ユーザーがフォルダーへの書き込みアクセス権を持っているかどうかをC#テスト
実際にそうする前に、ユーザーがフォルダーに書き込むことができるかどうかをテストする必要があります。
Directory.GetAccessControl() メソッドを使用して、フォルダーのセキュリティアクセス許可を取得しようとする次のメソッド(C#2.0)を実装しました。
private bool hasWriteAccessToFolder(string folderPath)
{
try
{
// Attempt to get a list of security permissions from the folder.
// This will raise an exception if the path is read only or do not have access to view the permissions.
System.Security.AccessControl.DirectorySecurity ds = Directory.GetAccessControl(folderPath);
return true;
}
catch (UnauthorizedAccessException)
{
return false;
}
}
書き込みアクセスをテストする方法をグーグルで調べていたとき、このようなことは何も起きず、Windowsで実際にアクセス許可をテストすることは非常に複雑に見えました。私は物事を単純化しすぎており、この方法は頑健ではないが、うまくいくように見えることを心配しています。
現在のユーザーが書き込みアクセス権を持っているかどうかをテストする方法は正しく機能しますか?
この投稿ではこれが少し遅れていることを感謝していますが、このコードは役に立つかもしれません。
string path = @"c:\temp";
string NtAccountName = @"MyDomain\MyUserOrGroup";
DirectoryInfo di = new DirectoryInfo(path);
DirectorySecurity acl = di.GetAccessControl(AccessControlSections.All);
AuthorizationRuleCollection rules = acl.GetAccessRules(true, true, typeof(NTAccount));
//Go through the rules returned from the DirectorySecurity
foreach (AuthorizationRule rule in rules)
{
//If we find one that matches the identity we are looking for
if (rule.IdentityReference.Value.Equals(NtAccountName,StringComparison.CurrentCultureIgnoreCase))
{
var filesystemAccessRule = (FileSystemAccessRule)rule;
//Cast to a FileSystemAccessRule to check for access rights
if ((filesystemAccessRule.FileSystemRights & FileSystemRights.WriteData)>0 && filesystemAccessRule.AccessControlType != AccessControlType.Deny)
{
Console.WriteLine(string.Format("{0} has write access to {1}", NtAccountName, path));
}
else
{
Console.WriteLine(string.Format("{0} does not have write access to {1}", NtAccountName, path));
}
}
}
Console.ReadLine();
それをコンソールアプリにドロップし、必要なことを行うかどうかを確認します。
public bool IsDirectoryWritable(string dirPath, bool throwIfFails = false)
{
try
{
using (FileStream fs = File.Create(
Path.Combine(
dirPath,
Path.GetRandomFileName()
),
1,
FileOptions.DeleteOnClose)
)
{ }
return true;
}
catch
{
if (throwIfFails)
throw;
else
return false;
}
}
私はこれらのほとんどを試してみましたが、同じ理由で誤検出が発生します。使用可能な権限についてディレクトリをテストするだけでは十分ではありません。ログインしているユーザーがそのグループのメンバーであることを確認する必要があります許可。これを行うには、ユーザーIDを取得し、FileSystemAccessRule IdentityReferenceを含むグループのメンバーであるかどうかを確認します。私はこれをテストしましたが、問題なく動作します。
/// <summary>
/// Test a directory for create file access permissions
/// </summary>
/// <param name="DirectoryPath">Full path to directory </param>
/// <param name="AccessRight">File System right tested</param>
/// <returns>State [bool]</returns>
public static bool DirectoryHasPermission(string DirectoryPath, FileSystemRights AccessRight)
{
if (string.IsNullOrEmpty(DirectoryPath)) return false;
try
{
AuthorizationRuleCollection rules = Directory.GetAccessControl(DirectoryPath).GetAccessRules(true, true, typeof(System.Security.Principal.SecurityIdentifier));
WindowsIdentity identity = WindowsIdentity.GetCurrent();
foreach (FileSystemAccessRule rule in rules)
{
if (identity.Groups.Contains(rule.IdentityReference))
{
if ((AccessRight & rule.FileSystemRights) == AccessRight)
{
if (rule.AccessControlType == AccessControlType.Allow)
return true;
}
}
}
}
catch { }
return false;
}
たとえば、すべてのユーザー(Builtin\Users)の場合、このメソッドは正常に動作します-お楽しみください。
public static bool HasFolderWritePermission(string destDir)
{
if(string.IsNullOrEmpty(destDir) || !Directory.Exists(destDir)) return false;
try
{
DirectorySecurity security = Directory.GetAccessControl(destDir);
SecurityIdentifier users = new SecurityIdentifier(WellKnownSidType.BuiltinUsersSid, null);
foreach(AuthorizationRule rule in security.GetAccessRules(true, true, typeof(SecurityIdentifier)))
{
if(rule.IdentityReference == users)
{
FileSystemAccessRule rights = ((FileSystemAccessRule)rule);
if(rights.AccessControlType == AccessControlType.Allow)
{
if(rights.FileSystemRights == (rights.FileSystemRights | FileSystemRights.Modify)) return true;
}
}
}
return false;
}
catch
{
return false;
}
}
ディレクトリに書き込むことができるかどうかをテストする唯一の100%信頼できる方法は、実際にディレクトリに書き込み、最終的に例外をキャッチすることです。
これを試して:
try
{
DirectoryInfo di = new DirectoryInfo(path);
DirectorySecurity acl = di.GetAccessControl();
AuthorizationRuleCollection rules = acl.GetAccessRules(true, true, typeof(NTAccount));
WindowsIdentity currentUser = WindowsIdentity.GetCurrent();
WindowsPrincipal principal = new WindowsPrincipal(currentUser);
foreach (AuthorizationRule rule in rules)
{
FileSystemAccessRule fsAccessRule = rule as FileSystemAccessRule;
if (fsAccessRule == null)
continue;
if ((fsAccessRule.FileSystemRights & FileSystemRights.WriteData) > 0)
{
NTAccount ntAccount = rule.IdentityReference as NTAccount;
if (ntAccount == null)
{
continue;
}
if (principal.IsInRole(ntAccount.Value))
{
Console.WriteLine("Current user is in role of {0}, has write access", ntAccount.Value);
continue;
}
Console.WriteLine("Current user is not in role of {0}, does not have write access", ntAccount.Value);
}
}
}
catch (UnauthorizedAccessException)
{
Console.WriteLine("does not have write access");
}
コードは、指定されたディレクトリのDirectorySecurityを取得し、例外(セキュリティ情報にアクセスできないため)を正しく処理します。ただし、サンプルでは、返されたオブジェクトを実際に調べて、許可されているアクセスを確認しません。これを追加する必要があると思います。
CsabaS's answer の修正版を次に示します。これは明示的なアクセス拒否ルールを説明しています。この関数は、ディレクトリのすべてのFileSystemAccessRulesを調べて、現在のユーザーがディレクトリへのアクセス権を持っているかどうかを確認します。そのようなロールが見つからない場合、またはユーザーがアクセスを拒否されたロールにいる場合、関数はfalseを返します。読み取り権を確認するには、FileSystemRights.Readを関数に渡します。書き込み権については、FileSystemRights.Writeを渡します。現在の権限ではなく任意のユーザーの権限を確認する場合は、目的のWindowsIdentityをcurrentUser WindowsIdentityに置き換えます。また、このような機能に依存して、ユーザーがディレクトリを安全に使用できるかどうかを判断することもお勧めします。 これ answerはその理由を完全に説明しています。
public static bool UserHasDirectoryAccessRights(string path, FileSystemRights accessRights)
{
var isInRoleWithAccess = false;
try
{
var di = new DirectoryInfo(path);
var acl = di.GetAccessControl();
var rules = acl.GetAccessRules(true, true, typeof(NTAccount));
var currentUser = WindowsIdentity.GetCurrent();
var principal = new WindowsPrincipal(currentUser);
foreach (AuthorizationRule rule in rules)
{
var fsAccessRule = rule as FileSystemAccessRule;
if (fsAccessRule == null)
continue;
if ((fsAccessRule.FileSystemRights & accessRights) > 0)
{
var ntAccount = rule.IdentityReference as NTAccount;
if (ntAccount == null)
continue;
if (principal.IsInRole(ntAccount.Value))
{
if (fsAccessRule.AccessControlType == AccessControlType.Deny)
return false;
isInRoleWithAccess = true;
}
}
}
}
catch (UnauthorizedAccessException)
{
return false;
}
return isInRoleWithAccess;
}
ファイルにhasWriteAccessがあるかどうかを確認するために同じ関数を使用しました。
private static bool HasWriteAccessToFile(string filePath)
{
try
{
// Attempt to get a list of security permissions from the file.
// This will raise an exception if the path is read only or do not have access to view the permissions.
File.GetAccessControl(filePath);
return true;
}
catch (UnauthorizedAccessException)
{
return false;
}
}
次のコードブロックを試して、ディレクトリに書き込みアクセス権があるかどうかを確認できます。 FileSystemAccessRuleをチェックします。
string directoryPath = "C:\\XYZ"; //folderBrowserDialog.SelectedPath;
bool isWriteAccess = false;
try
{
AuthorizationRuleCollection collection =
Directory.GetAccessControl(directoryPath)
.GetAccessRules(true, true, typeof(System.Security.Principal.NTAccount));
foreach (FileSystemAccessRule rule in collection)
{
if (rule.AccessControlType == AccessControlType.Allow)
{
isWriteAccess = true;
break;
}
}
}
catch (UnauthorizedAccessException ex)
{
isWriteAccess = false;
}
catch (Exception ex)
{
isWriteAccess = false;
}
if (!isWriteAccess)
{
//handle notifications
}
http://www.codeproject.com/KB/files/UserFileAccessRights.aspx
非常に便利なクラスです。以下のメッセージで改善されたバージョンを確認してください。
上記のソリューションは良いですが、私にとっては、このコードはシンプルで実行可能です。一時ファイルを作成するだけです。ファイルが作成されると、その平均的なユーザーは書き込みアクセス権を持ちます。
public static bool HasWritePermission(string tempfilepath)
{
try
{
System.IO.File.Create(tempfilepath + "temp.txt").Close();
System.IO.File.Delete(tempfilepath + "temp.txt");
}
catch (System.UnauthorizedAccessException ex)
{
return false;
}
return true;
}
コードに潜在的な競合状態があります。チェックするときにユーザーがフォルダーに書き込む許可を持っている場合、ユーザーが実際にフォルダーに書き込む前にこの許可は取り消されます。書き込みは、キャッチして処理する必要がある例外をスローします。したがって、最初のチェックは無意味です。同様に、書き込みを行って例外を処理することもできます。これはあなたの状況の標準的なパターンです。
問題のファイルにアクセスしようとするだけでは、必ずしも十分ではありません。テストは、プログラムを実行しているユーザーの許可で実行されます-これは、テスト対象のユーザー許可とは限りません。
同じ問題に直面しました。特定のディレクトリで読み書きできるかどうかを確認する方法です。私は...実際にテストする簡単な解決策になりました。ここに私のシンプルだが効果的なソリューションがあります。
class Program
{
/// <summary>
/// Tests if can read files and if any are present
/// </summary>
/// <param name="dirPath"></param>
/// <returns></returns>
private genericResponse check_canRead(string dirPath)
{
try
{
IEnumerable<string> files = Directory.EnumerateFiles(dirPath);
if (files.Count().Equals(0))
return new genericResponse() { status = true, idMsg = genericResponseType.NothingToRead };
return new genericResponse() { status = true, idMsg = genericResponseType.OK };
}
catch (DirectoryNotFoundException ex)
{
return new genericResponse() { status = false, idMsg = genericResponseType.ItemNotFound };
}
catch (UnauthorizedAccessException ex)
{
return new genericResponse() { status = false, idMsg = genericResponseType.CannotRead };
}
}
/// <summary>
/// Tests if can wirte both files or Directory
/// </summary>
/// <param name="dirPath"></param>
/// <returns></returns>
private genericResponse check_canWrite(string dirPath)
{
try
{
string testDir = "__TESTDIR__";
Directory.CreateDirectory(string.Join("/", dirPath, testDir));
Directory.Delete(string.Join("/", dirPath, testDir));
string testFile = "__TESTFILE__.txt";
try
{
TextWriter tw = new StreamWriter(string.Join("/", dirPath, testFile), false);
tw.WriteLine(testFile);
tw.Close();
File.Delete(string.Join("/", dirPath, testFile));
return new genericResponse() { status = true, idMsg = genericResponseType.OK };
}
catch (UnauthorizedAccessException ex)
{
return new genericResponse() { status = false, idMsg = genericResponseType.CannotWriteFile };
}
}
catch (UnauthorizedAccessException ex)
{
return new genericResponse() { status = false, idMsg = genericResponseType.CannotWriteDir };
}
}
}
public class genericResponse
{
public bool status { get; set; }
public genericResponseType idMsg { get; set; }
public string msg { get; set; }
}
public enum genericResponseType
{
NothingToRead = 1,
OK = 0,
CannotRead = -1,
CannotWriteDir = -2,
CannotWriteFile = -3,
ItemNotFound = -4
}
それが役に立てば幸い !
私はアッシュに同意します、それは問題ないはずです。または、宣言型CASを使用して、アクセス権がない場合、プログラムが最初から実行されないようにすることもできます。
CASの機能の一部は、私が聞いたことからC#4.0に存在しない可能性があり、それが問題であるかどうかはわかりません。
受け入れられた回答で推奨されているように、Windows 7でGetAccessControl()に例外をスローさせることができませんでした。
私は sdds's answerのバリエーションを使用することになりました:
try
{
bool writeable = false;
WindowsPrincipal principal = new WindowsPrincipal(WindowsIdentity.GetCurrent());
DirectorySecurity security = Directory.GetAccessControl(pstrPath);
AuthorizationRuleCollection authRules = security.GetAccessRules(true, true, typeof(SecurityIdentifier));
foreach (FileSystemAccessRule accessRule in authRules)
{
if (principal.IsInRole(accessRule.IdentityReference as SecurityIdentifier))
{
if ((FileSystemRights.WriteData & accessRule.FileSystemRights) == FileSystemRights.WriteData)
{
if (accessRule.AccessControlType == AccessControlType.Allow)
{
writeable = true;
}
else if (accessRule.AccessControlType == AccessControlType.Deny)
{
//Deny usually overrides any Allow
return false;
}
}
}
}
return writeable;
}
catch (UnauthorizedAccessException)
{
return false;
}
お役に立てれば。