代码之家 › 专栏 › 技术社区 › Jerry

复制ACL信息,如XCopy

acl security .net c#

Jerry · 技术社区 · 15 年前

我们最近被迫在世界各地迁移到一个新的域服务器。这看起来并没有什么变化,但我们经常运行的一个进程突然从2秒的命令变成了5分钟的命令。

原因是什么?我们正在根据“模板”目录结构更新许多目录的权限。

我们发现XCOPY可以在相同的两秒钟窗口中更新这些设置的大部分。当然,剩下的设置将被忽略。

我想弄明白的是,XCopy如何能更快地完成.NET安全类本机应该做的事情?很明显我错过了什么。

以下是我所拥有的:


       ... 

    DirectorySecurity TemplateSecurity = new DirectorySecurity(TemplateDir, AccessControlSections.All);

    ... 


    public static void UpdateSecurity(string destination, DirectorySecurity TemplateSecurity)
    {
        DirectorySecurity dSecurity = Directory.GetAccessControl(destination);

        // Remove previous security settings. (We have all we need in the other TemplateSecurity setting!!)
        AuthorizationRuleCollection acl_old = dSecurity.GetAccessRules(true, true, typeof(NTAccount));
        foreach (FileSystemAccessRule ace in acl_old)
        {
            // REMOVE IT IF YOU CAN... if you can't don't worry about it.
            try
            {
                dSecurity.RemoveAccessRule(ace);
            }
            catch { }
        }

        // Remove the inheritance for the folders... 
        // Per the business unit, we must specify permissions per folder.
        dSecurity.SetAccessRuleProtection(true, true);

        // Copy the permissions from TemplateSecurity to Destination folder.
        AuthorizationRuleCollection acl = TemplateSecurity.GetAccessRules(true, true, typeof(NTAccount));

        foreach (FileSystemAccessRule ace in acl)
        {
            // Set the existing security.
            dSecurity.AddAccessRule(ace);

            try
            {
                // Remove folder inheritance...
                dSecurity.AddAccessRule(new FileSystemAccessRule(
                    ace.IdentityReference, ace.FileSystemRights,
                    InheritanceFlags.ContainerInherit | InheritanceFlags.ObjectInherit,
                    PropagationFlags.None,
                    ace.AccessControlType));
            }
            catch { }
        }

        // Apply the new changes.
        Directory.SetAccessControl(destination, dSecurity);
    }

1 回复 | 直到 15 年前

Jerry 15 年前

可以我在互联网上挖掘了很多资料后,得到了一个工作原型。不用说,在线上有很多关于ACL的错误信息。我不确定这些信息是天赐的还是更多的错误信息。我必须让用户自己决定。

我最终得到的是干净、光滑、非常、非常快的,因为它从未接触过域服务器。我直接复制SDDL条目。等等,你说。。。您不能在目录上执行此操作,因为您会遇到可怕的SeSecurityPrivilege错误!

如果仅将副本限制为访问控制列表(ACL),则不会。

代码如下:


       public static void UpdateSecurity(string destination, DirectorySecurity templateSecurity)
    {
        DirectorySecurity dSecurity = Directory.GetAccessControl(destination);

        string sddl = templateSecurity.GetSecurityDescriptorSddlForm(AccessControlSections.Access);
        try
        {
            // TOTALLY REPLACE The existing access rights with the new ones.
            dSecurity.SetSecurityDescriptorSddlForm(sddl, AccessControlSections.Access);

            // Disable inheritance for this directory.
            dSecurity.SetAccessRuleProtection(true, true);


            // Apply these changes.
            Directory.SetAccessControl(destination, dSecurity);
        }
        catch (Exception ex)
        {
            // Note the error on the console... we can formally log it later.
            Console.WriteLine(pth1 + " : " + ex.Message);
        }


        // Do some other settings stuff here...

    }

   
   
   
    注意
    
     AccessControlSections.Access
    
    SDDL方法上的标志。这是使一切顺利进行的关键。