什麼會報告帳戶的權限？

Question

我的服務程序執行本身的另一個實例，實質上是CreateProcess(GetCommandLine())。子進程然後使用OpenProcess獲取其父進程的句柄（以便它可以檢測父進程何時停止運行）。對於某些客戶，OpenProcess因ERROR_ACCESS_DENIED而失敗。我試圖確定原因並重現內部測試的情況。

我想要一些我可以發送給客戶的東西（程序或使用已經安裝在Windows服務器上的程序的說明）以供它們運行並生成報告，其中包含服務運行的帳戶和特權該帳戶及其組已被授予或拒絕。我怎樣才能從客戶收集這些信息？

Answer 1

獲取帳戶名稱很簡單 - GetUserName。獲得分配給該帳戶的權利還有點多。如果內存提供，則序列運行如下：

GetKernelObjectSecurity(Current_oject, &security_descriptor) 
GetSecurityDescriptorDacl(security_descriptor, &dacl) 
GetEffectiveRightsFromAcl(dacl, user_name, &rights) 

對於最後一步，您可能更願意使用GetExplicitEntriesFromAcl。所有這些都有一個問題：如果他們限制了用戶太多，它的一些（或全部）可能會失敗。