出于安全原因,我想阻止为特定 Windows 目录创建符号链接和连接。那么是否可以这样做?如果可以,我应该使用哪个 Windows API?
我阅读了很多文章和博客,但找不到任何解决方案。
答案1
创建符号链接是用户权限,而不是文件系统权限。因此,无法按照您的意愿控制特定 Windows 目录。只能在用户/组级别允许或拒绝。默认情况下,它仅对本地管理员组启用。[1]
你可能想使用本地安全机构 (LSA) 功能与 SeCreateSymbolicLinkPrivilege 特权一起使用。
系统管理员可以使用管理工具(如用户管理器)来添加或删除用户和组帐户的权限。管理员可以以编程方式使用本地安全机构 (LSA) 函数来处理权限。LsaAddAccountRights 和 LsaRemoveAccountRights 函数可以添加或删除帐户的权限。LsaEnumerateAccountRights 函数枚举指定帐户拥有的权限。LsaEnumerateAccountsWithUserRight 函数枚举拥有指定权限的帐户。
| 常数/值 | 描述 |
|---|---|
| 创建符号链接名称 | 需要创建符号链接。 |
| TEXT(“SeCreateSymbolicLinkPrivilege”) | 用户权利:创建符号链接。 |