在对象的 ACL 中读取控制访问权限集
使用 ADSI 读取控制访问权 ACE,就像读取 ACL 中的其他 ACE 一样。 请注意,也可以使用 Win32 安全 API 来读取 Directory 对象上的 ACL。 但是,控制访问权限以特定于授予和拒绝控制访问权限的方式使用 IADsAccessControlEntry 接口的属性:
- AccessMask 必须包含 ADS_RIGHT_DS_CONTROL_ACCESS。
- Flags 值为 ADS_FLAG_OBJECT_TYPE_PRESENT。
- ObjectType 是控制访问权限的 rightsGUID 属性的字符串形式。 GUID 的字符串格式与 StringFromGUID2 COM 库函数的字符串格式相同。
- AceType 要么是表示授予受托管理人控制访问权的 ADS_ACETYPE_ACCESS_ALLOWED_OBJECT,要么是表示拒绝受托管理人控制访问权的 ADS_ACETYPE_ACCESS_DENIED_OBJECT。
- 受托人 是安全主体,即 ACE 适用的用户、组、计算机等。
按照以下过程读取 ADSI 对象的 ACE。 以下过程适用于 C 和 C++ 应用程序。
读取 ADSI 对象的 ACE
- 获取指向该对象的 IADs 接口指针。
- 使用 IADs::Get 方法获取对象的安全描述符。 包含此安全描述符的属性名称为“nTSecurityDescriptor”。 属性将以 VARIANT 的形式返回,其中包含一个 IDispatch 指针。 请注意,vt 成员是 VT_DISPATCH。 在该 IDispatch 指针上调用 QueryInterface 以获得 IADsSecurityDescriptor 接口,从而使用该接口上的方法来访问安全描述符的 ACL。
- 使用 IADsSecurityDescriptor::get_DiscretionaryAcl 方法来获取 ACL。 该方法会返回一个 IDispatch 指针。 在 IDispatch 指针上调用 QueryInterface 以获得 IADsAccessControlList 接口,从而使用该接口上的方法来访问 ACL 中的单个 ACE。
- 使用 IADsAccessControlList::get__NewEnum 方法来枚举 ACE。 该方法返回一个 IUnknown 指针。 在该 IUnknown 指针上调用 QueryInterface 以获取 IEnumVARIANT 接口。
- 使用 IEnumVARIANT::Next 方法来枚举 ACL 中的 ACE。 属性会以 VARIANT 的形式返回,其中包含一个 IDispatch 指针。 请注意,vt 成员是 VT_DISPATCH。 在该 IDispatch 指针上调用 QueryInterface 来获取 IADsAccessControlEntry 接口,以读取 ACE。
- 调用 IADsAccessControlEntry::get_AccessMask 方法获取 AccessMask 并验证 AccessMask 的 ADS_RIGHT_DS_CONTROL_ACCESS 标志值。 如果有此标记,则 ACE 包含控制访问权限。
- 调用 IADsAccessControlEntry::get_Flags 方法来获取对象类型的标志。
- 检查 ADS_FLAG_OBJECT_TYPE_PRESENT 标志的 Flags 值。 如果 Flags 设置为 ADS_FLAG_OBJECT_TYPE_PRESENT,则调用 IADsAccessControlEntry::get_ObjectType 方法来获取一个字符串,其中包含 ACE 适用的控制访问权限的 rightsGUID。
- 调用 IADsAccessControlEntry::get_AceType 方法以获取 ACE 类型。 该类型将是表示授予受托人控制访问权限的 ADS_ACETYPE_ACCESS_ALLOWED_OBJECT,或者表示拒绝控制访问权限的 ADS_ACETYPE_ACCESS_DENIED_OBJECT。
- 调用 IADsAccessControlEntry::get_Trustee 方法获取安全主体;即 ACE 适用的用户、组、计算机等。
- 用完 ObjectType 和 Trustee 字符串后,使用 SysFreeString 来释放这些字符串的内存。
- 用完接口后,调用 Release 来递减或释放所有接口引用。