如何在Windows操作系统中从内核模式修改对象的ACL？

有没有办法在windows中从内核模式向文件/目录的DACL添加ACE？ 我发现了一个关于

ZwQuerySecurityObject/ZwSetSecurityObject

例程的参考，但它没有在WINDDK头中定义

---

如果您能提供有关此问题的任何信息，我将不胜感激。

为什么要在内核模式下摆弄ACL？请描述一下你的情况这说来话长。。。有一种软件产品允许您通过iSCSI和光纤通道协议装载网络磁盘。如果在Windows XP下装载网络卷并对其进行格式化，则不要向组“已验证用户”添加权限。如果该卷随后安装在Windows 7下，则禁止对这些光盘进行任何写入操作。由于程序的当前架构，从内核模式改进权限是最简单的方法。您确定需要修改的ACL位于文件/目录（可能是根目录）上，而不是磁盘或卷设备对象上吗？（您描述的行为似乎有些奇怪。）ZwQuerySecurityObject和ZwSetSecurityObject都是在我目前安装的WinDDK版本7600.16385.1的ntifs.h中定义的。您使用的是什么版本？Harry，我需要修改已装入卷（根目录）的ACL。您为什么在内核模式下摆弄ACL？请描述一下你的情况这说来话长。。。有一种软件产品允许您通过iSCSI和光纤通道协议装载网络磁盘。如果在Windows XP下装载网络卷并对其进行格式化，则不要向组“已验证用户”添加权限。如果该卷随后安装在Windows 7下，则禁止对这些光盘进行任何写入操作。由于程序的当前架构，从内核模式改进权限是最简单的方法。您确定需要修改的ACL位于文件/目录（可能是根目录）上，而不是磁盘或卷设备对象上吗？（您描述的行为似乎有些奇怪。）ZwQuerySecurityObject和ZwSetSecurityObject都是在我目前安装的WinDDK版本7600.16385.1的ntifs.h中定义的。您使用的是什么版本？Harry，我需要修改已装入卷（根目录）的ACL。