Delphi-PRAXiS - Es klemmt: DACL einer Datei ersetzen

Seite 1 von 2

Delphi-PRAXiS (https://www.delphipraxis.net/forum.php)

- Win32/Win64 API (native code) (https://www.delphipraxis.net/17-win32-win64-api-native-code/)

- - Es klemmt: DACL einer Datei ersetzen (https://www.delphipraxis.net/153905-es-klemmt-dacl-einer-datei-ersetzen.html)

Es klemmt: DACL einer Datei ersetzen

Moin,

nachdem ich mich jetzt einige Zeit mit den Zugriffseinstellungen für Dateien beschäftigt habe, wollte ich mal ein paar Schritte probieren. Im ersten Schritt ein DACL mit einem NULL-DACL überschreiben, später weiter.

Ich scheitere aber schon im ersten Schritt und das könnte ein ANSI/Unicode-Problem sein.

Delphi-Quellcode:

			procedure TForm1.Button1Click(Sender: TObject);

var

  SecurityAttributes : TSecurityAttributes;

  SecurityDescriptor : TSecurityDescriptor;

  filename : PAnsiChar;

  errcode : integer;

begin

  InitializeSecurityDescriptor(@SecurityDescriptor,SECURITY_DESCRIPTOR_REVISION);

  SetSecurityDescriptorDacl(@SecurityDescriptor, true, nil, false);

  SecurityAttributes.nLength := SizeOf(SecurityAttributes);

  SecurityAttributes.lpSecurityDescriptor := @SecurityDescriptor;

  SecurityAttributes.bInheritHandle := false;

  filename := PAnsiChar('C:\schrott.txt');

  errcode:=SetNamedSecurityInfo(filename, SE_FILE_OBJECT, DACL_SECURITY_INFORMATION, nil, nil, @SecurityAttributes, nil);

  if errcode <> 0 then

  begin

    ShowMessage(syserrormessage(errcode));

  end;

end;

Das ist nach ein paar Tagen :?::?::?::roll::roll::roll::(:(::stupid::stupid: gar nicht mehr so anspruchsvoll, ich bekomme aber die Meldung "Das System kann die angegebene Datei nicht finden".
Daher gehe ich von einem Char-Problem aus, denn wenn ich die Datei mit den obigen SecurityAttributes erstelle, hat sie tatsächlich ein NULL-DACL.

Grüße, Messie

AW: Es klemmt: DACL einer Datei ersetzen

Wenn du Delphi 2009 oder neuer einsetzt, dann musst du explizit SetNamedSecurityInfoA aufrufen.

Nimm statt PAnsiChar den AnsiString.

AW: Es klemmt: DACL einer Datei ersetzen

Zitat:

Zitat von Dezipaitor (Beitrag 1043515)

Wenn du Delphi 2009 oder neuer einsetzt, dann musst du explizit SetNamedSecurityInfoA aufrufen.

Nimm statt PAnsiChar den AnsiString.

Danke schonmal, ich hatte so eine Ahnung, in dem Thema auf Dich zu treffen :wink:

Immerhin bin ich damit eine Fehlermeldung weiter, die Struktur der ACL ist jetzt als unzulässig bemängelt. Das werde ich morgen nochmal nachlesen.

Danke, Messie

AW: Es klemmt: DACL einer Datei ersetzen

Du rufst auch SetNamedSecurityInfo völlig falsch auf :-D
Da wird garnicht SecurityAttributes verwendet, sondern nur Owner, Group, DACL und SACL. Nimm SetFileSecurity, wenn du mit ACLs experimentieren willst (die Funktion ist veraltet).

AW: Es klemmt: DACL einer Datei ersetzen

Zitat:

Zitat von Dezipaitor (Beitrag 1043559)

Ja, das war zu umständlich, kam noch vom Erstellen der Datei mit CreateFile. Jetzt verwende ich nur die DACL und damit kann ich die Datei auf ein NULL-DACL setzen.
Ist das in Ordnung so? Denn da würde ich jetzt weiter machen und die DACL mit anderen Einstellungen füttern. Dann hätte ich (endlich) die Möglichkeit Dateien zu erstellen oder zu ändern. Mit Verzeichnissen müsste das dann ja analog gehen.

Delphi-Quellcode:

			  SecurityDescriptor : TSecurityDescriptor;

  locDACL : PACL;

  filename : PAnsiChar;

  errcode : integer;

begin

  InitializeSecurityDescriptor(@SecurityDescriptor,SECURITY_DESCRIPTOR_REVISION);

  SetSecurityDescriptorDacl(@SecurityDescriptor, true, nil, false);

  locDACL := SecurityDescriptor.Dacl;

  filename := PAnsiChar('C:\schrott.txt');

  errcode:=SetNamedSecurityInfoA(filename, SE_FILE_OBJECT, DACL_SECURITY_INFORMATION, nil, nil, locDACL, nil);

  if errcode <> 0 then

  begin

    ShowMessage(SysErrorMessage(errcode));

  end;

end;

Grüße, Messie

AW: Es klemmt: DACL einer Datei ersetzen

Warum nimmst du überhaupt AnsiChar?

AW: Es klemmt: DACL einer Datei ersetzen

Zitat:

Zitat von Dezipaitor (Beitrag 1043766)

Warum nimmst du überhaupt AnsiChar?

Weil ich SetNamedSecurityInfoW nicht zum Laufen bekommen habe. Dem habe ich PChar übergeben, was nach meinem Verständnis PWideChar entspricht, da kam der Compiler aber nicht mit klar.

Nachgefragt hatte ich auch deshalb, ob ich anschließend noch irgendwelchen Speicher freigeben müsste.

Immerhin bekomme ich jetzt schonmal zusätzliche Zugriffsrechte in die Datei. Damit habe ich mein Ziel bald erreicht, den Zugriff auf eine Datei von allen usern zuzulassen.

Muss ich die alten Standard-DACL-Einträge eigentlich vorher löschen?

Grüße, Messie

AW: Es klemmt: DACL einer Datei ersetzen

Nimm normal String und PChar.

Speicher muss man nur von SIDs und ACL direkt freigeben.

Einträge muss man nicht löschen.

AW: Es klemmt: DACL einer Datei ersetzen

Moin,

zwei Fragen sind noch aufgetaucht: um eine Datei für den Zugriff eines eingeschränkten users unter XP zu ändern, reicht es nicht, den Zugriff für authenticated users freizugeben. Das eingeschränkte XP-Konto scheint noch darunter zu liegen, wo genau? Sieht auf den ersten Blick nach anonymous logon aus...

Dann habe ich die Möglichkeit, für ein msi-Paket das Zugriffsrecht auf everyone zu setzen. Welchem Level entspricht denn das (eine NULL-DACL wid es wohl nicht sein)?

Edit: everyone habe ich gefunden. Dann ist es auch keine NULL-DACL.

Grüße, Messie

AW: Es klemmt: DACL einer Datei ersetzen

Konten werden durch SIDs (Security Identifier) bezeichnet. Und "Jeder" heißt die Wellknown SID "World" oder auch sprachneutral: S-1-1-0

Seite 1 von 2