Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter
Créer un fichier modifiable par utilisateur limité
Bonjour,
mon titre n'est peut-être pas très explicite.
Je crée un service qui tourne sous le compte SYSTEM (et j'ai besoin qu'il le reste).
A un moment donné, j'aimerais créer un fichier qui soit modifiable par un utilisateur même limité.
Le problème actuellement est que l'utilisateur limité ne peut pas modifier un fichier créé par le service.
Savez-vous comment s'en sortir dans ce cas là ?
Je vois deux solutions:
- La plus simple, c'est de créer un fichier modifiable par absolument tout le monde: Il suffit de créer le fichier avec un descripteur de sécurité, mais aucune ACL.
- Sinon, faire un fichier avec un contrôle plus fin.
Sinon, il reste la solution d'utiliser une commande (tu sais, system(), CreateProcess() etc.) pour changer les droits du fichier après l'avoir créé: Renseigne-toi sur la commande cacls. Normalement, tu peux juste taper cacls /? dans l'invite de commandes...
SVP, pas de questions techniques par MP. Surtout si je ne vous ai jamais parlé avant.
"Aw, come on, who would be so stupid as to insert a cast to make an error go away without actually fixing the error?"
Apparently everyone. -- Raymond Chen.
Traduction obligatoire: "Oh, voyons, qui serait assez stupide pour mettre un cast pour faire disparaitre un message d'erreur sans vraiment corriger l'erreur?" - Apparemment, tout le monde. -- Raymond Chen.
Merci pour vos réponses.
Je voudrais utiliser la première méthode, mais en fait, comme il s'agit en fait d'une copie de fichier (je pensais pas que ça changerait quelque chose quand j'ai posé la question), le fichier est déjà créé et je voudrai lui donner les droits.
J'ai essayé de mettre les DACL et SACL à null comme le conseille Médinoc en utilisant la fonctions SetSecurityInfo mais je tombe alors sur une erreur 5 (acces denied).
Allez comprendre !
Voilà mon code.
C'est du python, mais les fonctions win32 fonctionnent pareil.
path est le path du fichier créé (puis fermé comme il se doit)
J'aimerais bien savoir pourquoi j'ai un access denied au niveau de SetSecurityInfo alors que mon service devrait avoir tous les droits.handle = win32file.CreateFile(path, win32con.GENERIC_READ|win32con.GENERIC_WRITE , 0 , None , win32con.OPEN_EXISTING , win32con.FILE_ATTRIBUTE_NORMAL, 0)
ObjectType = win32security.SE_FILE_OBJECT
SecurityInfo = win32security.DACL_SECURITY_INFORMATION
Owner = None
Group = None
Dacl = None
Sacl = None
win32security.SetSecurityInfo(handle, ObjectType, SecurityInfo, Owner, Group, Dacl, Sacl)
win32api.CloseHandle(handle)
Un service peut lire toucher à ce à quoi il n'est pas censé toucher, mais pour ça il faut activer les privilèges correspondants.
Mais en fait, je pense que tu n'as tout simplement pas demandé les bons droits dans ton createfile. Essaie en demandant WRITE_DACL ou un truc du genre...
SVP, pas de questions techniques par MP. Surtout si je ne vous ai jamais parlé avant.
"Aw, come on, who would be so stupid as to insert a cast to make an error go away without actually fixing the error?"
Apparently everyone. -- Raymond Chen.
Traduction obligatoire: "Oh, voyons, qui serait assez stupide pour mettre un cast pour faire disparaitre un message d'erreur sans vraiment corriger l'erreur?" - Apparemment, tout le monde. -- Raymond Chen.
Enorme ! Ca marche!
En effet, je n'avais pas activé les bons privilèges dans CreateFile.
WRITE_DAC tout seul n'a pas eu l'air de suffir, mais avec STANDARD_RIGHTS_ALL, j'ai pu faire ce que je voulais du fichier, il a été bien incapable de se défendre.
Merci vraiment pour ton aide! Sans toi j'y étais encore demain.
Vous avez un bloqueur de publicités installé.
Le Club Developpez.com n'affiche que des publicités IT, discrètes et non intrusives.
Afin que nous puissions continuer à vous fournir gratuitement du contenu de qualité, merci de nous soutenir en désactivant votre bloqueur de publicités sur Developpez.com.
Répondre avec citation
Partager