Запустил свою утилиту с повышением прав, она записала файл.

Потом запустил свою утилиту  из под обычного пользователя - и не могу сохранить его - получаю отлуп "доступ запрещен".
Файл сохраняется стандартным TStringlist.SaveToFile ( с нулевым SecurityDescriptor'om)

Стал смотреть, что за фигня - получается, что в 1-ом случае файл создается с владельцем-группой ("админы") а во 2-ом - с владельцем-пользователем (входит в эту группу), а также в разрешениях есть право на запись у "прошедших проверку".

Изменение владельца на "меня" эффекта не возымела
помогло добавление права на запись "группе" "прошедшие проверку"

Собственно, вопрос
1) это мне теперь придется вручную формировать SecurityDescriptor?
2) Как получить "дефолтный" дескриптор, чтобы в него уже добавлять SECURITY_AUTHENTICATED_USER_RID?

А записать данные с правами обычного пользователя - не рассматривается?

Это как?

https://msdn.microsoft.com/ru-ru/library/windows/desktop/ms682434(v=vs.85).aspx

Опс, не то - ну короче после того как записал, дай доступ к файлу из под ограниченных учеток
https://msdn.microsoft.com/ru-ru/library/windows/desktop/aa379577(v=vs.85).aspx

Всё-таки вопрос я задал неправильно :)

Правильно ли я понял, чтобы обычный пользователь имел право записи, надо добавлять право на запись вот этим вот "прошедшие проверку"?

И еще один вопрос, из любопытсва -
Если пользователь входит в группу-владельца файла, и на файл есть разрешения для этой группы - какого фига пользователь получает отлуп "Нет доступа" при изменении файла?

Причём, проводник в свойствах файла показывает в проверке доступных для пользователя действиях, что у него есть права делать все что угодно с файлом.

> Правильно ли я понял, чтобы обычный пользователь имел право
> записи, надо добавлять право на запись вот этим вот "прошедшие
> проверку"?

Не правильно, ничего не мешает запретить этой группе доступ на запись к файлу.
Если ты админ. то выполни вот такой код после создания файла или записи в него из под админской учетки:

function SetEveryoneAccess(const FilePath: string): DWORD;
const
 SECURITY_WORLD_SID_AUTHORITY: array [0..5] of Byte = (0, 0, 0, 0, 0, 1);
 ACL_REVISION = 2;
 SECURITY_WORLD_RID = 0;
 FILE_READ_DATA        = $001;
 FILE_WRITE_DATA       = $002;
 FILE_APPEND_DATA      = $004;
 FILE_READ_EA          = $008;
 FILE_WRITE_EA         = $010;
 FILE_EXECUTE          = $020;
 FILE_DELETE_CHILD     = $040;
 FILE_READ_ATTRIBUTES  = $080;
 FILE_WRITE_ATTRIBUTES = $100;
 FULL_ACCESS = FILE_READ_DATA or FILE_WRITE_DATA or FILE_APPEND_DATA or
   FILE_READ_EA or FILE_WRITE_EA or FILE_EXECUTE or FILE_READ_ATTRIBUTES or
   FILE_READ_ATTRIBUTES or FILE_WRITE_ATTRIBUTES or STANDARD_RIGHTS_ALL or
   SPECIFIC_RIGHTS_ALL or ACCESS_SYSTEM_SECURITY or MAXIMUM_ALLOWED;
var
 pACLBuff: array [0..999] of Byte;
 ACL: TACL absolute pACLBuff[0];
 NtAuthority: TSIDIdentifierAuthority;
 Sid: PSID;
 SD: TSecurityDescriptor;
begin
 {$WARN SYMBOL_PLATFORM OFF}
 Win32Check(InitializeAcl(ACL, Length(pACLBuff), ACL_REVISION));
 Move(SECURITY_WORLD_SID_AUTHORITY[0], NtAuthority.Value[0],
   SizeOf(TSIDIdentifierAuthority));
 Win32Check(AllocateAndInitializeSid(NtAuthority, 1, SECURITY_WORLD_RID,
   0, 0, 0, 0, 0, 0, 0, Sid));
 try
   Win32Check(AddAccessAllowedAce(ACL, ACL_REVISION, FULL_ACCESS, Sid));
   Win32Check(InitializeSecurityDescriptor(@SD, SECURITY_DESCRIPTOR_REVISION));
   Win32Check(SetSecurityDescriptorDacl(@SD, True, @ACL, False));
   Win32Check(SetFileSecurity(PChar(FilePath), DACL_SECURITY_INFORMATION, @SD));
 finally
   Result := GetLastError;
   FreeSid(Sid);
 end;
 {$WARN SYMBOL_PLATFORM ON}
end;

Вот и все, Церетели - доступ на запись будет у всех.

> Rouse_ ©   (04.03.16 11:22) [7]

Слушай, Саш, а какой смысл вот этой строки:

Result := GetLastError;

Если Win32Check выбросит исключение вряд ли мы дальше сможем использовать как то Result. А если все прошло успешно, то как бы и так ясно, что ошибок не было. Или я что-то не понимаю.

Сначала win32check небыло и это была обычная функция

Может тогда стоит подправить? С:

А зачем тама absolute? И константы внутри функции? Им место в заголовочнике всё же...

Лори   (21.03.16 12:09) [10]

Вас это всерьез беспокоит ? Функция не выполняет свое предназначение из-за замечаний, указанных вами ?

> Лори   (21.03.16 12:09) [10]
> Может тогда стоит подправить? С:
>
> А зачем тама absolute? И константы внутри функции? Им место
> в заголовочнике всё же...

По пунктам:
1. absolute для удобства
2. константы - для поддержки старых версий Delphi
3. поправить можно - разрешаю.