仅当使用新技术文件系统(NTFS)时,才能保护文件和目录对象。
必须通过使用通用访问权限来操纵文件和目录的访问权.
对于文件对象,CreateFile函数返回的句柄除了在调用中指定的访问权限(GENERIC_READ,GENERIC_WRITE或两者)之外,还具有SYNCHRONIZE访问权限,并有权读取文件属性。
文件对象的GENERIC_READ访问将STANDARD_RIGHTS_READ和SYNCHRONIZE与允许进程从文件读取数据,读取文件属性和读取扩展属性的权限相结合。
文件对象的GENERIC_WRITE访问将STANDARD_RIGHTS_WRITE和SYNCHRONIZE与允许进程向文件写入数据,向其中添加数据,写入文件属性和写入扩展属性的权限相结合。
应用程序无法使用拒绝访问的ACE仅拒绝对文件进行GENERIC_READ或GENERIC_WRITE访问。如果应用程序拒绝对文件的GENERIC_WRITE访问,SYNCHRONIZE访问被隐式地拒绝。当尝试使用CreateFile函数打开文件进行读取访问时,该函数将请求SYNCHRONIZE访问,并且操作失败。应用程序可以明确地允许允许的访问权限,而不是拒绝对文件的读取或写入访问。
对于目录对象,CreateDirectory函数返回的句柄具有SYNCHRONIZE访问权限,并有权列出目录的内容。
有关文件和目录的更多信息,请参阅档.
