Сброс защиты файлов наследовать после операции

Question

Windows/C++

MoveFile() ищет некоторые рекомендации о том, как сбросить атрибуты безопасности на файл после того, как он был перемещен в новую папку.

Наш стандартный способ создания файлов (и загрузки с сервера) состоит в том, чтобы создать файл во временной папке, а затем, когда поток файлов опущен, файл добавляется. Как только загрузка будет завершена, мы переместим файл в конечный пункт назначения.

MoveFile() передаст безопасность в файл при перемещении файла. В определенной конфигурации это вызывает проблему, когда значения по умолчанию для конечной папки по умолчанию не соответствуют исходной папке. Мы не можем возиться с безопасностью папок.

Итак, в конечном счете, я хотел бы выполнить операцию над файлом после его перемещения. Мое настоящее мышление заключается в том, что я должен получить атрибуты безопасности папки, в которую она входит, а затем применить к файлу после завершения перемещения.

Answer 1

Используйте SetNamedSecurityInfo с флагом UNPROTECTED_DACL_SECURITY_INFORMATION. Просто передайте пустой ACL, чтобы удалить записи, полученные от предыдущего родителя. Это будет выглядеть примерно так:

error = SetNamedSecurityInfo(
      path_to_file, 
      SE_FILE_OBJECT, 
      DACL_SECURITY_INFORMATION | UNPROTECTED_DACL_SECURITY_INFORMATION, 
      NULL, 
      NULL, 
      empty_acl, 
      NULL); 

Answer 2

Чтобы расширить ответ Гарри, вот полный код:

// blank acl used to restore permissions after a file move 
ACL g_null_acl = { 0 }; 
InitializeAcl(&g_null_acl, sizeof(g_null_acl), ACL_REVISION); 

DWORD error = SetNamedSecurityInfo(file_path, SE_FILE_OBJECT, 
    DACL_SECURITY_INFORMATION | UNPROTECTED_DACL_SECURITY_INFORMATION, 
    NULL, NULL, (PACL)&g_null_acl, NULL); 

Имейте в виду, что при вызове SetNamedSecurityInfo (в данном случае) требует SE_RESTORE_NAME привилегий, поэтому не могут быть вызваны из службы, работающей как сетевая служба (или локальная служба), так как у них есть limited permissions.