我一直在尝试使用 WMI 从与 Windows 7 中的本地打印机关联的任意访问控制列表 (DACL) 中删除访问控制条目 (ACE)。代码获取安全描述符,并遍历DACL。除非 ALE 中的受托人被命名为“所有人”,否则 ACE 将被添加到临时列表中。
临时列表变成了一个数组,并替换了安全描述符的 DACL 属性。然后代码使用修改后的描述符调用 SetSecurityDescriptor()。
返回值为 0x8007051B,其中 0x051B 为 Win32 错误代码:1307,此安全 ID 可能未分配为此对象的所有者。
错误消息有点令人困惑,因为我在代码中没有(故意)更改打印机的所有者。
如果我更改方法以将每个 ACE 包含在临时列表中,则对 SetSecurityDescriptor() 的调用将成功完成。
以管理员身份运行应用程序没有任何区别。
当然,还有代码:
private void ChangeSecurity()
{
var query = String.Format("SELECT * from Win32_Printer where Name like \"%{0}%\"", PrinterName);
var searcher = new ManagementObjectSearcher(query);
var searchResults = searcher.Get();
foreach (ManagementObject printer in searchResults)
{
var result = printer.InvokeMethod("GetSecurityDescriptor", null, null);
var descriptor = (ManagementBaseObject)result["Descriptor"];
var flags = (uint)descriptor["ControlFlags"];
if ((flags & (uint)ControlFlags.DiscretionaryAclPresent) == (uint)ControlFlags.DiscretionaryAclPresent)
{
Console.WriteLine("DACL present");
var dacl = (ManagementBaseObject[])descriptor["DACL"];
var newDaclList = new List<ManagementBaseObject>();
foreach (var ace in dacl)
{
var trustee = (ManagementBaseObject)ace["Trustee"];
var aceType = (uint)ace["AceType"];
if ((aceType & (uint) AceType.AccessAllowed) == (uint) AceType.AccessAllowed)
{
Console.WriteLine("{0}\\{1}", trustee["Domain"], trustee["Name"]);
Console.WriteLine("Access mask {0}", ace["AccessMask"]);
if (trustee["Name"].ToString() == "Everyone" && trustee["Domain"] == null)
{
Console.WriteLine("Remove access");
}
else
{
newDaclList.Add(ace);
}
}
}
descriptor.SetPropertyValue("DACL", newDaclList.ToArray());
var inParams = printer.GetMethodParameters("SetSecurityDescriptor");
inParams["Descriptor"] = descriptor;
result = printer.InvokeMethod("SetSecurityDescriptor", inParams, null);
Console.WriteLine("Result code: {0}", result["ReturnValue"]);
}
}