Здравствуйте, ononim, Вы писали:

A>>Собственно, проблема в том, что при удалении файлов/каталогов по сети, SID исполнителя всегда = System. А как узнать реального?
O>Вообще говоря, в NT принято проверять SID'ы при открытии объекта, сверять что запрошенный desired access разрешается, и валидировать доступ при последующих операциях над открытым объектом только используя granted access ассоциированный с уже открытым хэндлом.


Т.е. держать в памяти карту всех открытых фалов и SID'ов, формируя её (карту) на IRP_MJ_CREATE и закрывая при IRP_MJ_CLOSE? Я правильно понял? И что является ключом карты в таком случае, PFILE_OBJECT?