无法在具有不同语言设置的PC上设置组策略设置

时间:2016-05-11 04:19:54

标签: c++ windows group-policy

在我的程序中,我必须将某些文件的组策略设置设置为ALL APPLICATION PACKAGES。为实现此目的,我使用以下函数将FilePath带到文件并在该文件上设置ALL APPLICATION PACKAGES组策略:

DWORD AdjustGroupPolicy(std::wstring wstrFilePath)
{
    PACL pOldDACL = NULL, pNewDACL = NULL;
    PSECURITY_DESCRIPTOR pSD = NULL;
    EXPLICIT_ACCESS eaAccess;
    SECURITY_INFORMATION siInfo = DACL_SECURITY_INFORMATION;
    DWORD dwResult = ERROR_SUCCESS;

    dwResult = GetNamedSecurityInfo(wstrFilePath.c_str(), SE_FILE_OBJECT, DACL_SECURITY_INFORMATION, NULL, NULL, &pOldDACL, NULL, &pSD);
    if (dwResult != ERROR_SUCCESS)
    {
        if (pSD != NULL)
            LocalFree((HLOCAL)pSD);
    }

    ZeroMemory(&eaAccess, sizeof(EXPLICIT_ACCESS));
    eaAccess.grfAccessPermissions = GENERIC_READ | GENERIC_EXECUTE;
    eaAccess.grfAccessMode = SET_ACCESS;
    eaAccess.grfInheritance = SUB_CONTAINERS_AND_OBJECTS_INHERIT;
    eaAccess.Trustee.TrusteeForm = TRUSTEE_IS_NAME;
    eaAccess.Trustee.TrusteeType = TRUSTEE_IS_WELL_KNOWN_GROUP;
    eaAccess.Trustee.ptstrName = L"ALL APPLICATION PACKAGES";

    dwResult = SetEntriesInAcl(1, &eaAccess, pOldDACL, &pNewDACL);
    if (ERROR_SUCCESS != dwResult)
    {
        if (pSD != NULL)
            LocalFree((HLOCAL)pSD);
        if (pNewDACL != NULL)
            LocalFree((HLOCAL)pNewDACL);
    }

    dwResult = SetNamedSecurityInfo((LPWSTR)wstrFilePath.c_str(), SE_FILE_OBJECT, siInfo, NULL, NULL, pNewDACL, NULL);
    if (ERROR_SUCCESS != dwResult)
    {
        if (pSD != NULL)
            LocalFree((HLOCAL)pSD);
        if (pNewDACL != NULL)
            LocalFree((HLOCAL)pNewDACL);
    }

    return dwResult;
}

问题是,有些用户报告此功能因某种原因失败。稍微深入研究一下这个问题后,我发现在使用英语以外的语言设置的PC上,该函数在SetEntiresInAcl失败,错误代码为1332(0x534)。在MSDN documentation中,错误代码对应于错误ERROR_NONE_MAPPED,其描述为:

  

帐户名和安全ID之间没有映射。

我的猜测是错误被抛出,因为ALL APPLICATION PACKAGES根据语言设置的不同命名,因此Windows无法找到它的安全ID;但是,我不确定如何解决此错误。我怎样才能修复此错误,以便无论用户语言设置如何,该功能都可以正常工作?

1 个答案:

答案 0 :(得分:0)

我在Windows中访问控制策略相对较新,在我当前的项目之前永远不必处理它。我已经吸取了一些教训,即我不应该通过名字来设置受托人,因为即使它是一个众所周知的群体,你也不能依赖于跨系统的名称相同的名称。

我最后通过在函数中添加以下代码来修复它:

PSID pSID;
ConvertStringSidToSid(L"S-1-15-2-1", &pSID); // S-1-15-2 is the SID for ALL_APP_PACKAGES

稍后当我设置受托人信息时,我将代码更改为:

eaAccess.Trustee.TrusteeForm = TRUSTEE_IS_SID;
eaAccess.Trustee.TrusteeType = TRUSTEE_IS_WELL_KNOWN_GROUP;
eaAccess.Trustee.ptstrName = (LPTSTR)pSID;

ConvertStringSidToSid获取字符串格式的SID并返回指向相应SID结构的指针。然后,我可以使用该SID而不是使用它的名称,这可以避免我之前遇到的翻译问题。