SetNamedSecurityInfo 是 Windows 底层原子设置文件 DACL 的唯一可靠 API需用绝对路径、有效 SID、管理员权限配合 EXPLICIT_ACCESS 和 SetEntriesInAcl 构造 ACL避免使用 SetFileSecurity 或硬编码用户名。怎么用 SetNamedSecurityInfo 设置文件 ACLWindows 底层直接调用 Windows API 是唯一真正细粒度控制文件 ACL 的方式icacls 或属性 GUI 都是封装没法满足底层定制需求。核心函数是 SetNamedSecurityInfo它能原子性地写入 DACL自主访问控制列表不依赖 shell 或 .NET。实操要点必须用 LPCTSTR即 LPCWSTR传入完整绝对路径相对路径、短文件名8.3、UNC 路径带尾部反斜杠都会失败错误码通常是 ERROR_INVALID_PARAMETER权限需通过 EXPLICIT_ACCESS 结构逐条构造不能靠“继承修改”这种高层逻辑每条必须指定 grfAccessPermissions如 GENERIC_READ、grfAccessModeSET_ACCESS/DENY_ACCESS、Trustee含 SID调用前需确保进程有 SE_SECURITY_NAME 权限通常需管理员 token否则返回 ERROR_PRIVILEGE_NOT_HELD普通用户即使对文件有 Full Control 也无法改其 DACL不要手动拼接 ACCESS_ALLOWED_ACE 结构——用 SetEntriesInAcl 将 EXPLICIT_ACCESS 数组转成有效 PACL它会处理 ACE 大小、顺序、继承标志等细节怎么获取和验证目标用户的 SID避免 ERROR_INVALID_SIDACL 条目里 Trustee 字段不是用户名字符串而是二进制 SID。硬编码字符串如 Everyone或调用 LookupAccountName 失败是 ACL 设置静默失败的最常见原因。安全做法立即学习“C免费学习笔记深入” 唱鸭 音乐创作全流程的AI自动作曲工具集 AI 辅助作词、AI 自动作曲、编曲、混音于一体