必须用对应类型方法获取acl:文件用file.getaccesscontrol,目录用Directory.getaccesscontrol;推荐统一用fileinfo或directoryinfo的getaccesscontrol;序列化应提取ntaccount等可持久化规则而非binaryformatter;还原时需确保路径存在、处理owner/group、断开继承、校验propagationflags,并对跨域ntaccount预解析sid。
导出ACL时用 File.GetAccessControl 还是 Directory.GetAccessControl
两者不能混用:对文件调用 Directory.GetAccessControl 会直接抛 UnauthorizedAccessException 或 ArgumentException;反过来对文件夹用 File.GetAccessControl 则会报 FileNotFoundException(因为路径被当成文件查了)。必须先判断类型再选函数。
实操建议:
- 用
File.Exists(path)和Directory.Exists(path)双检,注意符号链接和重解析点可能让结果不可靠 - 更稳妥的做法是用
FileSystemInfo:new FileInfo(path).GetAccessControl()或new DirectoryInfo(path).GetAccessControl(),它内部会自动区分类型 - 导出前务必检查调用者是否有
ReadPermissions权限,否则在受限环境(如非管理员账户、沙盒进程)下直接失败
序列化ACL对象时为什么不能直接用 BinaryFormatter
BinaryFormatter 已被标记为过时且不安全,.NET 5+ 默认禁用;更重要的是,FileSecurity 和 DirectorySecurity 内部包含句柄、本地SID缓存等非序列化友好字段,强行序列化会导致还原时权限丢失或 InvalidOperationException。
实操建议:
- 只提取核心可持久化信息:遍历
GetAccessRules(true, true, typeof(NTAccount)),手动构造规则列表(IdentityReference、FileSystemRights、AccessControlType、InheritanceFlags、PropagationFlags) - 避免直接保存
Sid字符串——域环境里同一用户在不同域控制器上 SID 可能不同,优先存NTAccount.Value(如"DOMAINuser"),还原时再解析 - 用
jsonSerializer存为 JSON 文件,比 xml 更轻量、易读、跨平台兼容
还原ACL时 SetAccessControl 失败的常见原因
最常遇到的是 UnauthorizedAccessException,但背后原因多样,不是加个管理员运行就能解决。
实操建议:
- 目标路径必须存在,且调用者需有
TakeOwnership权限才能修改所有者;若要设为其他用户所有,还需SeRestorePrivilege(通常仅管理员默认拥有) - 还原前先清除现有继承:调用
security.SetOwner(ownersAccount)后,再用security.SetAccessRuleProtection(isProtected: true, preserveInheritance: false)断开继承链,否则新规则会被父级覆盖 - 别忽略
PropagationFlags:比如还原一个文件夹的规则时,若原备份含ContainerInherit | ObjectInherit,但还原时漏设PropagationFlags,子项将不会继承权限
跨机器还原ACL时 NTAccount 解析失败怎么办
把一台机器上导出的 "DOMAINuser" 拿到另一台未加入该域的机器上还原,NTAccount 构造会成功,但 SetAccessControl 时抛 IdentityNotMappedException——因为本地没有对应 SID 映射。
实操建议:
- 导出阶段就做预解析:调用
new NTAccount("DOMAINuser").Translate(typeof(SecurityIdentifier)),捕获IdentityNotMappedException并记录警告,这类账号应跳过或人工确认 - 还原时加容错:对每个
IdentityReference先尝试Translate成Sid,失败则跳过该条规则并记录日志,避免整批失败 - 本地账户尽量用
BUILTINAdministrators这类已知内置组名,它们在所有windows系统中都有稳定SID映射
ACL 的 Owner 和 Group 字段容易被忽略,它们不包含在 AccessRule 列表里,但影响权限计算逻辑。导出还原时必须单独处理 GetOwner/SetOwner 和 GetGroup/SetGroup,否则即使规则全对,实际行为也可能异常。