可以使用 System.Security.AccessControl 访问 DCOM 安全性吗？

Question

我知道 DCOM 主题已经讨论过几次了。 然而，我对现有的解决方案并不满意（目前）。 这就是为什么我在这里开始一个新问题。

现在大家都知道，访问控制列表 (ACL) 存储有关哪些用户可以对应用程序执行哪些操作的信息，存储在注册表中的 HKCL\AppID{GUID}[AccessPermission|LaunchPermission] 下。 这些键包含二进制形式 (byte[]) 的“序列化 ACL”数据。

我只是不相信不能将这些值与 System.Security.AccessControl 命名空间一起使用。 必须有一种方法来“反序列化”它们并向其中添加或删除条目。

另外，我当然谈论的是 .NET 解决方案。 可能有必要也可能没有必要调用一些神奇的 api 函数或实现一些奇怪的结构，但我确信可以实现一个漂亮且直观的 .NET 库，使我们能够从托管代码处理 DCOM 安全设置。

有人知道如何做吗？

Answer 1

虽然我还没有找到完全托管的解决方案，但您可以在“Server 2008 Windows SDK”中找到示例程序 DCOMPerm。 这可以用作创建 DCOM 安全设置的完全托管版本的模型。

就我而言，我阅读了 SDK 的许可证，其中声明可以分发从示例创建的目标代码。 所以我最终执行了 DCOMPerm.exe 以从安装中设置访问权限。

Answer 2

这是您问题的解决方案

 var reg = Registry.ClassesRoot.OpenSubKey(@"AppID\{BBAA0E44-3862-490C-8E63-AC2D2D6EF733}", true);
    
 var descriptor = reg.GetValue("LaunchPermission") as byte[];
    
 var DCOM_Descriptor  = new System.Security.AccessControl.RawSecurityDescriptor(descriptor, 0);

您可以使用 securityDescriptor 执行您想要的操作。