关键在于正确设置filesystemaccessrule的inheritanceflags和propagationflags:containerinherit与objectinherit组合实现子文件夹及子文件继承,propagationflags.none启用标准递归传播;同时需确保父目录未启用areaccessrulesprotected保护,否则继承链中断。
如何用 DirectorySecurity 设置文件夹的 ACL 继承标志
关键在于控制 FileSystemAccessRule 的 InheritanceFlags 和 PropagationFlags,而不是简单调用 AddAccessRule 就完事。默认情况下,新添加的规则不会自动继承到子项,必须显式指定。
-
InheritanceFlags.ContainerInherit:让规则应用到子文件夹 -
InheritanceFlags.ObjectInherit:让规则应用到子文件 - 两者同时设置(用
|连接)才能覆盖“子文件夹 + 子文件” -
PropagationFlags.None:标准继承(子项会继续向下传播) -
PropagationFlags.NoPropagateInherit:仅作用于直接子项,不递归传播
示例:给 C:Shared 添加一个对 DOMAINUsers 的读取权限,并让该权限继承到所有子文件和子文件夹:
var dirSec = Directory.GetAccessControl(@"C:Shared");
var rule = new FileSystemAccessRule(
"DOMAIN\Users",
FileSystemRights.Read,
InheritanceFlags.ContainerInherit | InheritanceFlags.ObjectInherit,
PropagationFlags.None,
AccessControlType.Allow);
dirSec.AddAccessRule(rule);
Directory.SetAccessControl(@"C:Shared", dirSec);
IsProtected 和 AreAccessRulesProtected 的区别与误用风险
这两个布尔值常被混淆,但含义完全不同:AreAccessRulesProtected 是 DirectorySecurity 的属性,表示当前 ACL 是否已禁用继承(即是否“被保护”);而 IsProtected 是 FileSystemAccessRule 实例的只读属性,**永远为 false** —— 它在 .NET 中没有实际意义,不要依赖它判断规则状态。
- 要关闭继承(阻止父级 ACL 流入),设
dirSec.SetAccessRuleProtection(true, false) - 第一个参数
true表示“保护”,即禁用继承;第二个参数false表示“不清除现有 ACE”,保留当前显式设置的规则 - 若设为
(true, true),会清空所有继承来的规则,只留下手动添加的规则 - 错误做法:检查某条规则的
IsProtected来判断它是否继承 —— 这个值恒为false,毫无参考价值
为什么子文件夹没继承权限?常见三类原因
即使设置了正确的 InheritanceFlags,子项仍无权限,大概率是以下其一:
- 父文件夹的 ACL 本身被设为“受保护”(
AreAccessRulesProtected == true),导致继承链中断 - 子文件夹自己也被设为“受保护”,覆盖了父级下发的继承规则
- 权限被更高级别的拒绝规则(
Deny)覆盖 —— 注意:Windows 中Deny优先级高于Allow,且拒绝规则同样可继承
排查建议:用 icacls "C:Shared" /t /c 命令行查看完整继承树,比 C# 的 GetAccessControl 更直观;或用 Get-Acl PowerShell cmdlet 配合 | Format-List 查看 AreAccessRulesProtected 和每条 Access 的 IsInherited 属性。
递归应用继承规则时的性能与权限覆盖陷阱
调用 SetAccessControl 不会自动递归更新子项 —— 它只改当前目录的 DACL。想让整个树生效,必须手动遍历,但要注意副作用:
- 对每个子目录重复调用
SetAccessControl会重置其原有 ACL,可能意外清除他人添加的权限 - 更安全的做法是:先用
GetAccessControl获取子项 ACL,再用ModifyAccessRule或AddAccessRule增量更新,避免全量覆盖 - 大量子项时,频繁调用
SetAccessControl易触发 UAC 提权失败或 IO 瓶颈;建议批量处理前加try/catch捕获UnauthorizedAccessException和IOException - 注意:某些系统文件夹(如
C:Program Files)默认拒绝普通用户写 ACL,即使你是管理员组成员,也需确保进程以“提升权限”方式运行
继承不是魔法,它是靠每个对象的 AreAccessRulesProtected 状态 + 每条规则的 InheritanceFlags 共同计算出来的结果。任何一环被手动干预,整条链就断了。
