?

[artemavd]

Добрый вечер! Мне нужно программно предоставить доступ к определенной папке конкретному пользователю. Чтобы только пользователь с определенной учеткой мог иметь доступ к этой папке. Чтобы я мог указать для папки "Чтение" или "Чтение и запись". Моя программа работает от имени администратора, который может делать все что угодно разумеется. Вообщем, мне надо реализовать что-то подобное (как во вложении):

[Stilet]

Цитата:

нужно программно

Точно? Может оставить это на усмотрение админа?
Не я не против твоей затеи, но это скажем так дырка в безопасности - что будет если твоя прога окажется зараженной?
Впрочем... Могу сказать следующее: Нужно изучать ACL (модули aclapi, accctrl)
Так же не поленись почитать о GetAclInformation, GetAce, LookupAccountSid (тоже пригодится)
Пожалуй это все, что я когда-то пытался изучить. Получать список прав получалось. Давать... не очень

P.S. Фленов пытался в своей книге писать о правах... Однако мне его книга никак не помогла.

[artemavd]

Не, оно я понимаю это. Просто хотелось, чтобы админ мог делать это через мою программу, для удобства. Если уж совсем не получится, то будет делать средствами винды. Разве через FieSetAttr нельзя установить "только чтение" определенной учетке? Мне впринципе это и надо. Средствами винды получается без проблем сделать, чтобы пользователь мог заходить в папку, к которой может обращаться только его учетка и работать со своими и не мог заходить в папки других пользователей.

[Stilet]

Цитата:

Разве через FieSetAttr нельзя установить "только чтение" определенной учетке?

Да ну... Она еще Деда ДОСа видала ) какие там пользователи...

[artemavd]

Значит, придется отказаться от этой затеи и делать средствами винды

[Баламут]

В свое время интересовался темой и накопал по этому поводу примерчик. Глянь, может поможет

[GunSmoker]

Есть аж 4 варианта.

1. Юзать API винды для NT+. Это сложно и крайне низкоуровнево. Замучаешься. Ключевые термины для поиска: AddAccessAllowedAce(Ex), AddAccessDeniedAce(Ex), InitializeAcl, SetSecurityDescriptorDacl и др.
2. Можно юзать SDDL (Win2000+). Это крайне просто и няшно, но нужно изучать язык SDDL. Ключевые термины для поиска: ConvertStringSecurityDescriptorToSe curityDescriptor, ConvertSecurityDescriptorToStringSe curityDescriptor, ConvertSidToStringSid, ConvertStringSidToSid.
3. Работа с API системы напрямую - это всегда сложно и чревато ошибками. Особенно, если с API сильно много не работал и не понимаешь базовых принципов его дизайна. Поэтому лучше использовать объектные обёртки для API. В качестве таковой рекомендую JEDI Windows Securiry Code Library (JWSCL). В комплекте также есть демки использования.
4. Можно юзать sacls.exe, входящий в комплект любой современной (и даже не очень) Windows. Это консольная утилита по отображению/изменению прав доступа. Начиная с Vista появляется более мощная icacls.exe. Соответственно, надо её вызвать, передать параметры, прочитать вывод. Утилиты работают по SDDL, так что учить его всё равно придётся, но зато кода не надо писать.

Референс:
- Функции
- Мат-часть

Вообще, безопасность - тема крайне сложная. Я не рекомендую делать что-либо в Windows связанное с безопасность, пока ты не прочитаешь книгу Writing Secure Code (на русском: Защищённый код) от Майкла Ховарда и Девида ЛеБланка. Упомянутая выше мат-часть может служить лишь кратким введением.