//      // STEP 14: 把一个 access-allowed 的ACE 加入到新的DACL中     //     前面的循环拷贝了所有的非继承且SID为其它用户的ACE，退出循环的第一件事     // 就是加入我们指定的ACE。请注意首先先动态装载了一个AddAccessAllowedAceEx     // 的API函数，如果装载不成功，就调用AddAccessAllowedAce函数。前一个函数仅     // 在Windows 2000以后的版本支持，NT则没有，我们为了使用新版本的函数，我们首     // 先先检查一下当前系统中可不可以装载这个函数，如果可以则就使用。使用动态链接     // 比使用静态链接的好处是，程序运行时不会因为没有这个API函数而报错。     //      // Ex版的函数多出了一个参数AceFlag（第三人参数），用这个参数我们可以来设置一     // 个叫ACE_HEADER的结构，以便让我们所设置的ACE可以被其子目录所继承下去，而      // AddAccessAllowedAce函数不能定制这个参数，在AddAccessAllowedAce函数     // 中，其会把ACE_HEADER这个结构设置成非继承的。     //        _AddAccessAllowedAceEx = (AddAccessAllowedAceExFnPtr)             GetProcAddress(GetModuleHandle(TEXT("advapi32.dll")),             "AddAccessAllowedAceEx");       if (_AddAccessAllowedAceEx) {            if (!_AddAccessAllowedAceEx(pNewACL, ACL_REVISION2,               CONTAINER_INHERIT_ACE | OBJECT_INHERIT_ACE ,                 dwAccessMask, pUserSID)) {              _tprintf(TEXT("AddAccessAllowedAceEx() failed. Error %d\n"),                    GetLastError());              __leave;           }       }else{           if (!AddAccessAllowedAce(pNewACL, ACL_REVISION2,                  dwAccessMask, pUserSID)) {              _tprintf(TEXT("AddAccessAllowedAce() failed. Error %d\n"),                    GetLastError());              __leave;           }       }       //        // STEP 15: 按照已存在的ACE的顺序拷贝从父目录继承而来的ACE       //        if (fDaclPresent && AclInfo.AceCount) {          for (;                CurrentAceIndex < AclInfo.AceCount;               CurrentAceIndex++) {             //              // STEP 16: 从文件（目录）的DACL中继续取ACE             //              if (!GetAce(pACL, CurrentAceIndex, &pTempAce)) {                _tprintf(TEXT("GetAce() failed. Error %d\n"),                       GetLastError());                __leave;             }             //              // STEP 17: 把ACE加入到新的DACL中             //              if (!AddAce(pNewACL, ACL_REVISION, MAXDWORD, pTempAce,                   ((PACE_HEADER) pTempAce)->AceSize)) {                _tprintf(TEXT("AddAce() failed. Error %d\n"),                       GetLastError());                __leave;             }          }       }       //        // STEP 18: 把新的ACL设置到新的SD中       //        if (!SetSecurityDescriptorDacl(&newSD, TRUE, pNewACL,              FALSE)) {          _tprintf(TEXT("SetSecurityDescriptorDacl() failed. Error %d\n"),                GetLastError());          __leave;       }       //        // STEP 19: 把老的SD中的控制标记再拷贝到新的SD中，我们使用的是一个叫        // SetSecurityDescriptorControl() 的API函数，这个函数同样只存在于       // Windows 2000以后的版本中，所以我们还是要动态地把其从advapi32.dll        // 中载入，如果系统不支持这个函数，那就不拷贝老的SD的控制标记了。       //        _SetSecurityDescriptorControl =(SetSecurityDescriptorControlFnPtr)             GetProcAddress(GetModuleHandle(TEXT("advapi32.dll")),             "SetSecurityDescriptorControl");       if (_SetSecurityDescriptorControl) {          SECURITY_DESCRIPTOR_CONTROL controlBitsOfInterest = 0;          SECURITY_DESCRIPTOR_CONTROL controlBitsToSet = 0;          SECURITY_DESCRIPTOR_CONTROL oldControlBits = 0;          DWORD dwRevision = 0;          if (!GetSecurityDescriptorControl(pFileSD, &oldControlBits,             &dwRevision)) {             _tprintf(TEXT("GetSecurityDescriptorControl() failed.")                   TEXT("Error %d\n"), GetLastError());             __leave;          }          if (oldControlBits & SE_DACL_AUTO_INHERITED) {             controlBitsOfInterest =                SE_DACL_AUTO_INHERIT_REQ |                SE_DACL_AUTO_INHERITED ;             controlBitsToSet = controlBitsOfInterest;          }          else if (oldControlBits & SE_DACL_PROTECTED) {             controlBitsOfInterest = SE_DACL_PROTECTED;             controlBitsToSet = controlBitsOfInterest;          }                 if (controlBitsOfInterest) {             if (!_SetSecurityDescriptorControl(&newSD,                controlBitsOfInterest,                controlBitsToSet)) {                _tprintf(TEXT("SetSecurityDescriptorControl() failed.")                      TEXT("Error %d\n"), GetLastError());                __leave;             }          }       }       //        // STEP 20: 把新的SD设置设置到文件的安全属性中（千山万水啊，终于到了）       //        if (!SetFileSecurity(lpszFileName, secInfo,             &newSD)) {          _tprintf(TEXT("SetFileSecurity() failed. Error %d\n"),                 GetLastError());          __leave;       }       fResult = TRUE;    } __finally {       //        // STEP 21: 释放已分配的内存，以免Memory Leak       //        if (pUserSID)  myheapfree(pUserSID);       if (szDomain)  myheapfree(szDomain);       if (pFileSD) myheapfree(pFileSD);       if (pNewACL) myheapfree(pNewACL);    }    return fResult; }   int _tmain(int argc, TCHAR *argv[]) {    if (argc < 3) {       _tprintf(TEXT("usage: \"%s\" <FileName> <AccountName>\n"), argv[0]);       return 1;    }    // argv[1] – 文件（目录）名    // argv[2] – 用户（组）名    // GENERIC_ALL表示所有的权限，其是一系列的NTFS权限的或    //      NTFS的文件权限很细，还请参看MSDN。    if (!AddAccessRights(argv[1], argv[2], GENERIC_ALL)) {       _tprintf(TEXT("AddAccessRights() failed.\n"));       return 1;    }    else {       _tprintf(TEXT("AddAccessRights() succeeded.\n"));       return 0;    } }

三、             一些相关的API函数

本文转自 haoel 51CTO博客，原文链接：http://blog.51cto.com/haoel/124664，如需转载请自行联系原作者