當我拒絕寫入權限時，使用NTFS拒絕讀取權限

Question

使用以下代碼，我拒絕了用戶的寫許可權，即使我選中了“安全性”選項卡，也僅拒絕了寫許可權，但是我無法訪問該文件夾進行讀取。

ADsSecurity objADsSec;
SecurityDescriptor objSecDes;
AccessControlList objDAcl;
AccessControlEntry objAce1;
AccessControlEntry objAce2;
Object objSIdHex;
ADsSID objSId;

objADsSec = new ADsSecurityClass();
objSecDes = (SecurityDescriptor)(objADsSec.GetSecurityDescriptor("FILE://" + vPath));
objDAcl = (AccessControlList)objSecDes.DiscretionaryAcl;

objSId = new ADsSIDClass();
objSId.SetAs((int)ADSSECURITYLib.ADS_SID_FORMAT.ADS_SID_SAM, UserName.ToString());
objSIdHex = objSId.GetAs((int)ADSSECURITYLib.ADS_SID_FORMAT.ADS_SID_SDDL);



objAce2 = new AccessControlEntryClass();
objAce2.Trustee = (objSIdHex).ToString();
objAce2.AccessMask = (int)ActiveDs.ADS_RIGHTS_ENUM.ADS_RIGHT_GENERIC_WRITE;
objAce2.AceType = (int)ActiveDs.ADS_ACETYPE_ENUM.ADS_ACETYPE_ACCESS_DENIED;
objAce2.AceFlags = (int)ActiveDs.ADS_ACEFLAG_ENUM.ADS_ACEFLAG_INHERIT_ACE | 1;
objDAcl.AddAce(objAce2);

objSecDes.DiscretionaryAcl = objDAcl;

// Set permissions on the NTFS file system folder.
objADsSec.SetSecurityDescriptor(objSecDes, "FILE://" + vPath);

Answer 1

您沒有顯示objAce1

您需要在授予ACE條目之前訂購“拒絕ACE”條目。

嘗試交換ACL中的條目順序。

因此，DACL的ACE列表應適當排序。 標准（規范）排序是首先放置顯式拒絕，然后放置顯式允許，常規（組）拒絕和組允許。 如果不使用規范的排序，則可能發生意外的允許或拒絕

從了解Windows文件和注冊表權限