Hi,

es geht um folgenden Code: http://www.delphipraxis.net/internal...ct.php?t=70877

Ich möchte jetzt einfach nur wissen wie ich damit sagen wir mal dem Nutzer "Example" keine Schreibrechte auf C:\Programme geben kann?

Mit freundlichen Grüßen

Lars Wiltfang

  AddAccessRights(PChar("C:\Programme\"), PChar("Example"), myRightsMask) ...und die Maske setzt du aus den Rechten zusammen, die du vergeben möchtest
alle Rechte, die du hinzufügen möchtest miteinander mit OR vernknüpfen

...mehr zu den Rechten weiss Onkel Microsoft, die setzen sich aus zwei Teilen zusammen

1.Teil: das Recht selber (Lesen, Schreiben, Vollzugriff, ...)
2.Teil: der Mode für das Recht (verbieten, erlauben, ...)

Dieser Codeschnipsel kann nur Zugriffsrechte hinzufügen, nicht wegnehmen.

Nein, der Code kann es nicht. Man kann nur Zugriff erlauben. Die Maske lückenhaft zu lassen bedeutet nicht, dass der Zugriff verweigert wird. Der Benutzer kann in Gruppen sein, die trotzdem Zugriff erlauben.

hallo zusammen,

das ist nicht ganz richtig, wenn Ihr ein "Verbieten"-Recht vergebt, dann ist der Laden zu.
Wenn ich das noch richtig zusammen bekomme wird von MS erst nach verbotenen Rechten gesucht und dann nach der Erlaubnis.
verboten ist verboten, das dürfte man auch durch eine Gruppe nicht aushebeln können.

In der Praxis sollte es aber besser sein, Benutzer und/oder Gruppen zuzulassen, sonst wird das Chaos zu groß.

Grüße
K-H

Du hast meinen Text nicht richtig verstanden. Man kann durch Verkleinerung der Zugriffsmaske auch den Zugriff verweigern. Wenn man z.B. READ_FILE_ACCESS nicht vergibt, dann kann der Benutzer auch keine Dateien lesen - es sei denn, er ist in einer Gruppe, die das erlaubt und zwar indem die Gruppe in der ACL mit diesem Recht erlaubend gelistet ist.
Die Vergabe einer Verweigerung schließt auch diese Lücke.

Die Normalform einer ACL ist u.a. so definiert, dass zuerst Verweigerungs- und dann Erlaubeneinträge stehen sollten. Das muss aber nicht unbedingt so sein. Im so einem Fall kann es aber chaotisch werden.

d'accord
d'accord
"Kann" ist da recht optimistisch.

Edit:
Ich würde auf jeden Fall davon absehen, einem Benutzer Rechte zu entziehen (verbieten).
Rechte Vergeben ist wesentlich übersichtlicher und einfacher zu pflegen.
Und Gruppen ist der Vorzug vor Einzelpersonen zu geben.

Gruß
K-H

Nunja, wenn es sein muss, dann muss es eben sein