0

0

C# 文件系统ACL的拒绝规则 C#如何设置显式的拒绝访问权限

月夜之吻

月夜之吻

发布时间:2026-02-20 03:17:14

|

768人浏览过

|

来源于php中文网

原创

acl拒绝规则在.net中不可靠,因deny易被allow覆盖且.net不校验ace顺序;应使用setaccessrule、显式设置继承标志、避免modify等组合权限,并优先移除allow而非添加deny。

c# 文件系统acl的拒绝规则 c#如何设置显式的拒绝访问权限

ACL 拒绝规则在 .NET 中根本不可靠

Windows ACL 的 Deny 条目在 .NET 的 FileSystemAccessRule 中能创建,但多数场景下它不会按你预期生效——尤其当用户属于多个组时,只要任意一条 Allow 规则覆盖了相同权限,Deny 就被绕过。这不是 bug,是 Windows 安全模型的设计:拒绝优先于允许,但仅对“同一访问控制条目(ACE)评估路径”生效;而 .NET 的 FileSecurityDirectorySecurity 在设置时不做 ACE 排序校验,容易把 Deny 插到 Allow 后面,导致它被忽略。

实操建议:

  • 永远用 FileSystemRights.FullControl 或具体权限(如 FileSystemRights.Read)配合 AccessControlType.Deny,别用 FileSystemRights.Modify 这类组合值——它隐含子权限,可能和已有 Allow 冲突
  • 添加拒绝规则前,先调用 GetAccessRules(true, true, typeof(NTAccount)) 检查当前 ACE 顺序,确保 Deny 出现在所有相关 Allow 之前
  • 拒绝规则必须显式指定 InheritanceFlagsPropagationFlags,否则只作用于对象本身,不继承——比如想阻止子文件夹读取,得设 InheritanceFlags.ContainerInherit | InheritanceFlags.ObjectInherit

用 FileSecurity.SetAccessRule() 添加拒绝规则的正确姿势

直接 new 一个 FileSystemAccessRule 并 Add 是错的——Add 不保证顺序,且会忽略已存在的冲突规则。必须用 SetAccessRule() 替换(或先 Remove 再 Add)。

常见错误现象:UnauthorizedAccessException 没出现,或用户仍能删除文件——大概率是拒绝规则没生效,或被更高层的组策略覆盖。

示例关键片段:

var sec = file.GetAccessControl();
var denyRule = new FileSystemAccessRule(
    "DOMAIN\User",
    FileSystemRights.Read,
    InheritanceFlags.ContainerInherit | InheritanceFlags.ObjectInherit,
    PropagationFlags.None,
    AccessControlType.Deny);
sec.SetAccessRule(denyRule); // 注意:不是 AddAccessRule
file.SetAccessControl(sec);

使用场景:

怡启AI论文
怡启AI论文

专业AI论文写作

下载
  • 临时隔离某个用户对日志目录的读取(但保留管理员访问)
  • 在部署脚本中封禁特定服务账户对配置文件的写入

为什么 GetAccessControl().AddAccessRule() 会静默失败

AddAccessRule() 只在规则完全不重复时才添加;如果已存在同主体、同权限、同继承标志的 Allow 规则,它不会报错,也不会覆盖,而是直接跳过——你看到代码执行成功,实际 ACL 毫无变化。

性能与兼容性影响:

  • .NET 5+ 对 SetAccessControl 的底层调用更严格,若目标路径有符号链接或重解析点,可能抛 IOException;而旧版 .NET Framework 可能静默降级
  • 在容器化环境(如 Windows Server Core 镜像)中,SeTakeOwnershipPrivilege 缺失会导致设置拒绝规则失败,错误信息是 System.UnauthorizedAccessException: Attempted to perform an unauthorized operation.
  • 拒绝规则对内置账户(如 BUILTINAdministrators)基本无效——系统默认赋予其 SE_TAKE_OWNERSHIP_NAME 特权,可绕过 ACL

替代方案比硬塞 Deny 更可靠

真要限制访问,优先考虑移除不必要的 Allow,而不是加 Deny。ACL 是白名单思维,不是黑名单。

实操建议:

  • RemoveAccessRuleAll() 清掉目标用户的全部现有规则,再用 SetAccessRule() 加入精确的 Allow 列表
  • 对敏感目录,改用 Encrypting File System (EFS) 加密,比 ACL 拒绝更防绕过
  • 在应用层做二次校验:即使 ACL 允许,打开文件前仍检查当前 WindowsIdentity.GetCurrent().Name 是否在许可名单里

最常被忽略的一点:拒绝规则对“创建文件”和“删除文件”是两个独立权限(FileSystemRights.CreateFiles vs FileSystemRights.Delete),设错一个,用户就能绕开——比如只拒读不拒删,ta 仍可删完重建。

热门AI工具

更多
DeepSeek
DeepSeek

幻方量化公司旗下的开源大模型平台

豆包大模型
豆包大模型

字节跳动自主研发的一系列大型语言模型

通义千问
通义千问

阿里巴巴推出的全能AI助手

腾讯元宝
腾讯元宝

腾讯混元平台推出的AI助手

文心一言
文心一言

文心一言是百度开发的AI聊天机器人,通过对话可以生成各种形式的内容。

讯飞写作
讯飞写作

基于讯飞星火大模型的AI写作工具,可以快速生成新闻稿件、品宣文案、工作总结、心得体会等各种文文稿

即梦AI
即梦AI

一站式AI创作平台,免费AI图片和视频生成。

ChatGPT
ChatGPT

最最强大的AI聊天机器人程序,ChatGPT不单是聊天机器人,还能进行撰写邮件、视频脚本、文案、翻译、代码等任务。

相关专题

更多
数据库Delete用法
数据库Delete用法

数据库Delete用法:1、删除单条记录;2、删除多条记录;3、删除所有记录;4、删除特定条件的记录。更多关于数据库Delete的内容,大家可以访问下面的文章。

287

2023.11.13

drop和delete的区别
drop和delete的区别

drop和delete的区别:1、功能与用途;2、操作对象;3、可逆性;4、空间释放;5、执行速度与效率;6、与其他命令的交互;7、影响的持久性;8、语法和执行;9、触发器与约束;10、事务处理。本专题为大家提供相关的文章、下载、课程内容,供大家免费下载体验。

220

2023.12.29

JavaScript中的typeof用法
JavaScript中的typeof用法

在JavaScript中,typeof是一个用来确定给定变量的数据类型的操作符。可以用来确定一个变量是字符串、数字、布尔值、函数、对象或undefined的数据类型。更多关于typeof用法相关文章,详情请看本专题下面的文章,php中文网欢迎大家前来学习。

763

2023.11.23

windows查看端口占用情况
windows查看端口占用情况

Windows端口可以认为是计算机与外界通讯交流的出入口。逻辑意义上的端口一般是指TCP/IP协议中的端口,端口号的范围从0到65535,比如用于浏览网页服务的80端口,用于FTP服务的21端口等等。怎么查看windows端口占用情况呢?php中文网给大家带来了相关的教程以及文章,欢迎大家前来阅读学习。

1186

2023.07.26

查看端口占用情况windows
查看端口占用情况windows

端口占用是指与端口关联的软件占用端口而使得其他应用程序无法使用这些端口,端口占用问题是计算机系统编程领域的一个常见问题,端口占用的根本原因可能是操作系统的一些错误,服务器也可能会出现端口占用问题。php中文网给大家带来了相关的教程以及文章,欢迎大家前来学习阅读。

1150

2023.07.27

windows照片无法显示
windows照片无法显示

当我们尝试打开一张图片时,可能会出现一个错误提示,提示说"Windows照片查看器无法显示此图片,因为计算机上的可用内存不足",本专题为大家提供windows照片无法显示相关的文章,帮助大家解决该问题。

820

2023.08.01

windows查看端口被占用的情况
windows查看端口被占用的情况

windows查看端口被占用的情况的方法:1、使用Windows自带的资源监视器;2、使用命令提示符查看端口信息;3、使用任务管理器查看占用端口的进程。本专题为大家提供windows查看端口被占用的情况的相关的文章、下载、课程内容,供大家免费下载体验。

460

2023.08.02

windows无法访问共享电脑
windows无法访问共享电脑

在现代社会中,共享电脑是办公室和家庭的重要组成部分。然而,有时我们可能会遇到Windows无法访问共享电脑的问题。这个问题可能会导致数据无法共享,影响工作和生活的正常进行。php中文网给大家带来了相关的教程以及文章,欢迎大家前来阅读学习。

2361

2023.08.08

pixiv网页版官网登录与阅读指南_pixiv官网直达入口与在线访问方法
pixiv网页版官网登录与阅读指南_pixiv官网直达入口与在线访问方法

本专题系统整理pixiv网页版官网入口及登录访问方式,涵盖官网登录页面直达路径、在线阅读入口及快速进入方法说明,帮助用户高效找到pixiv官方网站,实现便捷、安全的网页端浏览与账号登录体验。

660

2026.02.13

热门下载

更多
网站特效
/
网站源码
/
网站素材
/
前端模板

精品课程

更多
相关推荐
/
热门推荐
/
最新课程
C# 教程
C# 教程

共94课时 | 9.7万人学习

C 教程
C 教程

共75课时 | 4.8万人学习

C++教程
C++教程

共115课时 | 18.4万人学习

关于我们 免责申明 举报中心 意见反馈 讲师合作 广告合作 最新更新
php中文网:公益在线php培训,帮助PHP学习者快速成长!
关注服务号 技术交流群
PHP中文网订阅号
每天精选资源文章推送

Copyright 2014-2026 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号