бан доступа в NTFS

[meinung]

Доброго временис суток, суть следующая
как програмно создать пользователя, чтобы его не было видно в списке пользователей если включено быстрое переключение и наделить его правами на на определенную директорию а остальным оставить галочку только список файллов и чтение. заранее спс

[SkyM@n]

Создешь обычно, а в "редакторовании политики безопасности" - ставишь в поле "отклонить локальный (интерактивный) вход" - имя того юзверя. Там же надо запретить и удаленный вход. Все.

[meinung]

SKY@N речь идет о програмном споссобе осуществления сего под форточками

[B_N]

Программный способ - NetUserAdd, NetGroupAdd, NetGroupAddUser и т.д.

[SkyM@n]

Цитата:

Сообщение от meinung

SKY@N речь идет о програмном споссобе осуществления сего под форточками

Я а где-то упоминал о солярисе или о досе? НТФС, к счастью есть только в винде. Там я и имел ввиду настраивать. Если нужно таки программно - то копай в сторону WMI - там можно делать все, что позволяет фантазия.

[meinung]

Цитата:

Сообщение от B_N

Программный способ - NetUserAdd, NetGroupAdd, NetGroupAddUser и т.д.

дайте пример полж. я эти функции первый раз вижу

[B_N]

Цитата:

Сообщение от meinung

дайте пример полж. я эти функции первый раз вижу

Код:

#define UNICODE
#define _WIN32_WINNT	0x0501										// Windows NT 5.1 (Windows XP)

#include <windows.h>
#include <lm.h>
#include <stdio.h>

static const LPWSTR lpwszServerName			= NULL;					// Локальный компьютер
static const LPWSTR lpwszNewUserName		= L"TEST_USER";
static const LPWSTR lpwszNewUserPassword	= L"abcdef";
static const LPWSTR lpwszTestDirectory		= L"C:\\TEST_DIRECTORY";

int wmain(int argc, WCHAR* argv[])
{
	DWORD					i;
	DWORD					cbSid = 0;
	DWORD					cbAclSize = 0;
	DWORD					cchReferencedDomainName = 0;

	USER_INFO_1				ui1;
	SID_NAME_USE			sneUse;
	PSID					pUserSid = NULL;
	PSID					pEveryOneSid = NULL;
	PACL					pAcl = NULL;
	SECURITY_ATTRIBUTES		SecAttribs;
	SECURITY_DESCRIPTOR		SecDescriptor;
	LPWSTR					lpwszReferencedDomainName = NULL;
	
	NET_API_STATUS			netStatus;
	BOOL					fSuccess = TRUE;

	HANDLE					hProcessHeap = GetProcessHeap();

	__try{
		do {
			RtlZeroMemory(&ui1, sizeof(ui1));
			ui1.usri1_name			= lpwszNewUserName;
			ui1.usri1_password		= lpwszNewUserPassword;
			ui1.usri1_priv			= USER_PRIV_USER;
			ui1.usri1_flags			= UF_DONT_EXPIRE_PASSWD;
			
			// Создаем пользователя
			netStatus = NetUserAdd(lpwszServerName, 1, (LPBYTE)&ui1, NULL);
			if( NERR_UserExists != netStatus && NERR_Success != netStatus ){
				fSuccess = FALSE;
				break;
			}
			
			// Берём Security identifier нового пользователя
			if(! LookupAccountNameW(lpwszServerName, lpwszNewUserName, NULL, &cbSid, NULL, &cchReferencedDomainName, &sneUse) ){
				if(GetLastError() == 122L){
					pUserSid = 
						(SID*) HeapAlloc(hProcessHeap, HEAP_ZERO_MEMORY, SECURITY_MAX_SID_SIZE);
					lpwszReferencedDomainName = 
						(LPWSTR) HeapAlloc(hProcessHeap, 0, cchReferencedDomainName * sizeof(WCHAR));
					if(
						! LookupAccountNameW(
								lpwszServerName, 
								lpwszNewUserName, 
								pUserSid, 
								&cbSid, 
								lpwszReferencedDomainName, 
								&cchReferencedDomainName, 
								&sneUse)
					) {
						fSuccess = FALSE;
						break;
					}
				}
				else {
					fSuccess = FALSE;
					break;
				}
			}

			// Создаем стандартный Security identifier "для всех"
			pEveryOneSid = 
				(SID*) HeapAlloc(hProcessHeap, HEAP_ZERO_MEMORY, SECURITY_MAX_SID_SIZE);
			if(! CreateWellKnownSid(WinWorldSid, NULL, pEveryOneSid, &cbSid)){
				fSuccess = FALSE;
				break;			
			}
			
			// Выделяем память под ACL (Access Control List)
			cbAclSize = sizeof(ACL) 
						+ sizeof(ACCESS_ALLOWED_ACE) * 2
						+ GetLengthSid(pUserSid)
						+ GetLengthSid(pEveryOneSid);
			pAcl = (PACL) HeapAlloc(hProcessHeap, HEAP_ZERO_MEMORY, cbAclSize);
			
			// Инициализируем ACL
			if(!InitializeAcl(pAcl, cbAclSize, ACL_REVISION)){
				fSuccess = FALSE;
				break;
			}
			
			// Добавляем к новому ACL права для двух "групп" - для всех 
			// и для нового пользователя
			if(
				!
				(
					// только чтение для всех
					AddAccessAllowedAce(pAcl, ACL_REVISION, READ_CONTROL, pEveryOneSid)
					&&
					// полный доступ для нового пользователя
					AddAccessAllowedAce(pAcl, ACL_REVISION, GENERIC_ALL|STANDARD_RIGHTS_ALL|SPECIFIC_RIGHTS_ALL, pUserSid)
				)
			){
				fSuccess = FALSE;
				break;
			}
			
			// Инициализируем дескриптор защиты
			if(!InitializeSecurityDescriptor(&SecDescriptor, SECURITY_DESCRIPTOR_REVISION)){
				fSuccess = FALSE;
				break;
			}
			SetSecurityDescriptorDacl(&SecDescriptor, TRUE, pAcl, FALSE);
			SetSecurityDescriptorGroup(&SecDescriptor, NULL, FALSE);
			SetSecurityDescriptorSacl(&SecDescriptor, FALSE,NULL,FALSE);

			// Устанавливаем права доступа в соответствии с новым дескриптором
			SecAttribs.nLength = sizeof(SECURITY_ATTRIBUTES);
			SecAttribs.bInheritHandle = FALSE;
			SecAttribs.lpSecurityDescriptor = &SecDescriptor;

			// И создаем объект файловой системы
			CreateDirectoryW(lpwszTestDirectory, &SecAttribs);
		}while (0);
	}
	__except ( EXCEPTION_EXECUTE_HANDLER ) {
		fSuccess = FALSE;
	}
	
	if(fSuccess) {
		wprintf(
			L"Directory \"%s\"created and access permissions assigned successfully.\n", 
			lpwszTestDirectory);
	}
	else {
		wprintf(
			L"Error %d encountered.\n",
			GetLastError());
	}
	
	HeapFree(hProcessHeap, 0, pUserSid);
	HeapFree(hProcessHeap, 0, lpwszReferencedDomainName);
	HeapFree(hProcessHeap, 0, pEveryOneSid);
	HeapFree(hProcessHeap, 0, pAcl);

	return 0;
}