git.oblomov.eu Git - wine/blob - dlls/advapi32/tests/security.c

   1 /*
   2  * Unit tests for security functions
   3  *
   4  * Copyright (c) 2004 Mike McCormack
   5  *
   6  * This library is free software; you can redistribute it and/or
   7  * modify it under the terms of the GNU Lesser General Public
   8  * License as published by the Free Software Foundation; either
   9  * version 2.1 of the License, or (at your option) any later version.
  10  *
  11  * This library is distributed in the hope that it will be useful,
  12  * but WITHOUT ANY WARRANTY; without even the implied warranty of
  13  * MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the GNU
  14  * Lesser General Public License for more details.
  15  *
  16  * You should have received a copy of the GNU Lesser General Public
  17  * License along with this library; if not, write to the Free Software
  18  * Foundation, Inc., 51 Franklin St, Fifth Floor, Boston, MA 02110-1301, USA
  19  */
  20
  21 #include <stdarg.h>
  22 #include <stdio.h>
  23
  24 #include "ntstatus.h"
  25 #define WIN32_NO_STATUS
  26 #include "windef.h"
  27 #include "winbase.h"
  28 #include "winerror.h"
  29 #include "aclapi.h"
  30 #include "winnt.h"
  31 #include "sddl.h"
  32 #include "ntsecapi.h"
  33 #include "lmcons.h"
  34 #include "winternl.h"
  35
  36 #include "wine/test.h"
  37
  38 #define expect_eq(expr, value, type, format) { type ret = expr; ok((value) == ret, #expr " expected " format "  got " format "\n", (value), (ret)); }
  39
  40 typedef VOID (WINAPI *fnBuildTrusteeWithSidA)( PTRUSTEEA pTrustee, PSID pSid );
  41 typedef VOID (WINAPI *fnBuildTrusteeWithNameA)( PTRUSTEEA pTrustee, LPSTR pName );
  42 typedef VOID (WINAPI *fnBuildTrusteeWithObjectsAndNameA)( PTRUSTEEA pTrustee,
  43                                                           POBJECTS_AND_NAME_A pObjName,
  44                                                           SE_OBJECT_TYPE ObjectType,
  45                                                           LPSTR ObjectTypeName,
  46                                                           LPSTR InheritedObjectTypeName,
  47                                                           LPSTR Name );
  48 typedef VOID (WINAPI *fnBuildTrusteeWithObjectsAndSidA)( PTRUSTEEA pTrustee,
  49                                                          POBJECTS_AND_SID pObjSid,
  50                                                          GUID* pObjectGuid,
  51                                                          GUID* pInheritedObjectGuid,
  52                                                          PSID pSid );
  53 typedef LPSTR (WINAPI *fnGetTrusteeNameA)( PTRUSTEEA pTrustee );
  54 typedef BOOL (WINAPI *fnMakeSelfRelativeSD)( PSECURITY_DESCRIPTOR, PSECURITY_DESCRIPTOR, LPDWORD );
  55 typedef BOOL (WINAPI *fnConvertSidToStringSidA)( PSID pSid, LPSTR *str );
  56 typedef BOOL (WINAPI *fnConvertStringSidToSidA)( LPCSTR str, PSID pSid );
  57 static BOOL (WINAPI *pConvertStringSecurityDescriptorToSecurityDescriptorA)(LPCSTR, DWORD,
  58                                                                             PSECURITY_DESCRIPTOR*, PULONG );
  59 static BOOL (WINAPI *pConvertSecurityDescriptorToStringSecurityDescriptorA)(PSECURITY_DESCRIPTOR, DWORD,
  60                                                                             SECURITY_INFORMATION, LPSTR *, PULONG );
  61 typedef BOOL (WINAPI *fnGetFileSecurityA)(LPCSTR, SECURITY_INFORMATION,
  62                                           PSECURITY_DESCRIPTOR, DWORD, LPDWORD);
  63 static DWORD (WINAPI *pGetNamedSecurityInfoA)(LPSTR, SE_OBJECT_TYPE, SECURITY_INFORMATION,
  64                                               PSID*, PSID*, PACL*, PACL*,
  65                                               PSECURITY_DESCRIPTOR*);
  66 typedef DWORD (WINAPI *fnRtlAdjustPrivilege)(ULONG,BOOLEAN,BOOLEAN,PBOOLEAN);
  67 typedef BOOL (WINAPI *fnCreateWellKnownSid)(WELL_KNOWN_SID_TYPE,PSID,PSID,DWORD*);
  68 typedef BOOL (WINAPI *fnDuplicateTokenEx)(HANDLE,DWORD,LPSECURITY_ATTRIBUTES,
  69                                         SECURITY_IMPERSONATION_LEVEL,TOKEN_TYPE,PHANDLE);
  70
  71 typedef NTSTATUS (WINAPI *fnLsaQueryInformationPolicy)(LSA_HANDLE,POLICY_INFORMATION_CLASS,PVOID*);
  72 typedef NTSTATUS (WINAPI *fnLsaClose)(LSA_HANDLE);
  73 typedef NTSTATUS (WINAPI *fnLsaFreeMemory)(PVOID);
  74 typedef NTSTATUS (WINAPI *fnLsaOpenPolicy)(PLSA_UNICODE_STRING,PLSA_OBJECT_ATTRIBUTES,ACCESS_MASK,PLSA_HANDLE);
  75 static NTSTATUS (WINAPI *pNtQueryObject)(HANDLE,OBJECT_INFORMATION_CLASS,PVOID,ULONG,PULONG);
  76 static DWORD (WINAPI *pSetEntriesInAclW)(ULONG, PEXPLICIT_ACCESSW, PACL, PACL*);
  77
  78 static HMODULE hmod;
  79 static int     myARGC;
  80 static char**  myARGV;
  81
  82 fnBuildTrusteeWithSidA   pBuildTrusteeWithSidA;
  83 fnBuildTrusteeWithNameA  pBuildTrusteeWithNameA;
  84 fnBuildTrusteeWithObjectsAndNameA pBuildTrusteeWithObjectsAndNameA;
  85 fnBuildTrusteeWithObjectsAndSidA pBuildTrusteeWithObjectsAndSidA;
  86 fnGetTrusteeNameA pGetTrusteeNameA;
  87 fnMakeSelfRelativeSD pMakeSelfRelativeSD;
  88 fnConvertSidToStringSidA pConvertSidToStringSidA;
  89 fnConvertStringSidToSidA pConvertStringSidToSidA;
  90 fnGetFileSecurityA pGetFileSecurityA;
  91 fnRtlAdjustPrivilege pRtlAdjustPrivilege;
  92 fnCreateWellKnownSid pCreateWellKnownSid;
  93 fnDuplicateTokenEx pDuplicateTokenEx;
  94 fnLsaQueryInformationPolicy pLsaQueryInformationPolicy;
  95 fnLsaClose pLsaClose;
  96 fnLsaFreeMemory pLsaFreeMemory;
  97 fnLsaOpenPolicy pLsaOpenPolicy;
  98
  99 struct sidRef
 100 {
 101     SID_IDENTIFIER_AUTHORITY auth;
 102     const char *refStr;
 103 };
 104
 105 static void init(void)
 106 {
 107     HMODULE hntdll;
 108
 109     hntdll = GetModuleHandleA("ntdll.dll");
 110     pNtQueryObject = (void *)GetProcAddress( hntdll, "NtQueryObject" );
 111
 112     hmod = GetModuleHandle("advapi32.dll");
 113     pConvertStringSecurityDescriptorToSecurityDescriptorA =
 114         (void *)GetProcAddress(hmod, "ConvertStringSecurityDescriptorToSecurityDescriptorA" );
 115     pConvertSecurityDescriptorToStringSecurityDescriptorA =
 116         (void *)GetProcAddress(hmod, "ConvertSecurityDescriptorToStringSecurityDescriptorA" );
 117     pMakeSelfRelativeSD = (void *)GetProcAddress(hmod, "MakeSelfRelativeSD");
 118     pGetNamedSecurityInfoA = (void *)GetProcAddress(hmod, "GetNamedSecurityInfoA");
 119     pSetEntriesInAclW = (void *)GetProcAddress(hmod, "SetEntriesInAclW");
 120
 121     myARGC = winetest_get_mainargs( &myARGV );
 122 }
 123
 124 static void test_str_sid(const char *str_sid)
 125 {
 126     PSID psid;
 127     char *temp;
 128
 129     if (pConvertStringSidToSidA(str_sid, &psid))
 130     {
 131         if (pConvertSidToStringSidA(psid, &temp))
 132         {
 133             trace(" %s: %s\n", str_sid, temp);
 134             LocalFree(temp);
 135         }
 136         LocalFree(psid);
 137     }
 138     else
 139     {
 140         if (GetLastError() != ERROR_INVALID_SID)
 141             trace(" %s: couldn't be converted, returned %d\n", str_sid, GetLastError());
 142         else
 143             trace(" %s: couldn't be converted\n", str_sid);
 144     }
 145 }
 146
 147 static void test_sid(void)
 148 {
 149     struct sidRef refs[] = {
 150      { { {0x00,0x00,0x33,0x44,0x55,0x66} }, "S-1-860116326-1" },
 151      { { {0x00,0x00,0x01,0x02,0x03,0x04} }, "S-1-16909060-1"  },
 152      { { {0x00,0x00,0x00,0x01,0x02,0x03} }, "S-1-66051-1"     },
 153      { { {0x00,0x00,0x00,0x00,0x01,0x02} }, "S-1-258-1"       },
 154      { { {0x00,0x00,0x00,0x00,0x00,0x02} }, "S-1-2-1"         },
 155      { { {0x00,0x00,0x00,0x00,0x00,0x0c} }, "S-1-12-1"        },
 156     };
 157     const char noSubAuthStr[] = "S-1-5";
 158     unsigned int i;
 159     PSID psid = NULL;
 160     SID *pisid;
 161     BOOL r;
 162     LPSTR str = NULL;
 163
 164     pConvertSidToStringSidA = (fnConvertSidToStringSidA)
 165                     GetProcAddress( hmod, "ConvertSidToStringSidA" );
 166     if( !pConvertSidToStringSidA )
 167         return;
 168     pConvertStringSidToSidA = (fnConvertStringSidToSidA)
 169                     GetProcAddress( hmod, "ConvertStringSidToSidA" );
 170     if( !pConvertStringSidToSidA )
 171         return;
 172
 173     r = pConvertStringSidToSidA( NULL, NULL );
 174     ok( !r, "expected failure with NULL parameters\n" );
 175     if( GetLastError() == ERROR_CALL_NOT_IMPLEMENTED )
 176         return;
 177     ok( GetLastError() == ERROR_INVALID_PARAMETER,
 178      "expected GetLastError() is ERROR_INVALID_PARAMETER, got %d\n",
 179      GetLastError() );
 180
 181     r = pConvertStringSidToSidA( refs[0].refStr, NULL );
 182     ok( !r && GetLastError() == ERROR_INVALID_PARAMETER,
 183      "expected GetLastError() is ERROR_INVALID_PARAMETER, got %d\n",
 184      GetLastError() );
 185
 186     r = pConvertStringSidToSidA( NULL, &str );
 187     ok( !r && GetLastError() == ERROR_INVALID_PARAMETER,
 188      "expected GetLastError() is ERROR_INVALID_PARAMETER, got %d\n",
 189      GetLastError() );
 190
 191     r = pConvertStringSidToSidA( noSubAuthStr, &psid );
 192     ok( !r,
 193      "expected failure with no sub authorities\n" );
 194     ok( GetLastError() == ERROR_INVALID_SID,
 195      "expected GetLastError() is ERROR_INVALID_SID, got %d\n",
 196      GetLastError() );
 197
 198     ok(pConvertStringSidToSidA("S-1-5-21-93476-23408-4576", &psid), "ConvertStringSidToSidA failed\n");
 199     pisid = (SID *)psid;
 200     ok(pisid->SubAuthorityCount == 4, "Invalid sub authority count - expected 4, got %d\n", pisid->SubAuthorityCount);
 201     ok(pisid->SubAuthority[0] == 21, "Invalid subauthority 0 - expceted 21, got %d\n", pisid->SubAuthority[0]);
 202     ok(pisid->SubAuthority[3] == 4576, "Invalid subauthority 0 - expceted 4576, got %d\n", pisid->SubAuthority[3]);
 203     LocalFree(str);
 204
 205     for( i = 0; i < sizeof(refs) / sizeof(refs[0]); i++ )
 206     {
 207         PISID pisid;
 208
 209         r = AllocateAndInitializeSid( &refs[i].auth, 1,1,0,0,0,0,0,0,0,
 210          &psid );
 211         ok( r, "failed to allocate sid\n" );
 212         r = pConvertSidToStringSidA( psid, &str );
 213         ok( r, "failed to convert sid\n" );
 214         if (r)
 215         {
 216             ok( !strcmp( str, refs[i].refStr ),
 217                 "incorrect sid, expected %s, got %s\n", refs[i].refStr, str );
 218             LocalFree( str );
 219         }
 220         if( psid )
 221             FreeSid( psid );
 222
 223         r = pConvertStringSidToSidA( refs[i].refStr, &psid );
 224         ok( r, "failed to parse sid string\n" );
 225         pisid = (PISID)psid;
 226         ok( pisid &&
 227          !memcmp( pisid->IdentifierAuthority.Value, refs[i].auth.Value,
 228          sizeof(refs[i].auth) ),
 229          "string sid %s didn't parse to expected value\n"
 230          "(got 0x%04x%08x, expected 0x%04x%08x)\n",
 231          refs[i].refStr,
 232          MAKEWORD( pisid->IdentifierAuthority.Value[1],
 233          pisid->IdentifierAuthority.Value[0] ),
 234          MAKELONG( MAKEWORD( pisid->IdentifierAuthority.Value[5],
 235          pisid->IdentifierAuthority.Value[4] ),
 236          MAKEWORD( pisid->IdentifierAuthority.Value[3],
 237          pisid->IdentifierAuthority.Value[2] ) ),
 238          MAKEWORD( refs[i].auth.Value[1], refs[i].auth.Value[0] ),
 239          MAKELONG( MAKEWORD( refs[i].auth.Value[5], refs[i].auth.Value[4] ),
 240          MAKEWORD( refs[i].auth.Value[3], refs[i].auth.Value[2] ) ) );
 241         if( psid )
 242             LocalFree( psid );
 243     }
 244
 245     trace("String SIDs:\n");
 246     test_str_sid("AO");
 247     test_str_sid("RU");
 248     test_str_sid("AN");
 249     test_str_sid("AU");
 250     test_str_sid("BA");
 251     test_str_sid("BG");
 252     test_str_sid("BO");
 253     test_str_sid("BU");
 254     test_str_sid("CA");
 255     test_str_sid("CG");
 256     test_str_sid("CO");
 257     test_str_sid("DA");
 258     test_str_sid("DC");
 259     test_str_sid("DD");
 260     test_str_sid("DG");
 261     test_str_sid("DU");
 262     test_str_sid("EA");
 263     test_str_sid("ED");
 264     test_str_sid("WD");
 265     test_str_sid("PA");
 266     test_str_sid("IU");
 267     test_str_sid("LA");
 268     test_str_sid("LG");
 269     test_str_sid("LS");
 270     test_str_sid("SY");
 271     test_str_sid("NU");
 272     test_str_sid("NO");
 273     test_str_sid("NS");
 274     test_str_sid("PO");
 275     test_str_sid("PS");
 276     test_str_sid("PU");
 277     test_str_sid("RS");
 278     test_str_sid("RD");
 279     test_str_sid("RE");
 280     test_str_sid("RC");
 281     test_str_sid("SA");
 282     test_str_sid("SO");
 283     test_str_sid("SU");
 284 }
 285
 286 static void test_trustee(void)
 287 {
 288     GUID ObjectType = {0x12345678, 0x1234, 0x5678, {0x11, 0x22, 0x33, 0x44, 0x55, 0x66, 0x77, 0x88}};
 289     GUID InheritedObjectType = {0x23456789, 0x2345, 0x6786, {0x2, 0x33, 0x44, 0x55, 0x66, 0x77, 0x88, 0x99}};
 290     GUID ZeroGuid;
 291     OBJECTS_AND_NAME_ oan;
 292     OBJECTS_AND_SID oas;
 293     TRUSTEE trustee;
 294     PSID psid;
 295     char szObjectTypeName[] = "ObjectTypeName";
 296     char szInheritedObjectTypeName[] = "InheritedObjectTypeName";
 297     char szTrusteeName[] = "szTrusteeName";
 298     SID_IDENTIFIER_AUTHORITY auth = { {0x11,0x22,0,0,0, 0} };
 299
 300     memset( &ZeroGuid, 0x00, sizeof (ZeroGuid) );
 301
 302     pBuildTrusteeWithSidA = (fnBuildTrusteeWithSidA)
 303                     GetProcAddress( hmod, "BuildTrusteeWithSidA" );
 304     pBuildTrusteeWithNameA = (fnBuildTrusteeWithNameA)
 305                     GetProcAddress( hmod, "BuildTrusteeWithNameA" );
 306     pBuildTrusteeWithObjectsAndNameA = (fnBuildTrusteeWithObjectsAndNameA)
 307                     GetProcAddress (hmod, "BuildTrusteeWithObjectsAndNameA" );
 308     pBuildTrusteeWithObjectsAndSidA = (fnBuildTrusteeWithObjectsAndSidA)
 309                     GetProcAddress (hmod, "BuildTrusteeWithObjectsAndSidA" );
 310     pGetTrusteeNameA = (fnGetTrusteeNameA)
 311                     GetProcAddress (hmod, "GetTrusteeNameA" );
 312     if( !pBuildTrusteeWithSidA || !pBuildTrusteeWithNameA ||
 313         !pBuildTrusteeWithObjectsAndNameA || !pBuildTrusteeWithObjectsAndSidA ||
 314         !pGetTrusteeNameA )
 315         return;
 316
 317     if ( ! AllocateAndInitializeSid( &auth, 1, 42, 0,0,0,0,0,0,0,&psid ) )
 318     {
 319         trace( "failed to init SID\n" );
 320        return;
 321     }
 322
 323     /* test BuildTrusteeWithSidA */
 324     memset( &trustee, 0xff, sizeof trustee );
 325     pBuildTrusteeWithSidA( &trustee, psid );
 326
 327     ok( trustee.pMultipleTrustee == NULL, "pMultipleTrustee wrong\n");
 328     ok( trustee.MultipleTrusteeOperation == NO_MULTIPLE_TRUSTEE,
 329         "MultipleTrusteeOperation wrong\n");
 330     ok( trustee.TrusteeForm == TRUSTEE_IS_SID, "TrusteeForm wrong\n");
 331     ok( trustee.TrusteeType == TRUSTEE_IS_UNKNOWN, "TrusteeType wrong\n");
 332     ok( trustee.ptstrName == (LPSTR) psid, "ptstrName wrong\n" );
 333
 334     /* test BuildTrusteeWithObjectsAndSidA (test 1) */
 335     memset( &trustee, 0xff, sizeof trustee );
 336     memset( &oas, 0xff, sizeof(oas) );
 337     pBuildTrusteeWithObjectsAndSidA(&trustee, &oas, &ObjectType,
 338                                     &InheritedObjectType, psid);
 339
 340     ok(trustee.pMultipleTrustee == NULL, "pMultipleTrustee wrong\n");
 341     ok(trustee.MultipleTrusteeOperation == NO_MULTIPLE_TRUSTEE, "MultipleTrusteeOperation wrong\n");
 342     ok(trustee.TrusteeForm == TRUSTEE_IS_OBJECTS_AND_SID, "TrusteeForm wrong\n");
 343     ok(trustee.TrusteeType == TRUSTEE_IS_UNKNOWN, "TrusteeType wrong\n");
 344     ok(trustee.ptstrName == (LPSTR)&oas, "ptstrName wrong\n");
 345
 346     ok(oas.ObjectsPresent == (ACE_OBJECT_TYPE_PRESENT | ACE_INHERITED_OBJECT_TYPE_PRESENT), "ObjectsPresent wrong\n");
 347     ok(!memcmp(&oas.ObjectTypeGuid, &ObjectType, sizeof(GUID)), "ObjectTypeGuid wrong\n");
 348     ok(!memcmp(&oas.InheritedObjectTypeGuid, &InheritedObjectType, sizeof(GUID)), "InheritedObjectTypeGuid wrong\n");
 349     ok(oas.pSid == psid, "pSid wrong\n");
 350
 351     /* test GetTrusteeNameA */
 352     ok(pGetTrusteeNameA(&trustee) == (LPSTR)&oas, "GetTrusteeName returned wrong value\n");
 353
 354     /* test BuildTrusteeWithObjectsAndSidA (test 2) */
 355     memset( &trustee, 0xff, sizeof trustee );
 356     memset( &oas, 0xff, sizeof(oas) );
 357     pBuildTrusteeWithObjectsAndSidA(&trustee, &oas, NULL,
 358                                     &InheritedObjectType, psid);
 359
 360     ok(trustee.pMultipleTrustee == NULL, "pMultipleTrustee wrong\n");
 361     ok(trustee.MultipleTrusteeOperation == NO_MULTIPLE_TRUSTEE, "MultipleTrusteeOperation wrong\n");
 362     ok(trustee.TrusteeForm == TRUSTEE_IS_OBJECTS_AND_SID, "TrusteeForm wrong\n");
 363     ok(trustee.TrusteeType == TRUSTEE_IS_UNKNOWN, "TrusteeType wrong\n");
 364     ok(trustee.ptstrName == (LPSTR)&oas, "ptstrName wrong\n");
 365
 366     ok(oas.ObjectsPresent == ACE_INHERITED_OBJECT_TYPE_PRESENT, "ObjectsPresent wrong\n");
 367     ok(!memcmp(&oas.ObjectTypeGuid, &ZeroGuid, sizeof(GUID)), "ObjectTypeGuid wrong\n");
 368     ok(!memcmp(&oas.InheritedObjectTypeGuid, &InheritedObjectType, sizeof(GUID)), "InheritedObjectTypeGuid wrong\n");
 369     ok(oas.pSid == psid, "pSid wrong\n");
 370
 371     FreeSid( psid );
 372
 373     /* test BuildTrusteeWithNameA */
 374     memset( &trustee, 0xff, sizeof trustee );
 375     pBuildTrusteeWithNameA( &trustee, szTrusteeName );
 376
 377     ok( trustee.pMultipleTrustee == NULL, "pMultipleTrustee wrong\n");
 378     ok( trustee.MultipleTrusteeOperation == NO_MULTIPLE_TRUSTEE,
 379         "MultipleTrusteeOperation wrong\n");
 380     ok( trustee.TrusteeForm == TRUSTEE_IS_NAME, "TrusteeForm wrong\n");
 381     ok( trustee.TrusteeType == TRUSTEE_IS_UNKNOWN, "TrusteeType wrong\n");
 382     ok( trustee.ptstrName == szTrusteeName, "ptstrName wrong\n" );
 383
 384     /* test BuildTrusteeWithObjectsAndNameA (test 1) */
 385     memset( &trustee, 0xff, sizeof trustee );
 386     memset( &oan, 0xff, sizeof(oan) );
 387     pBuildTrusteeWithObjectsAndNameA(&trustee, &oan, SE_KERNEL_OBJECT, szObjectTypeName,
 388                                      szInheritedObjectTypeName, szTrusteeName);
 389
 390     ok(trustee.pMultipleTrustee == NULL, "pMultipleTrustee wrong\n");
 391     ok(trustee.MultipleTrusteeOperation == NO_MULTIPLE_TRUSTEE, "MultipleTrusteeOperation wrong\n");
 392     ok(trustee.TrusteeForm == TRUSTEE_IS_OBJECTS_AND_NAME, "TrusteeForm wrong\n");
 393     ok(trustee.TrusteeType == TRUSTEE_IS_UNKNOWN, "TrusteeType wrong\n");
 394     ok(trustee.ptstrName == (LPTSTR)&oan, "ptstrName wrong\n");
 395
 396     ok(oan.ObjectsPresent == (ACE_OBJECT_TYPE_PRESENT | ACE_INHERITED_OBJECT_TYPE_PRESENT), "ObjectsPresent wrong\n");
 397     ok(oan.ObjectType == SE_KERNEL_OBJECT, "ObjectType wrong\n");
 398     ok(oan.InheritedObjectTypeName == szInheritedObjectTypeName, "InheritedObjectTypeName wrong\n");
 399     ok(oan.ptstrName == szTrusteeName, "szTrusteeName wrong\n");
 400
 401     /* test GetTrusteeNameA */
 402     ok(pGetTrusteeNameA(&trustee) == (LPSTR)&oan, "GetTrusteeName returned wrong value\n");
 403
 404     /* test BuildTrusteeWithObjectsAndNameA (test 2) */
 405     memset( &trustee, 0xff, sizeof trustee );
 406     memset( &oan, 0xff, sizeof(oan) );
 407     pBuildTrusteeWithObjectsAndNameA(&trustee, &oan, SE_KERNEL_OBJECT, NULL,
 408                                      szInheritedObjectTypeName, szTrusteeName);
 409
 410     ok(trustee.pMultipleTrustee == NULL, "pMultipleTrustee wrong\n");
 411     ok(trustee.MultipleTrusteeOperation == NO_MULTIPLE_TRUSTEE, "MultipleTrusteeOperation wrong\n");
 412     ok(trustee.TrusteeForm == TRUSTEE_IS_OBJECTS_AND_NAME, "TrusteeForm wrong\n");
 413     ok(trustee.TrusteeType == TRUSTEE_IS_UNKNOWN, "TrusteeType wrong\n");
 414     ok(trustee.ptstrName == (LPSTR)&oan, "ptstrName wrong\n");
 415
 416     ok(oan.ObjectsPresent == ACE_INHERITED_OBJECT_TYPE_PRESENT, "ObjectsPresent wrong\n");
 417     ok(oan.ObjectType == SE_KERNEL_OBJECT, "ObjectType wrong\n");
 418     ok(oan.InheritedObjectTypeName == szInheritedObjectTypeName, "InheritedObjectTypeName wrong\n");
 419     ok(oan.ptstrName == szTrusteeName, "szTrusteeName wrong\n");
 420
 421     /* test BuildTrusteeWithObjectsAndNameA (test 3) */
 422     memset( &trustee, 0xff, sizeof trustee );
 423     memset( &oan, 0xff, sizeof(oan) );
 424     pBuildTrusteeWithObjectsAndNameA(&trustee, &oan, SE_KERNEL_OBJECT, szObjectTypeName,
 425                                      NULL, szTrusteeName);
 426
 427     ok(trustee.pMultipleTrustee == NULL, "pMultipleTrustee wrong\n");
 428     ok(trustee.MultipleTrusteeOperation == NO_MULTIPLE_TRUSTEE, "MultipleTrusteeOperation wrong\n");
 429     ok(trustee.TrusteeForm == TRUSTEE_IS_OBJECTS_AND_NAME, "TrusteeForm wrong\n");
 430     ok(trustee.TrusteeType == TRUSTEE_IS_UNKNOWN, "TrusteeType wrong\n");
 431     ok(trustee.ptstrName == (LPTSTR)&oan, "ptstrName wrong\n");
 432
 433     ok(oan.ObjectsPresent == ACE_OBJECT_TYPE_PRESENT, "ObjectsPresent wrong\n");
 434     ok(oan.ObjectType == SE_KERNEL_OBJECT, "ObjectType wrong\n");
 435     ok(oan.InheritedObjectTypeName == NULL, "InheritedObjectTypeName wrong\n");
 436     ok(oan.ptstrName == szTrusteeName, "szTrusteeName wrong\n");
 437 }
 438
 439 /* If the first isn't defined, assume none is */
 440 #ifndef SE_MIN_WELL_KNOWN_PRIVILEGE
 441 #define SE_MIN_WELL_KNOWN_PRIVILEGE       2L
 442 #define SE_CREATE_TOKEN_PRIVILEGE         2L
 443 #define SE_ASSIGNPRIMARYTOKEN_PRIVILEGE   3L
 444 #define SE_LOCK_MEMORY_PRIVILEGE          4L
 445 #define SE_INCREASE_QUOTA_PRIVILEGE       5L
 446 #define SE_MACHINE_ACCOUNT_PRIVILEGE      6L
 447 #define SE_TCB_PRIVILEGE                  7L
 448 #define SE_SECURITY_PRIVILEGE             8L
 449 #define SE_TAKE_OWNERSHIP_PRIVILEGE       9L
 450 #define SE_LOAD_DRIVER_PRIVILEGE         10L
 451 #define SE_SYSTEM_PROFILE_PRIVILEGE      11L
 452 #define SE_SYSTEMTIME_PRIVILEGE          12L
 453 #define SE_PROF_SINGLE_PROCESS_PRIVILEGE 13L
 454 #define SE_INC_BASE_PRIORITY_PRIVILEGE   14L
 455 #define SE_CREATE_PAGEFILE_PRIVILEGE     15L
 456 #define SE_CREATE_PERMANENT_PRIVILEGE    16L
 457 #define SE_BACKUP_PRIVILEGE              17L
 458 #define SE_RESTORE_PRIVILEGE             18L
 459 #define SE_SHUTDOWN_PRIVILEGE            19L
 460 #define SE_DEBUG_PRIVILEGE               20L
 461 #define SE_AUDIT_PRIVILEGE               21L
 462 #define SE_SYSTEM_ENVIRONMENT_PRIVILEGE  22L
 463 #define SE_CHANGE_NOTIFY_PRIVILLEGE      23L
 464 #define SE_REMOTE_SHUTDOWN_PRIVILEGE     24L
 465 #define SE_UNDOCK_PRIVILEGE              25L
 466 #define SE_SYNC_AGENT_PRIVILEGE          26L
 467 #define SE_ENABLE_DELEGATION_PRIVILEGE   27L
 468 #define SE_MANAGE_VOLUME_PRIVILEGE       28L
 469 #define SE_IMPERSONATE_PRIVILEGE         29L
 470 #define SE_CREATE_GLOBAL_PRIVILEGE       30L
 471 #define SE_MAX_WELL_KNOWN_PRIVILEGE      SE_CREATE_GLOBAL_PRIVILEGE
 472 #endif /* ndef SE_MIN_WELL_KNOWN_PRIVILEGE */
 473
 474 static void test_allocateLuid(void)
 475 {
 476     BOOL (WINAPI *pAllocateLocallyUniqueId)(PLUID);
 477     LUID luid1, luid2;
 478     BOOL ret;
 479
 480     pAllocateLocallyUniqueId = (void*)GetProcAddress(hmod, "AllocateLocallyUniqueId");
 481     if (!pAllocateLocallyUniqueId) return;
 482
 483     ret = pAllocateLocallyUniqueId(&luid1);
 484     if (!ret && GetLastError() == ERROR_CALL_NOT_IMPLEMENTED)
 485         return;
 486
 487     ok(ret,
 488      "AllocateLocallyUniqueId failed: %d\n", GetLastError());
 489     ret = pAllocateLocallyUniqueId(&luid2);
 490     ok( ret,
 491      "AllocateLocallyUniqueId failed: %d\n", GetLastError());
 492     ok(luid1.LowPart > SE_MAX_WELL_KNOWN_PRIVILEGE || luid1.HighPart != 0,
 493      "AllocateLocallyUniqueId returned a well-known LUID\n");
 494     ok(luid1.LowPart != luid2.LowPart || luid1.HighPart != luid2.HighPart,
 495      "AllocateLocallyUniqueId returned non-unique LUIDs\n");
 496     ret = pAllocateLocallyUniqueId(NULL);
 497     ok( !ret && GetLastError() == ERROR_NOACCESS,
 498      "AllocateLocallyUniqueId(NULL) didn't return ERROR_NOACCESS: %d\n",
 499      GetLastError());
 500 }
 501
 502 static void test_lookupPrivilegeName(void)
 503 {
 504     BOOL (WINAPI *pLookupPrivilegeNameA)(LPCSTR, PLUID, LPSTR, LPDWORD);
 505     char buf[MAX_PATH]; /* arbitrary, seems long enough */
 506     DWORD cchName = sizeof(buf);
 507     LUID luid = { 0, 0 };
 508     LONG i;
 509     BOOL ret;
 510
 511     /* check whether it's available first */
 512     pLookupPrivilegeNameA = (void*)GetProcAddress(hmod, "LookupPrivilegeNameA");
 513     if (!pLookupPrivilegeNameA) return;
 514     luid.LowPart = SE_CREATE_TOKEN_PRIVILEGE;
 515     ret = pLookupPrivilegeNameA(NULL, &luid, buf, &cchName);
 516     if (!ret && GetLastError() == ERROR_CALL_NOT_IMPLEMENTED)
 517         return;
 518
 519     /* check with a short buffer */
 520     cchName = 0;
 521     luid.LowPart = SE_CREATE_TOKEN_PRIVILEGE;
 522     ret = pLookupPrivilegeNameA(NULL, &luid, NULL, &cchName);
 523     ok( !ret && GetLastError() == ERROR_INSUFFICIENT_BUFFER,
 524      "LookupPrivilegeNameA didn't fail with ERROR_INSUFFICIENT_BUFFER: %d\n",
 525      GetLastError());
 526     ok(cchName == strlen("SeCreateTokenPrivilege") + 1,
 527      "LookupPrivilegeNameA returned an incorrect required length for\n"
 528      "SeCreateTokenPrivilege (got %d, expected %d)\n", cchName,
 529      lstrlenA("SeCreateTokenPrivilege") + 1);
 530     /* check a known value and its returned length on success */
 531     cchName = sizeof(buf);
 532     ok(pLookupPrivilegeNameA(NULL, &luid, buf, &cchName) &&
 533      cchName == strlen("SeCreateTokenPrivilege"),
 534      "LookupPrivilegeNameA returned an incorrect output length for\n"
 535      "SeCreateTokenPrivilege (got %d, expected %d)\n", cchName,
 536      (int)strlen("SeCreateTokenPrivilege"));
 537     /* check known values */
 538     for (i = SE_MIN_WELL_KNOWN_PRIVILEGE; i < SE_MAX_WELL_KNOWN_PRIVILEGE; i++)
 539     {
 540         luid.LowPart = i;
 541         cchName = sizeof(buf);
 542         ret = pLookupPrivilegeNameA(NULL, &luid, buf, &cchName);
 543         ok( ret || GetLastError() == ERROR_NO_SUCH_PRIVILEGE,
 544          "LookupPrivilegeNameA(0.%d) failed: %d\n", i, GetLastError());
 545     }
 546     /* check a bogus LUID */
 547     luid.LowPart = 0xdeadbeef;
 548     cchName = sizeof(buf);
 549     ret = pLookupPrivilegeNameA(NULL, &luid, buf, &cchName);
 550     ok( !ret && GetLastError() == ERROR_NO_SUCH_PRIVILEGE,
 551      "LookupPrivilegeNameA didn't fail with ERROR_NO_SUCH_PRIVILEGE: %d\n",
 552      GetLastError());
 553     /* check on a bogus system */
 554     luid.LowPart = SE_CREATE_TOKEN_PRIVILEGE;
 555     cchName = sizeof(buf);
 556     ret = pLookupPrivilegeNameA("b0gu5.Nam3", &luid, buf, &cchName);
 557     ok( !ret && GetLastError() == RPC_S_SERVER_UNAVAILABLE,
 558      "LookupPrivilegeNameA didn't fail with RPC_S_SERVER_UNAVAILABLE: %d\n",
 559      GetLastError());
 560 }
 561
 562 struct NameToLUID
 563 {
 564     const char *name;
 565     DWORD lowPart;
 566 };
 567
 568 static void test_lookupPrivilegeValue(void)
 569 {
 570     static const struct NameToLUID privs[] = {
 571      { "SeCreateTokenPrivilege", SE_CREATE_TOKEN_PRIVILEGE },
 572      { "SeAssignPrimaryTokenPrivilege", SE_ASSIGNPRIMARYTOKEN_PRIVILEGE },
 573      { "SeLockMemoryPrivilege", SE_LOCK_MEMORY_PRIVILEGE },
 574      { "SeIncreaseQuotaPrivilege", SE_INCREASE_QUOTA_PRIVILEGE },
 575      { "SeMachineAccountPrivilege", SE_MACHINE_ACCOUNT_PRIVILEGE },
 576      { "SeTcbPrivilege", SE_TCB_PRIVILEGE },
 577      { "SeSecurityPrivilege", SE_SECURITY_PRIVILEGE },
 578      { "SeTakeOwnershipPrivilege", SE_TAKE_OWNERSHIP_PRIVILEGE },
 579      { "SeLoadDriverPrivilege", SE_LOAD_DRIVER_PRIVILEGE },
 580      { "SeSystemProfilePrivilege", SE_SYSTEM_PROFILE_PRIVILEGE },
 581      { "SeSystemtimePrivilege", SE_SYSTEMTIME_PRIVILEGE },
 582      { "SeProfileSingleProcessPrivilege", SE_PROF_SINGLE_PROCESS_PRIVILEGE },
 583      { "SeIncreaseBasePriorityPrivilege", SE_INC_BASE_PRIORITY_PRIVILEGE },
 584      { "SeCreatePagefilePrivilege", SE_CREATE_PAGEFILE_PRIVILEGE },
 585      { "SeCreatePermanentPrivilege", SE_CREATE_PERMANENT_PRIVILEGE },
 586      { "SeBackupPrivilege", SE_BACKUP_PRIVILEGE },
 587      { "SeRestorePrivilege", SE_RESTORE_PRIVILEGE },
 588      { "SeShutdownPrivilege", SE_SHUTDOWN_PRIVILEGE },
 589      { "SeDebugPrivilege", SE_DEBUG_PRIVILEGE },
 590      { "SeAuditPrivilege", SE_AUDIT_PRIVILEGE },
 591      { "SeSystemEnvironmentPrivilege", SE_SYSTEM_ENVIRONMENT_PRIVILEGE },
 592      { "SeChangeNotifyPrivilege", SE_CHANGE_NOTIFY_PRIVILLEGE },
 593      { "SeRemoteShutdownPrivilege", SE_REMOTE_SHUTDOWN_PRIVILEGE },
 594      { "SeUndockPrivilege", SE_UNDOCK_PRIVILEGE },
 595      { "SeSyncAgentPrivilege", SE_SYNC_AGENT_PRIVILEGE },
 596      { "SeEnableDelegationPrivilege", SE_ENABLE_DELEGATION_PRIVILEGE },
 597      { "SeManageVolumePrivilege", SE_MANAGE_VOLUME_PRIVILEGE },
 598      { "SeImpersonatePrivilege", SE_IMPERSONATE_PRIVILEGE },
 599      { "SeCreateGlobalPrivilege", SE_CREATE_GLOBAL_PRIVILEGE },
 600     };
 601     BOOL (WINAPI *pLookupPrivilegeValueA)(LPCSTR, LPCSTR, PLUID);
 602     int i;
 603     LUID luid;
 604     BOOL ret;
 605
 606     /* check whether it's available first */
 607     pLookupPrivilegeValueA = (void*)GetProcAddress(hmod, "LookupPrivilegeValueA");
 608     if (!pLookupPrivilegeValueA) return;
 609     ret = pLookupPrivilegeValueA(NULL, "SeCreateTokenPrivilege", &luid);
 610     if (!ret && GetLastError() == ERROR_CALL_NOT_IMPLEMENTED)
 611         return;
 612
 613     /* check a bogus system name */
 614     ret = pLookupPrivilegeValueA("b0gu5.Nam3", "SeCreateTokenPrivilege", &luid);
 615     ok( !ret && GetLastError() == RPC_S_SERVER_UNAVAILABLE,
 616      "LookupPrivilegeValueA didn't fail with RPC_S_SERVER_UNAVAILABLE: %d\n",
 617      GetLastError());
 618     /* check a NULL string */
 619     ret = pLookupPrivilegeValueA(NULL, 0, &luid);
 620     ok( !ret && GetLastError() == ERROR_NO_SUCH_PRIVILEGE,
 621      "LookupPrivilegeValueA didn't fail with ERROR_NO_SUCH_PRIVILEGE: %d\n",
 622      GetLastError());
 623     /* check a bogus privilege name */
 624     ret = pLookupPrivilegeValueA(NULL, "SeBogusPrivilege", &luid);
 625     ok( !ret && GetLastError() == ERROR_NO_SUCH_PRIVILEGE,
 626      "LookupPrivilegeValueA didn't fail with ERROR_NO_SUCH_PRIVILEGE: %d\n",
 627      GetLastError());
 628     /* check case insensitive */
 629     ret = pLookupPrivilegeValueA(NULL, "sEcREATEtOKENpRIVILEGE", &luid);
 630     ok( ret,
 631      "LookupPrivilegeValueA(NULL, sEcREATEtOKENpRIVILEGE, &luid) failed: %d\n",
 632      GetLastError());
 633     for (i = 0; i < sizeof(privs) / sizeof(privs[0]); i++)
 634     {
 635         /* Not all privileges are implemented on all Windows versions, so
 636          * don't worry if the call fails
 637          */
 638         if (pLookupPrivilegeValueA(NULL, privs[i].name, &luid))
 639         {
 640             ok(luid.LowPart == privs[i].lowPart,
 641              "LookupPrivilegeValueA returned an invalid LUID for %s\n",
 642              privs[i].name);
 643         }
 644     }
 645 }
 646
 647 static void test_luid(void)
 648 {
 649     test_allocateLuid();
 650     test_lookupPrivilegeName();
 651     test_lookupPrivilegeValue();
 652 }
 653
 654 static void test_FileSecurity(void)
 655 {
 656     char directory[MAX_PATH];
 657     DWORD retval, outSize;
 658     BOOL result;
 659     BYTE buffer[0x40];
 660
 661     pGetFileSecurityA = (fnGetFileSecurityA)
 662                     GetProcAddress( hmod, "GetFileSecurityA" );
 663     if( !pGetFileSecurityA )
 664         return;
 665
 666     retval = GetTempPathA(sizeof(directory), directory);
 667     if (!retval) {
 668         trace("GetTempPathA failed\n");
 669         return;
 670     }
 671
 672     strcpy(directory, "\\Should not exist");
 673
 674     SetLastError(NO_ERROR);
 675     result = pGetFileSecurityA( directory,OWNER_SECURITY_INFORMATION,buffer,0x40,&outSize);
 676     ok(!result, "GetFileSecurityA should fail for not existing directories/files\n");
 677     ok( (GetLastError() == ERROR_FILE_NOT_FOUND ) ||
 678         (GetLastError() == ERROR_CALL_NOT_IMPLEMENTED) ,
 679         "last error ERROR_FILE_NOT_FOUND / ERROR_CALL_NOT_IMPLEMENTED (98) "
 680         "expected, got %d\n", GetLastError());
 681 }
 682
 683 static void test_AccessCheck(void)
 684 {
 685     PSID EveryoneSid = NULL, AdminSid = NULL, UsersSid = NULL;
 686     PACL Acl = NULL;
 687     SECURITY_DESCRIPTOR *SecurityDescriptor = NULL;
 688     SID_IDENTIFIER_AUTHORITY SIDAuthWorld = { SECURITY_WORLD_SID_AUTHORITY };
 689     SID_IDENTIFIER_AUTHORITY SIDAuthNT = { SECURITY_NT_AUTHORITY };
 690     GENERIC_MAPPING Mapping = { KEY_READ, KEY_WRITE, KEY_EXECUTE, KEY_ALL_ACCESS };
 691     ACCESS_MASK Access;
 692     BOOL AccessStatus;
 693     HANDLE Token;
 694     HANDLE ProcessToken;
 695     BOOL ret;
 696     DWORD PrivSetLen;
 697     PRIVILEGE_SET *PrivSet;
 698     BOOL res;
 699     HMODULE NtDllModule;
 700     BOOLEAN Enabled;
 701     DWORD err;
 702
 703     NtDllModule = GetModuleHandle("ntdll.dll");
 704     if (!NtDllModule)
 705     {
 706         skip("not running on NT, skipping test\n");
 707         return;
 708     }
 709     pRtlAdjustPrivilege = (fnRtlAdjustPrivilege)
 710                           GetProcAddress(NtDllModule, "RtlAdjustPrivilege");
 711     if (!pRtlAdjustPrivilege)
 712     {
 713         skip("missing RtlAdjustPrivilege, skipping test\n");
 714         return;
 715     }
 716
 717     Acl = HeapAlloc(GetProcessHeap(), 0, 256);
 718     res = InitializeAcl(Acl, 256, ACL_REVISION);
 719     if(!res && GetLastError() == ERROR_CALL_NOT_IMPLEMENTED)
 720     {
 721         skip("ACLs not implemented - skipping tests\n");
 722         HeapFree(GetProcessHeap(), 0, Acl);
 723         return;
 724     }
 725     ok(res, "InitializeAcl failed with error %d\n", GetLastError());
 726
 727     res = AllocateAndInitializeSid( &SIDAuthWorld, 1, SECURITY_WORLD_RID, 0, 0, 0, 0, 0, 0, 0, &EveryoneSid);
 728     ok(res, "AllocateAndInitializeSid failed with error %d\n", GetLastError());
 729
 730     res = AllocateAndInitializeSid( &SIDAuthNT, 2, SECURITY_BUILTIN_DOMAIN_RID,
 731         DOMAIN_ALIAS_RID_ADMINS, 0, 0, 0, 0, 0, 0, &AdminSid);
 732     ok(res, "AllocateAndInitializeSid failed with error %d\n", GetLastError());
 733
 734     res = AllocateAndInitializeSid( &SIDAuthNT, 2, SECURITY_BUILTIN_DOMAIN_RID,
 735         DOMAIN_ALIAS_RID_USERS, 0, 0, 0, 0, 0, 0, &UsersSid);
 736     ok(res, "AllocateAndInitializeSid failed with error %d\n", GetLastError());
 737
 738     SecurityDescriptor = HeapAlloc(GetProcessHeap(), 0, SECURITY_DESCRIPTOR_MIN_LENGTH);
 739
 740     res = InitializeSecurityDescriptor(SecurityDescriptor, SECURITY_DESCRIPTOR_REVISION);
 741     ok(res, "InitializeSecurityDescriptor failed with error %d\n", GetLastError());
 742
 743     res = SetSecurityDescriptorDacl(SecurityDescriptor, TRUE, Acl, FALSE);
 744     ok(res, "SetSecurityDescriptorDacl failed with error %d\n", GetLastError());
 745
 746     PrivSetLen = FIELD_OFFSET(PRIVILEGE_SET, Privilege[16]);
 747     PrivSet = HeapAlloc(GetProcessHeap(), HEAP_ZERO_MEMORY, PrivSetLen);
 748     PrivSet->PrivilegeCount = 16;
 749
 750     res = OpenProcessToken(GetCurrentProcess(), TOKEN_DUPLICATE|TOKEN_QUERY, &ProcessToken);
 751     ok(res, "OpenProcessToken failed with error %d\n", GetLastError());
 752
 753     pRtlAdjustPrivilege(SE_SECURITY_PRIVILEGE, FALSE, TRUE, &Enabled);
 754
 755     res = DuplicateToken(ProcessToken, SecurityIdentification, &Token);
 756     ok(res, "DuplicateToken failed with error %d\n", GetLastError());
 757
 758     /* SD without owner/group */
 759     SetLastError(0xdeadbeef);
 760     Access = AccessStatus = 0xdeadbeef;
 761     ret = AccessCheck(SecurityDescriptor, Token, KEY_QUERY_VALUE, &Mapping,
 762                       PrivSet, &PrivSetLen, &Access, &AccessStatus);
 763     err = GetLastError();
 764     ok(!ret && err == ERROR_INVALID_SECURITY_DESCR, "AccessCheck should have "
 765        "failed with ERROR_INVALID_SECURITY_DESCR, instead of %d\n", err);
 766     ok(Access == 0xdeadbeef && AccessStatus == 0xdeadbeef,
 767        "Access and/or AccessStatus were changed!\n");
 768
 769     /* Set owner and group */
 770     res = SetSecurityDescriptorOwner(SecurityDescriptor, AdminSid, FALSE);
 771     ok(res, "SetSecurityDescriptorOwner failed with error %d\n", GetLastError());
 772     res = SetSecurityDescriptorGroup(SecurityDescriptor, UsersSid, TRUE);
 773     ok(res, "SetSecurityDescriptorGroup failed with error %d\n", GetLastError());
 774
 775     /* Generic access mask */
 776     SetLastError(0xdeadbeef);
 777     ret = AccessCheck(SecurityDescriptor, Token, GENERIC_READ, &Mapping,
 778                       PrivSet, &PrivSetLen, &Access, &AccessStatus);
 779     err = GetLastError();
 780     ok(!ret && err == ERROR_GENERIC_NOT_MAPPED, "AccessCheck should have failed "
 781        "with ERROR_GENERIC_NOT_MAPPED, instead of %d\n", err);
 782     ok(Access == 0xdeadbeef && AccessStatus == 0xdeadbeef,
 783        "Access and/or AccessStatus were changed!\n");
 784
 785     /* sd with no dacl present */
 786     ret = SetSecurityDescriptorDacl(SecurityDescriptor, FALSE, NULL, FALSE);
 787     ok(ret, "SetSecurityDescriptorDacl failed with error %d\n", GetLastError());
 788     ret = AccessCheck(SecurityDescriptor, Token, KEY_READ, &Mapping,
 789                       PrivSet, &PrivSetLen, &Access, &AccessStatus);
 790     ok(ret, "AccessCheck failed with error %d\n", GetLastError());
 791     ok(AccessStatus && (Access == KEY_READ),
 792         "AccessCheck failed to grant access with error %d\n",
 793         GetLastError());
 794
 795     /* sd with NULL dacl */
 796     ret = SetSecurityDescriptorDacl(SecurityDescriptor, TRUE, NULL, FALSE);
 797     ok(ret, "SetSecurityDescriptorDacl failed with error %d\n", GetLastError());
 798     ret = AccessCheck(SecurityDescriptor, Token, KEY_READ, &Mapping,
 799                       PrivSet, &PrivSetLen, &Access, &AccessStatus);
 800     ok(ret, "AccessCheck failed with error %d\n", GetLastError());
 801     ok(AccessStatus && (Access == KEY_READ),
 802         "AccessCheck failed to grant access with error %d\n",
 803         GetLastError());
 804
 805     /* sd with blank dacl */
 806     ret = SetSecurityDescriptorDacl(SecurityDescriptor, TRUE, Acl, FALSE);
 807     ok(ret, "SetSecurityDescriptorDacl failed with error %d\n", GetLastError());
 808     ret = AccessCheck(SecurityDescriptor, Token, KEY_READ, &Mapping,
 809                       PrivSet, &PrivSetLen, &Access, &AccessStatus);
 810     ok(ret, "AccessCheck failed with error %d\n", GetLastError());
 811     err = GetLastError();
 812     ok(!AccessStatus && err == ERROR_ACCESS_DENIED, "AccessCheck should have failed "
 813        "with ERROR_ACCESS_DENIED, instead of %d\n", err);
 814     ok(!Access, "Should have failed to grant any access, got 0x%08x\n", Access);
 815
 816     res = AddAccessAllowedAce(Acl, ACL_REVISION, KEY_READ, EveryoneSid);
 817     ok(res, "AddAccessAllowedAceEx failed with error %d\n", GetLastError());
 818
 819     res = AddAccessDeniedAce(Acl, ACL_REVISION, KEY_SET_VALUE, AdminSid);
 820     ok(res, "AddAccessDeniedAce failed with error %d\n", GetLastError());
 821
 822     /* sd with dacl */
 823     ret = AccessCheck(SecurityDescriptor, Token, KEY_READ, &Mapping,
 824                       PrivSet, &PrivSetLen, &Access, &AccessStatus);
 825     ok(ret, "AccessCheck failed with error %d\n", GetLastError());
 826     ok(AccessStatus && (Access == KEY_READ),
 827         "AccessCheck failed to grant access with error %d\n",
 828         GetLastError());
 829
 830     ret = AccessCheck(SecurityDescriptor, Token, MAXIMUM_ALLOWED, &Mapping,
 831                       PrivSet, &PrivSetLen, &Access, &AccessStatus);
 832     ok(ret, "AccessCheck failed with error %d\n", GetLastError());
 833     ok(AccessStatus,
 834         "AccessCheck failed to grant any access with error %d\n",
 835         GetLastError());
 836     trace("AccessCheck with MAXIMUM_ALLOWED got Access 0x%08x\n", Access);
 837
 838     /* Access denied by SD */
 839     SetLastError(0xdeadbeef);
 840     ret = AccessCheck(SecurityDescriptor, Token, KEY_WRITE, &Mapping,
 841                       PrivSet, &PrivSetLen, &Access, &AccessStatus);
 842     ok(ret, "AccessCheck failed with error %d\n", GetLastError());
 843     err = GetLastError();
 844     ok(!AccessStatus && err == ERROR_ACCESS_DENIED, "AccessCheck should have failed "
 845        "with ERROR_ACCESS_DENIED, instead of %d\n", err);
 846     ok(!Access, "Should have failed to grant any access, got 0x%08x\n", Access);
 847
 848     SetLastError(0);
 849     PrivSet->PrivilegeCount = 16;
 850     ret = AccessCheck(SecurityDescriptor, Token, ACCESS_SYSTEM_SECURITY, &Mapping,
 851                       PrivSet, &PrivSetLen, &Access, &AccessStatus);
 852     ok(ret && !AccessStatus && GetLastError() == ERROR_PRIVILEGE_NOT_HELD,
 853         "AccessCheck should have failed with ERROR_PRIVILEGE_NOT_HELD, instead of %d\n",
 854         GetLastError());
 855
 856     ret = pRtlAdjustPrivilege(SE_SECURITY_PRIVILEGE, TRUE, TRUE, &Enabled);
 857     if (!ret)
 858     {
 859         SetLastError(0);
 860         PrivSet->PrivilegeCount = 16;
 861         ret = AccessCheck(SecurityDescriptor, Token, ACCESS_SYSTEM_SECURITY, &Mapping,
 862                           PrivSet, &PrivSetLen, &Access, &AccessStatus);
 863         ok(ret && AccessStatus && GetLastError() == 0,
 864             "AccessCheck should have succeeded, error %d\n",
 865             GetLastError());
 866         ok(Access == ACCESS_SYSTEM_SECURITY,
 867             "Access should be equal to ACCESS_SYSTEM_SECURITY instead of 0x%08x\n",
 868             Access);
 869     }
 870     else
 871         trace("Couldn't get SE_SECURITY_PRIVILEGE (0x%08x), skipping ACCESS_SYSTEM_SECURITY test\n",
 872             ret);
 873
 874     CloseHandle(Token);
 875
 876     res = DuplicateToken(ProcessToken, SecurityAnonymous, &Token);
 877     ok(res, "DuplicateToken failed with error %d\n", GetLastError());
 878
 879     SetLastError(0xdeadbeef);
 880     ret = AccessCheck(SecurityDescriptor, Token, MAXIMUM_ALLOWED, &Mapping,
 881                       PrivSet, &PrivSetLen, &Access, &AccessStatus);
 882     err = GetLastError();
 883     ok(!ret && err == ERROR_BAD_IMPERSONATION_LEVEL, "AccessCheck should have failed "
 884        "with ERROR_BAD_IMPERSONATION_LEVEL, instead of %d\n", err);
 885
 886     CloseHandle(Token);
 887
 888     SetLastError(0xdeadbeef);
 889     ret = AccessCheck(SecurityDescriptor, ProcessToken, KEY_READ, &Mapping,
 890                       PrivSet, &PrivSetLen, &Access, &AccessStatus);
 891     err = GetLastError();
 892     ok(!ret && err == ERROR_NO_IMPERSONATION_TOKEN, "AccessCheck should have failed "
 893        "with ERROR_NO_IMPERSONATION_TOKEN, instead of %d\n", err);
 894
 895     CloseHandle(ProcessToken);
 896
 897     if (EveryoneSid)
 898         FreeSid(EveryoneSid);
 899     if (AdminSid)
 900         FreeSid(AdminSid);
 901     if (UsersSid)
 902         FreeSid(UsersSid);
 903     HeapFree(GetProcessHeap(), 0, Acl);
 904     HeapFree(GetProcessHeap(), 0, SecurityDescriptor);
 905     HeapFree(GetProcessHeap(), 0, PrivSet);
 906 }
 907
 908 /* test GetTokenInformation for the various attributes */
 909 static void test_token_attr(void)
 910 {
 911     HANDLE Token, ImpersonationToken;
 912     DWORD Size;
 913     TOKEN_PRIVILEGES *Privileges;
 914     TOKEN_GROUPS *Groups;
 915     TOKEN_USER *User;
 916     BOOL ret;
 917     DWORD i, GLE;
 918     LPSTR SidString;
 919     SECURITY_IMPERSONATION_LEVEL ImpersonationLevel;
 920
 921     /* cygwin-like use case */
 922     SetLastError(0xdeadbeef);
 923     ret = OpenProcessToken(GetCurrentProcess(), MAXIMUM_ALLOWED, &Token);
 924     if(!ret && (GetLastError() == ERROR_CALL_NOT_IMPLEMENTED))
 925     {
 926         skip("OpenProcessToken is not implemented\n");
 927         return;
 928     }
 929     ok(ret, "OpenProcessToken failed with error %d\n", GetLastError());
 930     if (ret)
 931     {
 932         BYTE buf[1024];
 933         Size = sizeof(buf);
 934         ret = GetTokenInformation(Token, TokenUser,(void*)buf, Size, &Size);
 935         ok(ret, "GetTokenInformation failed with error %d\n", GetLastError());
 936         Size = sizeof(ImpersonationLevel);
 937         ret = GetTokenInformation(Token, TokenImpersonationLevel, &ImpersonationLevel, Size, &Size);
 938         GLE = GetLastError();
 939         ok(!ret && (GLE == ERROR_INVALID_PARAMETER), "GetTokenInformation(TokenImpersonationLevel) on primary token should have failed with ERROR_INVALID_PARAMETER instead of %d\n", GLE);
 940         CloseHandle(Token);
 941     }
 942
 943     if(!pConvertSidToStringSidA)
 944     {
 945         skip("ConvertSidToStringSidA is not available\n");
 946         return;
 947     }
 948
 949     SetLastError(0xdeadbeef);
 950     ret = OpenProcessToken(GetCurrentProcess(), TOKEN_QUERY|TOKEN_DUPLICATE, &Token);
 951     ok(ret, "OpenProcessToken failed with error %d\n", GetLastError());
 952
 953     /* groups */
 954     ret = GetTokenInformation(Token, TokenGroups, NULL, 0, &Size);
 955     Groups = HeapAlloc(GetProcessHeap(), 0, Size);
 956     ret = GetTokenInformation(Token, TokenGroups, Groups, Size, &Size);
 957     ok(ret, "GetTokenInformation(TokenGroups) failed with error %d\n", GetLastError());
 958     trace("TokenGroups:\n");
 959     for (i = 0; i < Groups->GroupCount; i++)
 960     {
 961         DWORD NameLength = 255;
 962         TCHAR Name[255];
 963         DWORD DomainLength = 255;
 964         TCHAR Domain[255];
 965         SID_NAME_USE SidNameUse;
 966         pConvertSidToStringSidA(Groups->Groups[i].Sid, &SidString);
 967         Name[0] = '\0';
 968         Domain[0] = '\0';
 969         ret = LookupAccountSid(NULL, Groups->Groups[i].Sid, Name, &NameLength, Domain, &DomainLength, &SidNameUse);
 970         if (ret)
 971             trace("\t%s, %s\\%s use: %d attr: 0x%08x\n", SidString, Domain, Name, SidNameUse, Groups->Groups[i].Attributes);
 972         else
 973             trace("\t%s, attr: 0x%08x LookupAccountSid failed with error %d\n", SidString, Groups->Groups[i].Attributes, GetLastError());
 974         LocalFree(SidString);
 975     }
 976     HeapFree(GetProcessHeap(), 0, Groups);
 977
 978     /* user */
 979     ret = GetTokenInformation(Token, TokenUser, NULL, 0, &Size);
 980     ok(!ret && (GetLastError() == ERROR_INSUFFICIENT_BUFFER),
 981         "GetTokenInformation(TokenUser) failed with error %d\n", GetLastError());
 982     User = HeapAlloc(GetProcessHeap(), 0, Size);
 983     ret = GetTokenInformation(Token, TokenUser, User, Size, &Size);
 984     ok(ret,
 985         "GetTokenInformation(TokenUser) failed with error %d\n", GetLastError());
 986
 987     pConvertSidToStringSidA(User->User.Sid, &SidString);
 988     trace("TokenUser: %s attr: 0x%08x\n", SidString, User->User.Attributes);
 989     LocalFree(SidString);
 990     HeapFree(GetProcessHeap(), 0, User);
 991
 992     /* privileges */
 993     ret = GetTokenInformation(Token, TokenPrivileges, NULL, 0, &Size);
 994     ok(!ret && (GetLastError() == ERROR_INSUFFICIENT_BUFFER),
 995         "GetTokenInformation(TokenPrivileges) failed with error %d\n", GetLastError());
 996     Privileges = HeapAlloc(GetProcessHeap(), 0, Size);
 997     ret = GetTokenInformation(Token, TokenPrivileges, Privileges, Size, &Size);
 998     ok(ret,
 999         "GetTokenInformation(TokenPrivileges) failed with error %d\n", GetLastError());
1000     trace("TokenPrivileges:\n");
1001     for (i = 0; i < Privileges->PrivilegeCount; i++)
1002     {
1003         TCHAR Name[256];
1004         DWORD NameLen = sizeof(Name)/sizeof(Name[0]);
1005         LookupPrivilegeName(NULL, &Privileges->Privileges[i].Luid, Name, &NameLen);
1006         trace("\t%s, 0x%x\n", Name, Privileges->Privileges[i].Attributes);
1007     }
1008     HeapFree(GetProcessHeap(), 0, Privileges);
1009
1010     ret = DuplicateToken(Token, SecurityAnonymous, &ImpersonationToken);
1011     ok(ret, "DuplicateToken failed with error %d\n", GetLastError());
1012
1013     Size = sizeof(ImpersonationLevel);
1014     ret = GetTokenInformation(ImpersonationToken, TokenImpersonationLevel, &ImpersonationLevel, Size, &Size);
1015     ok(ret, "GetTokenInformation(TokenImpersonationLevel) failed with error %d\n", GetLastError());
1016     ok(ImpersonationLevel == SecurityAnonymous, "ImpersonationLevel should have been SecurityAnonymous instead of %d\n", ImpersonationLevel);
1017
1018     CloseHandle(ImpersonationToken);
1019     CloseHandle(Token);
1020 }
1021
1022 typedef union _MAX_SID
1023 {
1024     SID sid;
1025     char max[SECURITY_MAX_SID_SIZE];
1026 } MAX_SID;
1027
1028 static void test_sid_str(PSID * sid)
1029 {
1030     char *str_sid;
1031     BOOL ret = pConvertSidToStringSidA(sid, &str_sid);
1032     ok(ret, "ConvertSidToStringSidA() failed: %d\n", GetLastError());
1033     if (ret)
1034     {
1035         char account[MAX_PATH], domain[MAX_PATH];
1036         SID_NAME_USE use;
1037         DWORD acc_size = MAX_PATH;
1038         DWORD dom_size = MAX_PATH;
1039         ret = LookupAccountSid(NULL, sid, account, &acc_size, domain, &dom_size, &use);
1040         ok(ret || (!ret && (GetLastError() == ERROR_NONE_MAPPED)),
1041            "LookupAccountSid(%s) failed: %d\n", str_sid, GetLastError());
1042         if (ret)
1043             trace(" %s %s\\%s %d\n", str_sid, domain, account, use);
1044         else if (GetLastError() == ERROR_NONE_MAPPED)
1045             trace(" %s couldn't be mapped\n", str_sid);
1046         LocalFree(str_sid);
1047     }
1048 }
1049
1050 static void test_LookupAccountSid(void)
1051 {
1052     SID_IDENTIFIER_AUTHORITY SIDAuthNT = { SECURITY_NT_AUTHORITY };
1053     CHAR accountA[MAX_PATH], domainA[MAX_PATH];
1054     DWORD acc_sizeA, dom_sizeA;
1055     DWORD real_acc_sizeA, real_dom_sizeA;
1056     WCHAR accountW[MAX_PATH], domainW[MAX_PATH];
1057     DWORD acc_sizeW, dom_sizeW;
1058     DWORD real_acc_sizeW, real_dom_sizeW;
1059     PSID pUsersSid = NULL;
1060     SID_NAME_USE use;
1061     BOOL ret;
1062     DWORD size;
1063     MAX_SID  max_sid;
1064     CHAR *str_sidA;
1065     int i;
1066
1067     /* native windows crashes if account size, domain size, or name use is NULL */
1068
1069     ret = AllocateAndInitializeSid(&SIDAuthNT, 2, SECURITY_BUILTIN_DOMAIN_RID,
1070         DOMAIN_ALIAS_RID_USERS, 0, 0, 0, 0, 0, 0, &pUsersSid);
1071     ok(ret || (GetLastError() == ERROR_CALL_NOT_IMPLEMENTED),
1072        "AllocateAndInitializeSid failed with error %d\n", GetLastError());
1073
1074     /* not running on NT so give up */
1075     if (!ret && (GetLastError() == ERROR_CALL_NOT_IMPLEMENTED))
1076         return;
1077
1078     real_acc_sizeA = MAX_PATH;
1079     real_dom_sizeA = MAX_PATH;
1080     ret = LookupAccountSidA(NULL, pUsersSid, accountA, &real_acc_sizeA, domainA, &real_dom_sizeA, &use);
1081     ok(ret, "LookupAccountSidA() Expected TRUE, got FALSE\n");
1082
1083     /* try NULL account */
1084     acc_sizeA = MAX_PATH;
1085     dom_sizeA = MAX_PATH;
1086     ret = LookupAccountSidA(NULL, pUsersSid, NULL, &acc_sizeA, domainA, &dom_sizeA, &use);
1087     ok(ret, "LookupAccountSidA() Expected TRUE, got FALSE\n");
1088
1089     /* try NULL domain */
1090     acc_sizeA = MAX_PATH;
1091     dom_sizeA = MAX_PATH;
1092     ret = LookupAccountSidA(NULL, pUsersSid, accountA, &acc_sizeA, NULL, &dom_sizeA, &use);
1093     ok(ret, "LookupAccountSidA() Expected TRUE, got FALSE\n");
1094
1095     /* try a small account buffer */
1096     acc_sizeA = 1;
1097     dom_sizeA = MAX_PATH;
1098     accountA[0] = 0;
1099     ret = LookupAccountSidA(NULL, pUsersSid, accountA, &acc_sizeA, domainA, &dom_sizeA, &use);
1100     ok(!ret, "LookupAccountSidA() Expected FALSE got TRUE\n");
1101     ok(GetLastError() == ERROR_INSUFFICIENT_BUFFER,
1102        "LookupAccountSidA() Expected ERROR_NOT_ENOUGH_MEMORY, got %u\n", GetLastError());
1103
1104     /* try a 0 sized account buffer */
1105     acc_sizeA = 0;
1106     dom_sizeA = MAX_PATH;
1107     accountA[0] = 0;
1108     ret = LookupAccountSidA(NULL, pUsersSid, accountA, &acc_sizeA, domainA, &dom_sizeA, &use);
1109     /* this can fail or succeed depending on OS version but the size will always be returned */
1110     ok(acc_sizeA == real_acc_sizeA + 1,
1111        "LookupAccountSidA() Expected acc_size = %u, got %u\n",
1112        real_acc_sizeA + 1, acc_sizeA);
1113
1114     /* try a 0 sized account buffer */
1115     acc_sizeA = 0;
1116     dom_sizeA = MAX_PATH;
1117     ret = LookupAccountSidA(NULL, pUsersSid, NULL, &acc_sizeA, domainA, &dom_sizeA, &use);
1118     /* this can fail or succeed depending on OS version but the size will always be returned */
1119     ok(acc_sizeA == real_acc_sizeA + 1,
1120        "LookupAccountSid() Expected acc_size = %u, got %u\n",
1121        real_acc_sizeA + 1, acc_sizeA);
1122
1123     /* try a small domain buffer */
1124     dom_sizeA = 1;
1125     acc_sizeA = MAX_PATH;
1126     accountA[0] = 0;
1127     ret = LookupAccountSidA(NULL, pUsersSid, accountA, &acc_sizeA, domainA, &dom_sizeA, &use);
1128     ok(!ret, "LookupAccountSidA() Expected FALSE got TRUE\n");
1129     ok(GetLastError() == ERROR_INSUFFICIENT_BUFFER,
1130        "LookupAccountSidA() Expected ERROR_NOT_ENOUGH_MEMORY, got %u\n", GetLastError());
1131
1132     /* try a 0 sized domain buffer */
1133     dom_sizeA = 0;
1134     acc_sizeA = MAX_PATH;
1135     accountA[0] = 0;
1136     ret = LookupAccountSidA(NULL, pUsersSid, accountA, &acc_sizeA, domainA, &dom_sizeA, &use);
1137     /* this can fail or succeed depending on OS version but the size will always be returned */
1138     ok(dom_sizeA == real_dom_sizeA + 1,
1139        "LookupAccountSidA() Expected dom_size = %u, got %u\n",
1140        real_dom_sizeA + 1, dom_sizeA);
1141
1142     /* try a 0 sized domain buffer */
1143     dom_sizeA = 0;
1144     acc_sizeA = MAX_PATH;
1145     ret = LookupAccountSidA(NULL, pUsersSid, accountA, &acc_sizeA, NULL, &dom_sizeA, &use);
1146     /* this can fail or succeed depending on OS version but the size will always be returned */
1147     ok(dom_sizeA == real_dom_sizeA + 1,
1148        "LookupAccountSidA() Expected dom_size = %u, got %u\n",
1149        real_dom_sizeA + 1, dom_sizeA);
1150
1151     real_acc_sizeW = MAX_PATH;
1152     real_dom_sizeW = MAX_PATH;
1153     ret = LookupAccountSidW(NULL, pUsersSid, accountW, &real_acc_sizeW, domainW, &real_dom_sizeW, &use);
1154     ok(ret, "LookupAccountSidW() Expected TRUE, got FALSE\n");
1155
1156     /* native windows crashes if domainW or accountW is NULL */
1157
1158     /* try a small account buffer */
1159     acc_sizeW = 1;
1160     dom_sizeW = MAX_PATH;
1161     accountW[0] = 0;
1162     ret = LookupAccountSidW(NULL, pUsersSid, accountW, &acc_sizeW, domainW, &dom_sizeW, &use);
1163     ok(!ret, "LookupAccountSidW() Expected FALSE got TRUE\n");
1164     ok(GetLastError() == ERROR_INSUFFICIENT_BUFFER,
1165        "LookupAccountSidW() Expected ERROR_NOT_ENOUGH_MEMORY, got %u\n", GetLastError());
1166
1167     /* try a 0 sized account buffer */
1168     acc_sizeW = 0;
1169     dom_sizeW = MAX_PATH;
1170     accountW[0] = 0;
1171     ret = LookupAccountSidW(NULL, pUsersSid, accountW, &acc_sizeW, domainW, &dom_sizeW, &use);
1172     /* this can fail or succeed depending on OS version but the size will always be returned */
1173     ok(acc_sizeW == real_acc_sizeW + 1,
1174        "LookupAccountSidW() Expected acc_size = %u, got %u\n",
1175        real_acc_sizeW + 1, acc_sizeW);
1176
1177     /* try a 0 sized account buffer */
1178     acc_sizeW = 0;
1179     dom_sizeW = MAX_PATH;
1180     ret = LookupAccountSidW(NULL, pUsersSid, NULL, &acc_sizeW, domainW, &dom_sizeW, &use);
1181     /* this can fail or succeed depending on OS version but the size will always be returned */
1182     ok(acc_sizeW == real_acc_sizeW + 1,
1183        "LookupAccountSidW() Expected acc_size = %u, got %u\n",
1184        real_acc_sizeW + 1, acc_sizeW);
1185
1186     /* try a small domain buffer */
1187     dom_sizeW = 1;
1188     acc_sizeW = MAX_PATH;
1189     accountW[0] = 0;
1190     ret = LookupAccountSidW(NULL, pUsersSid, accountW, &acc_sizeW, domainW, &dom_sizeW, &use);
1191     ok(!ret, "LookupAccountSidW() Expected FALSE got TRUE\n");
1192     ok(GetLastError() == ERROR_INSUFFICIENT_BUFFER,
1193        "LookupAccountSidW() Expected ERROR_NOT_ENOUGH_MEMORY, got %u\n", GetLastError());
1194
1195     /* try a 0 sized domain buffer */
1196     dom_sizeW = 0;
1197     acc_sizeW = MAX_PATH;
1198     accountW[0] = 0;
1199     ret = LookupAccountSidW(NULL, pUsersSid, accountW, &acc_sizeW, domainW, &dom_sizeW, &use);
1200     /* this can fail or succeed depending on OS version but the size will always be returned */
1201     ok(dom_sizeW == real_dom_sizeW + 1,
1202        "LookupAccountSidW() Expected dom_size = %u, got %u\n",
1203        real_dom_sizeW + 1, dom_sizeW);
1204
1205     /* try a 0 sized domain buffer */
1206     dom_sizeW = 0;
1207     acc_sizeW = MAX_PATH;
1208     ret = LookupAccountSidW(NULL, pUsersSid, accountW, &acc_sizeW, NULL, &dom_sizeW, &use);
1209     /* this can fail or succeed depending on OS version but the size will always be returned */
1210     ok(dom_sizeW == real_dom_sizeW + 1,
1211        "LookupAccountSidW() Expected dom_size = %u, got %u\n",
1212        real_dom_sizeW + 1, dom_sizeW);
1213
1214     FreeSid(pUsersSid);
1215
1216     pCreateWellKnownSid = (fnCreateWellKnownSid)GetProcAddress( hmod, "CreateWellKnownSid" );
1217
1218     if (pCreateWellKnownSid && pConvertSidToStringSidA)
1219     {
1220         trace("Well Known SIDs:\n");
1221         for (i = 0; i <= 60; i++)
1222         {
1223             size = SECURITY_MAX_SID_SIZE;
1224             if (pCreateWellKnownSid(i, NULL, &max_sid.sid, &size))
1225             {
1226                 if (pConvertSidToStringSidA(&max_sid.sid, &str_sidA))
1227                 {
1228                     acc_sizeA = MAX_PATH;
1229                     dom_sizeA = MAX_PATH;
1230                     if (LookupAccountSidA(NULL, &max_sid.sid, accountA, &acc_sizeA, domainA, &dom_sizeA, &use))
1231                         trace(" %d: %s %s\\%s %d\n", i, str_sidA, domainA, accountA, use);
1232                     LocalFree(str_sidA);
1233                 }
1234             }
1235             else
1236             {
1237                 if (GetLastError() != ERROR_INVALID_PARAMETER)
1238                     trace(" CreateWellKnownSid(%d) failed: %d\n", i, GetLastError());
1239                 else
1240                     trace(" %d: not supported\n", i);
1241             }
1242         }
1243
1244         pLsaQueryInformationPolicy = (fnLsaQueryInformationPolicy)GetProcAddress( hmod, "LsaQueryInformationPolicy");
1245         pLsaOpenPolicy = (fnLsaOpenPolicy)GetProcAddress( hmod, "LsaOpenPolicy");
1246         pLsaFreeMemory = (fnLsaFreeMemory)GetProcAddress( hmod, "LsaFreeMemory");
1247         pLsaClose = (fnLsaClose)GetProcAddress( hmod, "LsaClose");
1248
1249         if (pLsaQueryInformationPolicy && pLsaOpenPolicy && pLsaFreeMemory && pLsaClose)
1250         {
1251             NTSTATUS status;
1252             LSA_HANDLE handle;
1253             LSA_OBJECT_ATTRIBUTES object_attributes;
1254
1255             ZeroMemory(&object_attributes, sizeof(object_attributes));
1256             object_attributes.Length = sizeof(object_attributes);
1257
1258             status = pLsaOpenPolicy( NULL, &object_attributes, POLICY_ALL_ACCESS, &handle);
1259             ok(status == STATUS_SUCCESS || status == STATUS_ACCESS_DENIED,
1260                "LsaOpenPolicy(POLICY_ALL_ACCESS) returned 0x%08x\n", status);
1261
1262             /* try a more restricted access mask if necessary */
1263             if (status == STATUS_ACCESS_DENIED) {
1264                 trace("LsaOpenPolicy(POLICY_ALL_ACCESS) failed, trying POLICY_VIEW_LOCAL_INFORMATION\n");
1265                 status = pLsaOpenPolicy( NULL, &object_attributes, POLICY_VIEW_LOCAL_INFORMATION, &handle);
1266                 ok(status == STATUS_SUCCESS, "LsaOpenPolicy(POLICY_VIEW_LOCAL_INFORMATION) returned 0x%08x\n", status);
1267             }
1268
1269             if (status == STATUS_SUCCESS)
1270             {
1271                 PPOLICY_ACCOUNT_DOMAIN_INFO info;
1272                 status = pLsaQueryInformationPolicy(handle, PolicyAccountDomainInformation, (PVOID*)&info);
1273                 ok(status == STATUS_SUCCESS, "LsaQueryInformationPolicy() failed, returned 0x%08x\n", status);
1274                 if (status == STATUS_SUCCESS)
1275                 {
1276                     ok(info->DomainSid!=0, "LsaQueryInformationPolicy(PolicyAccountDomainInformation) missing SID\n");
1277                     if (info->DomainSid)
1278                     {
1279                         int count = *GetSidSubAuthorityCount(info->DomainSid);
1280                         CopySid(GetSidLengthRequired(count), &max_sid, info->DomainSid);
1281                         test_sid_str((PSID)&max_sid.sid);
1282                         max_sid.sid.SubAuthority[count] = DOMAIN_USER_RID_ADMIN;
1283                         max_sid.sid.SubAuthorityCount = count + 1;
1284                         test_sid_str((PSID)&max_sid.sid);
1285                         max_sid.sid.SubAuthority[count] = DOMAIN_USER_RID_GUEST;
1286                         test_sid_str((PSID)&max_sid.sid);
1287                         max_sid.sid.SubAuthority[count] = DOMAIN_GROUP_RID_ADMINS;
1288                         test_sid_str((PSID)&max_sid.sid);
1289                         max_sid.sid.SubAuthority[count] = DOMAIN_GROUP_RID_USERS;
1290                         test_sid_str((PSID)&max_sid.sid);
1291                         max_sid.sid.SubAuthority[count] = DOMAIN_GROUP_RID_GUESTS;
1292                         test_sid_str((PSID)&max_sid.sid);
1293                         max_sid.sid.SubAuthority[count] = DOMAIN_GROUP_RID_COMPUTERS;
1294                         test_sid_str((PSID)&max_sid.sid);
1295                         max_sid.sid.SubAuthority[count] = DOMAIN_GROUP_RID_CONTROLLERS;
1296                         test_sid_str((PSID)&max_sid.sid);
1297                         max_sid.sid.SubAuthority[count] = DOMAIN_GROUP_RID_CERT_ADMINS;
1298                         test_sid_str((PSID)&max_sid.sid);
1299                         max_sid.sid.SubAuthority[count] = DOMAIN_GROUP_RID_SCHEMA_ADMINS;
1300                         test_sid_str((PSID)&max_sid.sid);
1301                         max_sid.sid.SubAuthority[count] = DOMAIN_GROUP_RID_ENTERPRISE_ADMINS;
1302                         test_sid_str((PSID)&max_sid.sid);
1303                         max_sid.sid.SubAuthority[count] = DOMAIN_GROUP_RID_POLICY_ADMINS;
1304                         test_sid_str((PSID)&max_sid.sid);
1305                         max_sid.sid.SubAuthority[count] = DOMAIN_ALIAS_RID_RAS_SERVERS;
1306                         test_sid_str((PSID)&max_sid.sid);
1307                         max_sid.sid.SubAuthority[count] = 1000; /* first user account */
1308                         test_sid_str((PSID)&max_sid.sid);
1309                     }
1310
1311                     pLsaFreeMemory((LPVOID)info);
1312                 }
1313
1314                 status = pLsaClose(handle);
1315                 ok(status == STATUS_SUCCESS, "LsaClose() failed, returned 0x%08x\n", status);
1316             }
1317         }
1318     }
1319 }
1320
1321 static void get_sid_info(PSID psid, LPSTR *user, LPSTR *dom)
1322 {
1323     static CHAR account[UNLEN + 1];
1324     static CHAR domain[UNLEN + 1];
1325     DWORD size, dom_size;
1326     SID_NAME_USE use;
1327
1328     *user = account;
1329     *dom = domain;
1330
1331     size = dom_size = UNLEN + 1;
1332     account[0] = '\0';
1333     domain[0] = '\0';
1334     LookupAccountSidA(NULL, psid, account, &size, domain, &dom_size, &use);
1335 }
1336
1337 static void test_LookupAccountName(void)
1338 {
1339     DWORD sid_size, domain_size, user_size;
1340     DWORD sid_save, domain_save;
1341     CHAR user_name[UNLEN + 1];
1342     SID_NAME_USE sid_use;
1343     LPSTR domain, account, sid_dom;
1344     PSID psid;
1345     BOOL ret;
1346
1347     /* native crashes if (assuming all other parameters correct):
1348      *  - peUse is NULL
1349      *  - Sid is NULL and cbSid is > 0
1350      *  - cbSid or cchReferencedDomainName are NULL
1351      *  - ReferencedDomainName is NULL and cchReferencedDomainName is the correct size
1352      */
1353
1354     user_size = UNLEN + 1;
1355     SetLastError(0xdeadbeef);
1356     ret = GetUserNameA(user_name, &user_size);
1357     if (!ret && (GetLastError() == ERROR_NOT_LOGGED_ON))
1358     {
1359         /* Probably on win9x where the user used 'Cancel' instead of properly logging in */
1360         skip("Cannot get the user name (win9x and not logged in properly)\n");
1361         return;
1362     }
1363     ok(ret, "Failed to get user name : %d\n", GetLastError());
1364
1365     /* get sizes */
1366     sid_size = 0;
1367     domain_size = 0;
1368     sid_use = 0xcafebabe;
1369     SetLastError(0xdeadbeef);
1370     ret = LookupAccountNameA(NULL, user_name, NULL, &sid_size, NULL, &domain_size, &sid_use);
1371     if(!ret && (GetLastError() == ERROR_CALL_NOT_IMPLEMENTED))
1372     {
1373         skip("LookupAccountNameA is not implemented\n");
1374         return;
1375     }
1376     ok(!ret, "Expected 0, got %d\n", ret);
1377     ok(GetLastError() == ERROR_INSUFFICIENT_BUFFER,
1378        "Expected ERROR_INSUFFICIENT_BUFFER, got %d\n", GetLastError());
1379     ok(sid_size != 0, "Expected non-zero sid size\n");
1380     ok(domain_size != 0, "Expected non-zero domain size\n");
1381     ok(sid_use == 0xcafebabe, "Expected 0xcafebabe, got %d\n", sid_use);
1382
1383     sid_save = sid_size;
1384     domain_save = domain_size;
1385
1386     psid = HeapAlloc(GetProcessHeap(), 0, sid_size);
1387     domain = HeapAlloc(GetProcessHeap(), 0, domain_size);
1388
1389     /* try valid account name */
1390     ret = LookupAccountNameA(NULL, user_name, psid, &sid_size, domain, &domain_size, &sid_use);
1391     get_sid_info(psid, &account, &sid_dom);
1392     ok(ret, "Failed to lookup account name\n");
1393     ok(sid_size == GetLengthSid(psid), "Expected %d, got %d\n", GetLengthSid(psid), sid_size);
1394     todo_wine
1395     {
1396         ok(!lstrcmp(account, user_name), "Expected %s, got %s\n", user_name, account);
1397         ok(!lstrcmp(domain, sid_dom), "Expected %s, got %s\n", sid_dom, domain);
1398         ok(domain_size == domain_save - 1, "Expected %d, got %d\n", domain_save - 1, domain_size);
1399         ok(lstrlen(domain) == domain_size, "Expected %d\n", lstrlen(domain));
1400         ok(sid_use == SidTypeUser, "Expected SidTypeUser, got %d\n", SidTypeUser);
1401     }
1402     domain_size = domain_save;
1403
1404     /* NULL Sid with zero sid size */
1405     SetLastError(0xdeadbeef);
1406     sid_size = 0;
1407     ret = LookupAccountNameA(NULL, user_name, NULL, &sid_size, domain, &domain_size, &sid_use);
1408     ok(!ret, "Expected 0, got %d\n", ret);
1409     ok(GetLastError() == ERROR_INSUFFICIENT_BUFFER,
1410        "Expected ERROR_INSUFFICIENT_BUFFER, got %d\n", GetLastError());
1411     ok(sid_size == sid_save, "Expected %d, got %d\n", sid_save, sid_size);
1412     ok(domain_size == domain_save, "Expected %d, got %d\n", domain_save, domain_size);
1413
1414     /* try cchReferencedDomainName - 1 */
1415     SetLastError(0xdeadbeef);
1416     domain_size--;
1417     ret = LookupAccountNameA(NULL, user_name, NULL, &sid_size, domain, &domain_size, &sid_use);
1418     ok(!ret, "Expected 0, got %d\n", ret);
1419     ok(GetLastError() == ERROR_INSUFFICIENT_BUFFER,
1420        "Expected ERROR_INSUFFICIENT_BUFFER, got %d\n", GetLastError());
1421     ok(sid_size == sid_save, "Expected %d, got %d\n", sid_save, sid_size);
1422     ok(domain_size == domain_save, "Expected %d, got %d\n", domain_save, domain_size);
1423
1424     /* NULL ReferencedDomainName with zero domain name size */
1425     SetLastError(0xdeadbeef);
1426     domain_size = 0;
1427     ret = LookupAccountNameA(NULL, user_name, psid, &sid_size, NULL, &domain_size, &sid_use);
1428     ok(!ret, "Expected 0, got %d\n", ret);
1429     ok(GetLastError() == ERROR_INSUFFICIENT_BUFFER,
1430        "Expected ERROR_INSUFFICIENT_BUFFER, got %d\n", GetLastError());
1431     ok(sid_size == sid_save, "Expected %d, got %d\n", sid_save, sid_size);
1432     ok(domain_size == domain_save, "Expected %d, got %d\n", domain_save, domain_size);
1433
1434     HeapFree(GetProcessHeap(), 0, psid);
1435     HeapFree(GetProcessHeap(), 0, domain);
1436
1437     /* get sizes for NULL account name */
1438     sid_size = 0;
1439     domain_size = 0;
1440     sid_use = 0xcafebabe;
1441     SetLastError(0xdeadbeef);
1442     ret = LookupAccountNameA(NULL, NULL, NULL, &sid_size, NULL, &domain_size, &sid_use);
1443     ok(!ret, "Expected 0, got %d\n", ret);
1444     ok(GetLastError() == ERROR_INSUFFICIENT_BUFFER,
1445        "Expected ERROR_INSUFFICIENT_BUFFER, got %d\n", GetLastError());
1446     ok(sid_size != 0, "Expected non-zero sid size\n");
1447     ok(domain_size != 0, "Expected non-zero domain size\n");
1448     ok(sid_use == 0xcafebabe, "Expected 0xcafebabe, got %d\n", sid_use);
1449
1450     psid = HeapAlloc(GetProcessHeap(), 0, sid_size);
1451     domain = HeapAlloc(GetProcessHeap(), 0, domain_size);
1452
1453     /* try NULL account name */
1454     ret = LookupAccountNameA(NULL, NULL, psid, &sid_size, domain, &domain_size, &sid_use);
1455     get_sid_info(psid, &account, &sid_dom);
1456     ok(ret, "Failed to lookup account name\n");
1457     todo_wine
1458     {
1459         /* Using a fixed string will not work on different locales */
1460         ok(!lstrcmp(account, domain),
1461            "Got %s for account and %s for domain, these should be the same\n",
1462            account, domain);
1463         ok(sid_use == SidTypeDomain, "Expected SidTypeDomain, got %d\n", SidTypeDomain);
1464     }
1465
1466     /* try an invalid account name */
1467     SetLastError(0xdeadbeef);
1468     sid_size = 0;
1469     domain_size = 0;
1470     ret = LookupAccountNameA(NULL, "oogabooga", NULL, &sid_size, NULL, &domain_size, &sid_use);
1471     ok(!ret, "Expected 0, got %d\n", ret);
1472     todo_wine
1473     {
1474         ok(GetLastError() == ERROR_NONE_MAPPED,
1475            "Expected ERROR_NONE_MAPPED, got %d\n", GetLastError());
1476         ok(sid_size == 0, "Expected 0, got %d\n", sid_size);
1477         ok(domain_size == 0, "Expected 0, got %d\n", domain_size);
1478     }
1479
1480     HeapFree(GetProcessHeap(), 0, psid);
1481     HeapFree(GetProcessHeap(), 0, domain);
1482 }
1483
1484 static void test_security_descriptor(void)
1485 {
1486     SECURITY_DESCRIPTOR sd;
1487     char buf[8192];
1488     DWORD size;
1489     BOOL isDefault, isPresent;
1490     PACL pacl;
1491     PSID psid;
1492
1493     InitializeSecurityDescriptor(&sd, SECURITY_DESCRIPTOR_REVISION);
1494     ok(GetSecurityDescriptorOwner(&sd, &psid, &isDefault), "GetSecurityDescriptorOwner failed\n");
1495     expect_eq(psid, NULL, PSID, "%p");
1496     expect_eq(isDefault, FALSE, BOOL, "%d");
1497     sd.Control |= SE_DACL_PRESENT | SE_SACL_PRESENT;
1498
1499     SetLastError(0xdeadbeef);
1500     size = 5;
1501     expect_eq(MakeSelfRelativeSD(&sd, buf, &size), FALSE, BOOL, "%d");
1502     expect_eq(GetLastError(), ERROR_INSUFFICIENT_BUFFER, DWORD, "%u");
1503     ok(size > 5, "Size not increased\n");
1504     if (size <= 8192)
1505     {
1506         expect_eq(MakeSelfRelativeSD(&sd, buf, &size), TRUE, BOOL, "%d");
1507         ok(GetSecurityDescriptorOwner(&sd, &psid, &isDefault), "GetSecurityDescriptorOwner failed\n");
1508         expect_eq(psid, NULL, PSID, "%p");
1509         expect_eq(isDefault, FALSE, BOOL, "%d");
1510         ok(GetSecurityDescriptorGroup(&sd, &psid, &isDefault), "GetSecurityDescriptorOwner failed\n");
1511         expect_eq(psid, NULL, PSID, "%p");
1512         expect_eq(isDefault, FALSE, BOOL, "%d");
1513         ok(GetSecurityDescriptorDacl(&sd, &isPresent, &pacl, &isDefault), "GetSecurityDescriptorOwner failed\n");
1514         expect_eq(isPresent, TRUE, BOOL, "%d");
1515         expect_eq(psid, NULL, PSID, "%p");
1516         expect_eq(isDefault, FALSE, BOOL, "%d");
1517         ok(GetSecurityDescriptorSacl(&sd, &isPresent, &pacl, &isDefault), "GetSecurityDescriptorOwner failed\n");
1518         expect_eq(isPresent, TRUE, BOOL, "%d");
1519         expect_eq(psid, NULL, PSID, "%p");
1520         expect_eq(isDefault, FALSE, BOOL, "%d");
1521     }
1522 }
1523
1524 #define TEST_GRANTED_ACCESS(a,b) test_granted_access(a,b,__LINE__)
1525 static void test_granted_access(HANDLE handle, ACCESS_MASK access, int line)
1526 {
1527     OBJECT_BASIC_INFORMATION obj_info;
1528     NTSTATUS status;
1529
1530     if (!pNtQueryObject)
1531     {
1532         skip_(__FILE__, line)("Not NT platform - skipping tests\n");
1533         return;
1534     }
1535
1536     status = pNtQueryObject( handle, ObjectBasicInformation, &obj_info,
1537                              sizeof(obj_info), NULL );
1538     ok_(__FILE__, line)(!status, "NtQueryObject with err: %08x\n", status);
1539     ok_(__FILE__, line)(obj_info.GrantedAccess == access, "Granted access should "
1540         "be 0x%08x, instead of 0x%08x\n", access, obj_info.GrantedAccess);
1541 }
1542
1543 #define CHECK_SET_SECURITY(o,i,e) \
1544     do{ \
1545         BOOL res; \
1546         DWORD err; \
1547         SetLastError( 0xdeadbeef ); \
1548         res = SetKernelObjectSecurity( o, i, SecurityDescriptor ); \
1549         err = GetLastError(); \
1550         if (e == ERROR_SUCCESS) \
1551             ok(res, "SetKernelObjectSecurity failed with %d\n", err); \
1552         else \
1553             ok(!res && err == e, "SetKernelObjectSecurity should have failed " \
1554                "with %s, instead of %d\n", #e, err); \
1555     }while(0)
1556
1557 static void test_process_security(void)
1558 {
1559     BOOL res;
1560     char owner[32], group[32];
1561     PSID AdminSid = NULL, UsersSid = NULL;
1562     PACL Acl = NULL;
1563     SECURITY_DESCRIPTOR *SecurityDescriptor = NULL;
1564     char buffer[MAX_PATH];
1565     PROCESS_INFORMATION info;
1566     STARTUPINFOA startup;
1567     SECURITY_ATTRIBUTES psa;
1568     HANDLE token, event;
1569     DWORD tmp;
1570
1571     Acl = HeapAlloc(GetProcessHeap(), 0, 256);
1572     res = InitializeAcl(Acl, 256, ACL_REVISION);
1573     if (!res && GetLastError() == ERROR_CALL_NOT_IMPLEMENTED)
1574     {
1575         skip("ACLs not implemented - skipping tests\n");
1576         HeapFree(GetProcessHeap(), 0, Acl);
1577         return;
1578     }
1579     ok(res, "InitializeAcl failed with error %d\n", GetLastError());
1580
1581     /* get owner from the token we might be running as a user not admin */
1582     res = OpenProcessToken( GetCurrentProcess(), MAXIMUM_ALLOWED, &token );
1583     ok(res, "OpenProcessToken failed with error %d\n", GetLastError());
1584     if (!res)
1585     {
1586         HeapFree(GetProcessHeap(), 0, Acl);
1587         return;
1588     }
1589
1590     res = GetTokenInformation( token, TokenOwner, owner, sizeof(owner), &tmp );
1591     ok(res, "GetTokenInformation failed with error %d\n", GetLastError());
1592     AdminSid = ((TOKEN_OWNER*)owner)->Owner;
1593     res = GetTokenInformation( token, TokenPrimaryGroup, group, sizeof(group), &tmp );
1594     ok(res, "GetTokenInformation failed with error %d\n", GetLastError());
1595     UsersSid = ((TOKEN_PRIMARY_GROUP*)group)->PrimaryGroup;
1596
1597     CloseHandle( token );
1598     if (!res)
1599     {
1600         HeapFree(GetProcessHeap(), 0, Acl);
1601         return;
1602     }
1603
1604     res = AddAccessDeniedAce(Acl, ACL_REVISION, PROCESS_VM_READ, AdminSid);
1605     ok(res, "AddAccessDeniedAce failed with error %d\n", GetLastError());
1606     res = AddAccessAllowedAce(Acl, ACL_REVISION, PROCESS_ALL_ACCESS, AdminSid);
1607     ok(res, "AddAccessAllowedAceEx failed with error %d\n", GetLastError());
1608
1609     SecurityDescriptor = HeapAlloc(GetProcessHeap(), 0, SECURITY_DESCRIPTOR_MIN_LENGTH);
1610     res = InitializeSecurityDescriptor(SecurityDescriptor, SECURITY_DESCRIPTOR_REVISION);
1611     ok(res, "InitializeSecurityDescriptor failed with error %d\n", GetLastError());
1612
1613     event = CreateEvent( NULL, TRUE, TRUE, "test_event" );
1614     ok(event != NULL, "CreateEvent %d\n", GetLastError());
1615
1616     SecurityDescriptor->Revision = 0;
1617     CHECK_SET_SECURITY( event, OWNER_SECURITY_INFORMATION, ERROR_UNKNOWN_REVISION );
1618     SecurityDescriptor->Revision = SECURITY_DESCRIPTOR_REVISION;
1619
1620     CHECK_SET_SECURITY( event, OWNER_SECURITY_INFORMATION, ERROR_INVALID_SECURITY_DESCR );
1621     CHECK_SET_SECURITY( event, GROUP_SECURITY_INFORMATION, ERROR_INVALID_SECURITY_DESCR );
1622     CHECK_SET_SECURITY( event, SACL_SECURITY_INFORMATION, ERROR_ACCESS_DENIED );
1623     CHECK_SET_SECURITY( event, DACL_SECURITY_INFORMATION, ERROR_SUCCESS );
1624     /* NULL DACL is valid and means default DACL from token */
1625     SecurityDescriptor->Control |= SE_DACL_PRESENT;
1626     CHECK_SET_SECURITY( event, DACL_SECURITY_INFORMATION, ERROR_SUCCESS );
1627
1628     /* Set owner and group and dacl */
1629     res = SetSecurityDescriptorOwner(SecurityDescriptor, AdminSid, FALSE);
1630     ok(res, "SetSecurityDescriptorOwner failed with error %d\n", GetLastError());
1631     CHECK_SET_SECURITY( event, OWNER_SECURITY_INFORMATION, ERROR_SUCCESS );
1632     res = SetSecurityDescriptorGroup(SecurityDescriptor, UsersSid, FALSE);
1633     ok(res, "SetSecurityDescriptorGroup failed with error %d\n", GetLastError());
1634     CHECK_SET_SECURITY( event, GROUP_SECURITY_INFORMATION, ERROR_SUCCESS );
1635     res = SetSecurityDescriptorDacl(SecurityDescriptor, TRUE, Acl, FALSE);
1636     ok(res, "SetSecurityDescriptorDacl failed with error %d\n", GetLastError());
1637     CHECK_SET_SECURITY( event, DACL_SECURITY_INFORMATION, ERROR_SUCCESS );
1638
1639     sprintf(buffer, "%s tests/security.c test", myARGV[0]);
1640     memset(&startup, 0, sizeof(startup));
1641     startup.cb = sizeof(startup);
1642     startup.dwFlags = STARTF_USESHOWWINDOW;
1643     startup.wShowWindow = SW_SHOWNORMAL;
1644
1645     psa.nLength = sizeof(psa);
1646     psa.lpSecurityDescriptor = SecurityDescriptor;
1647     psa.bInheritHandle = TRUE;
1648
1649     /* Doesn't matter what ACL say we should get full access for ourselves */
1650     ok(CreateProcessA( NULL, buffer, &psa, NULL, FALSE, 0, NULL, NULL, &startup, &info ),
1651         "CreateProcess with err:%d\n", GetLastError());
1652     TEST_GRANTED_ACCESS( info.hProcess, PROCESS_ALL_ACCESS );
1653     ok(WaitForSingleObject(info.hProcess, 30000) == WAIT_OBJECT_0, "Child process termination\n");
1654
1655     CloseHandle( event );
1656     HeapFree(GetProcessHeap(), 0, Acl);
1657     HeapFree(GetProcessHeap(), 0, SecurityDescriptor);
1658 }
1659
1660 static void test_process_security_child(void)
1661 {
1662     HANDLE handle, handle1;
1663     BOOL ret;
1664     DWORD err;
1665
1666     handle = OpenProcess( PROCESS_TERMINATE, FALSE, GetCurrentProcessId() );
1667     ok(handle != NULL, "OpenProcess(PROCESS_TERMINATE) with err:%d\n", GetLastError());
1668     TEST_GRANTED_ACCESS( handle, PROCESS_TERMINATE );
1669
1670     ok(DuplicateHandle( GetCurrentProcess(), handle, GetCurrentProcess(),
1671                         &handle1, 0, TRUE, DUPLICATE_SAME_ACCESS ),
1672        "duplicating handle err:%d\n", GetLastError());
1673     TEST_GRANTED_ACCESS( handle1, PROCESS_TERMINATE );
1674
1675     CloseHandle( handle1 );
1676
1677     SetLastError( 0xdeadbeef );
1678     ret = DuplicateHandle( GetCurrentProcess(), handle, GetCurrentProcess(),
1679                            &handle1, PROCESS_ALL_ACCESS, TRUE, 0 );
1680     err = GetLastError();
1681     todo_wine
1682     ok(!ret && err == ERROR_ACCESS_DENIED, "duplicating handle should have failed "
1683        "with STATUS_ACCESS_DENIED, instead of err:%d\n", err);
1684
1685     CloseHandle( handle );
1686
1687     /* These two should fail - they are denied by ACL */
1688     handle = OpenProcess( PROCESS_VM_READ, FALSE, GetCurrentProcessId() );
1689     todo_wine
1690     ok(handle == NULL, "OpenProcess(PROCESS_VM_READ) should have failed\n");
1691     handle = OpenProcess( PROCESS_ALL_ACCESS, FALSE, GetCurrentProcessId() );
1692     todo_wine
1693     ok(handle == NULL, "OpenProcess(PROCESS_ALL_ACCESS) should have failed\n");
1694
1695     /* Documented privilege elevation */
1696     ok(DuplicateHandle( GetCurrentProcess(), GetCurrentProcess(), GetCurrentProcess(),
1697                         &handle, 0, TRUE, DUPLICATE_SAME_ACCESS ),
1698        "duplicating handle err:%d\n", GetLastError());
1699     TEST_GRANTED_ACCESS( handle, PROCESS_ALL_ACCESS );
1700
1701     CloseHandle( handle );
1702
1703     /* Same only explicitly asking for all access rights */
1704     ok(DuplicateHandle( GetCurrentProcess(), GetCurrentProcess(), GetCurrentProcess(),
1705                         &handle, PROCESS_ALL_ACCESS, TRUE, 0 ),
1706        "duplicating handle err:%d\n", GetLastError());
1707     TEST_GRANTED_ACCESS( handle, PROCESS_ALL_ACCESS );
1708     ok(DuplicateHandle( GetCurrentProcess(), handle, GetCurrentProcess(),
1709                         &handle1, PROCESS_VM_READ, TRUE, 0 ),
1710        "duplicating handle err:%d\n", GetLastError());
1711     TEST_GRANTED_ACCESS( handle1, PROCESS_VM_READ );
1712     CloseHandle( handle1 );
1713     CloseHandle( handle );
1714 }
1715
1716 static void test_impersonation_level(void)
1717 {
1718     HANDLE Token, ProcessToken;
1719     HANDLE Token2;
1720     DWORD Size;
1721     TOKEN_PRIVILEGES *Privileges;
1722     TOKEN_USER *User;
1723     PRIVILEGE_SET *PrivilegeSet;
1724     BOOL AccessGranted;
1725     BOOL ret;
1726     HKEY hkey;
1727     DWORD error;
1728
1729     pDuplicateTokenEx = (fnDuplicateTokenEx) GetProcAddress(hmod, "DuplicateTokenEx");
1730     if( !pDuplicateTokenEx ) {
1731         skip("DuplicateTokenEx is not available\n");
1732         return;
1733     }
1734     SetLastError(0xdeadbeef);
1735     ret = ImpersonateSelf(SecurityAnonymous);
1736     if(!ret && (GetLastError() == ERROR_CALL_NOT_IMPLEMENTED))
1737     {
1738         skip("ImpersonateSelf is not implemented\n");
1739         return;
1740     }
1741     ok(ret, "ImpersonateSelf(SecurityAnonymous) failed with error %d\n", GetLastError());
1742     ret = OpenThreadToken(GetCurrentThread(), TOKEN_QUERY | TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY_SOURCE | TOKEN_IMPERSONATE | TOKEN_ADJUST_DEFAULT, TRUE, &Token);
1743     ok(!ret, "OpenThreadToken should have failed\n");
1744     error = GetLastError();
1745     ok(error == ERROR_CANT_OPEN_ANONYMOUS, "OpenThreadToken on anonymous token should have returned ERROR_CANT_OPEN_ANONYMOUS instead of %d\n", error);
1746     /* can't perform access check when opening object against an anonymous impersonation token */
1747     todo_wine {
1748     error = RegOpenKeyEx(HKEY_CURRENT_USER, "Software", 0, KEY_READ, &hkey);
1749     ok(error == ERROR_INVALID_HANDLE, "RegOpenKeyEx should have failed with ERROR_INVALID_HANDLE instead of %d\n", error);
1750     }
1751     RevertToSelf();
1752
1753     ret = OpenProcessToken(GetCurrentProcess(), TOKEN_DUPLICATE, &ProcessToken);
1754     ok(ret, "OpenProcessToken failed with error %d\n", GetLastError());
1755
1756     ret = pDuplicateTokenEx(ProcessToken,
1757         TOKEN_QUERY | TOKEN_DUPLICATE | TOKEN_IMPERSONATE, NULL,
1758         SecurityAnonymous, TokenImpersonation, &Token);
1759     ok(ret, "DuplicateTokenEx failed with error %d\n", GetLastError());
1760     /* can't increase the impersonation level */
1761     ret = DuplicateToken(Token, SecurityIdentification, &Token2);
1762     error = GetLastError();
1763     ok(!ret && error == ERROR_BAD_IMPERSONATION_LEVEL,
1764         "Duplicating a token and increasing the impersonation level should have failed with ERROR_BAD_IMPERSONATION_LEVEL instead of %d\n", error);
1765     /* we can query anything from an anonymous token, including the user */
1766     ret = GetTokenInformation(Token, TokenUser, NULL, 0, &Size);
1767     error = GetLastError();
1768     ok(!ret && error == ERROR_INSUFFICIENT_BUFFER, "GetTokenInformation(TokenUser) should have failed with ERROR_INSUFFICIENT_BUFFER instead of %d\n", error);
1769     User = (TOKEN_USER *)HeapAlloc(GetProcessHeap(), 0, Size);
1770     ret = GetTokenInformation(Token, TokenUser, User, Size, &Size);
1771     ok(ret, "GetTokenInformation(TokenUser) failed with error %d\n", GetLastError());
1772     HeapFree(GetProcessHeap(), 0, User);
1773
1774     /* PrivilegeCheck fails with SecurityAnonymous level */
1775     ret = GetTokenInformation(Token, TokenPrivileges, NULL, 0, &Size);
1776     error = GetLastError();
1777     ok(!ret && error == ERROR_INSUFFICIENT_BUFFER, "GetTokenInformation(TokenPrivileges) should have failed with ERROR_INSUFFICIENT_BUFFER instead of %d\n", error);
1778     Privileges = (TOKEN_PRIVILEGES *)HeapAlloc(GetProcessHeap(), 0, Size);
1779     ret = GetTokenInformation(Token, TokenPrivileges, Privileges, Size, &Size);
1780     ok(ret, "GetTokenInformation(TokenPrivileges) failed with error %d\n", GetLastError());
1781
1782     PrivilegeSet = (PRIVILEGE_SET *)HeapAlloc(GetProcessHeap(), 0, FIELD_OFFSET(PRIVILEGE_SET, Privilege[Privileges->PrivilegeCount]));
1783     PrivilegeSet->PrivilegeCount = Privileges->PrivilegeCount;
1784     memcpy(PrivilegeSet->Privilege, Privileges->Privileges, PrivilegeSet->PrivilegeCount * sizeof(PrivilegeSet->Privilege[0]));
1785     PrivilegeSet->Control = PRIVILEGE_SET_ALL_NECESSARY;
1786     HeapFree(GetProcessHeap(), 0, Privileges);
1787
1788     ret = PrivilegeCheck(Token, PrivilegeSet, &AccessGranted);
1789     error = GetLastError();
1790     ok(!ret && error == ERROR_BAD_IMPERSONATION_LEVEL, "PrivilegeCheck for SecurityAnonymous token should have failed with ERROR_BAD_IMPERSONATION_LEVEL instead of %d\n", error);
1791
1792     CloseHandle(Token);
1793
1794     ret = ImpersonateSelf(SecurityIdentification);
1795     ok(ret, "ImpersonateSelf(SecurityIdentification) failed with error %d\n", GetLastError());
1796     ret = OpenThreadToken(GetCurrentThread(), TOKEN_QUERY | TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY_SOURCE | TOKEN_IMPERSONATE | TOKEN_ADJUST_DEFAULT, TRUE, &Token);
1797     ok(ret, "OpenThreadToken failed with error %d\n", GetLastError());
1798
1799     /* can't perform access check when opening object against an identification impersonation token */
1800     error = RegOpenKeyEx(HKEY_CURRENT_USER, "Software", 0, KEY_READ, &hkey);
1801     todo_wine {
1802     ok(error == ERROR_INVALID_HANDLE, "RegOpenKeyEx should have failed with ERROR_INVALID_HANDLE instead of %d\n", error);
1803     }
1804     ret = PrivilegeCheck(Token, PrivilegeSet, &AccessGranted);
1805     ok(ret, "PrivilegeCheck for SecurityIdentification failed with error %d\n", GetLastError());
1806     CloseHandle(Token);
1807     RevertToSelf();
1808
1809     ret = ImpersonateSelf(SecurityImpersonation);
1810     ok(ret, "ImpersonateSelf(SecurityImpersonation) failed with error %d\n", GetLastError());
1811     ret = OpenThreadToken(GetCurrentThread(), TOKEN_QUERY | TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY_SOURCE | TOKEN_IMPERSONATE | TOKEN_ADJUST_DEFAULT, TRUE, &Token);
1812     ok(ret, "OpenThreadToken failed with error %d\n", GetLastError());
1813     error = RegOpenKeyEx(HKEY_CURRENT_USER, "Software", 0, KEY_READ, &hkey);
1814     ok(error == ERROR_SUCCESS, "RegOpenKeyEx should have succeeded instead of failing with %d\n", error);
1815     RegCloseKey(hkey);
1816     ret = PrivilegeCheck(Token, PrivilegeSet, &AccessGranted);
1817     ok(ret, "PrivilegeCheck for SecurityImpersonation failed with error %d\n", GetLastError());
1818     RevertToSelf();
1819
1820     CloseHandle(Token);
1821     CloseHandle(ProcessToken);
1822
1823     HeapFree(GetProcessHeap(), 0, PrivilegeSet);
1824 }
1825
1826 static void test_SetEntriesInAcl(void)
1827 {
1828     ACL *acl = (ACL*)0xdeadbeef;
1829     DWORD res;
1830
1831     if (!pSetEntriesInAclW)
1832     {
1833         skip("SetEntriesInAclW is not available\n");
1834         return;
1835     }
1836
1837     res = pSetEntriesInAclW(0, NULL, NULL, &acl);
1838     if(res == ERROR_CALL_NOT_IMPLEMENTED)
1839     {
1840         skip("SetEntriesInAclW is not implemented\n");
1841         return;
1842     }
1843     ok(res == ERROR_SUCCESS, "SetEntriesInAclW failed: %u\n", res);
1844     ok(acl == NULL, "acl=%p, expected NULL\n", acl);
1845 }
1846
1847 static void test_GetNamedSecurityInfoA(void)
1848 {
1849     PSECURITY_DESCRIPTOR pSecDesc;
1850     DWORD revision;
1851     SECURITY_DESCRIPTOR_CONTROL control;
1852     PSID owner;
1853     PSID group;
1854     BOOL owner_defaulted;
1855     BOOL group_defaulted;
1856     DWORD error;
1857     BOOL ret;
1858     CHAR windows_dir[MAX_PATH];
1859
1860     if (!pGetNamedSecurityInfoA)
1861     {
1862         skip("GetNamedSecurityInfoA is not available\n");
1863         return;
1864     }
1865
1866     ret = GetWindowsDirectoryA(windows_dir, MAX_PATH);
1867     ok(ret, "GetWindowsDirectory failed with error %d\n", GetLastError());
1868
1869     SetLastError(0xdeadbeef);
1870     error = pGetNamedSecurityInfoA(windows_dir, SE_FILE_OBJECT,
1871         OWNER_SECURITY_INFORMATION|GROUP_SECURITY_INFORMATION|DACL_SECURITY_INFORMATION,
1872         NULL, NULL, NULL, NULL, &pSecDesc);
1873     if (error != ERROR_SUCCESS && (GetLastError() == ERROR_CALL_NOT_IMPLEMENTED))
1874     {
1875         skip("GetNamedSecurityInfoA is not implemented\n");
1876         return;
1877     }
1878     ok(!error, "GetNamedSecurityInfo failed with error %d\n", error);
1879
1880     ret = GetSecurityDescriptorControl(pSecDesc, &control, &revision);
1881     ok(ret, "GetSecurityDescriptorControl failed with error %d\n", GetLastError());
1882     ok((control & (SE_SELF_RELATIVE|SE_DACL_PRESENT)) == (SE_SELF_RELATIVE|SE_DACL_PRESENT),
1883         "control (0x%x) doesn't have (SE_SELF_RELATIVE|SE_DACL_PRESENT) flags set\n", control);
1884     ok(revision == SECURITY_DESCRIPTOR_REVISION1, "revision was %d instead of 1\n", revision);
1885     ret = GetSecurityDescriptorOwner(pSecDesc, &owner, &owner_defaulted);
1886     ok(ret, "GetSecurityDescriptorOwner failed with error %d\n", GetLastError());
1887     ok(owner != NULL, "owner should not be NULL\n");
1888     ret = GetSecurityDescriptorGroup(pSecDesc, &group, &group_defaulted);
1889     ok(ret, "GetSecurityDescriptorGroup failed with error %d\n", GetLastError());
1890     ok(group != NULL, "group should not be NULL\n");
1891 }
1892
1893 static void test_ConvertStringSecurityDescriptor(void)
1894 {
1895     BOOL ret;
1896     PSECURITY_DESCRIPTOR pSD;
1897
1898     if (!pConvertStringSecurityDescriptorToSecurityDescriptorA)
1899     {
1900         skip("ConvertStringSecurityDescriptorToSecurityDescriptor is not available\n");
1901         return;
1902     }
1903
1904     SetLastError(0xdeadbeef);
1905     ret = pConvertStringSecurityDescriptorToSecurityDescriptorA(
1906         "D:(A;;GA;;;WD)", 0xdeadbeef, &pSD, NULL);
1907     ok(!ret && GetLastError() == ERROR_UNKNOWN_REVISION,
1908         "ConvertStringSecurityDescriptorToSecurityDescriptor should have failed with ERROR_UNKNOWN_REVISION instead of %d\n",
1909         GetLastError());
1910
1911     /* test ACE string type */
1912     SetLastError(0xdeadbeef);
1913     ret = pConvertStringSecurityDescriptorToSecurityDescriptorA(
1914         "D:(A;;GA;;;WD)", SDDL_REVISION_1, &pSD, NULL);
1915     ok(ret, "ConvertStringSecurityDescriptorToSecurityDescriptor failed with error %d\n", GetLastError());
1916     LocalFree(pSD);
1917
1918     SetLastError(0xdeadbeef);
1919     ret = pConvertStringSecurityDescriptorToSecurityDescriptorA(
1920         "D:(D;;GA;;;WD)", SDDL_REVISION_1, &pSD, NULL);
1921     ok(ret, "ConvertStringSecurityDescriptorToSecurityDescriptor failed with error %d\n", GetLastError());
1922     LocalFree(pSD);
1923
1924     SetLastError(0xdeadbeef);
1925     ret = pConvertStringSecurityDescriptorToSecurityDescriptorA(
1926         "ERROR:(D;;GA;;;WD)", SDDL_REVISION_1, &pSD, NULL);
1927     ok(!ret && GetLastError() == ERROR_INVALID_PARAMETER,
1928         "ConvertStringSecurityDescriptorToSecurityDescriptor should have failed with ERROR_INVALID_PARAMETER instead of %d\n",
1929         GetLastError());
1930
1931     /* test ACE string access rights */
1932     SetLastError(0xdeadbeef);
1933     ret = pConvertStringSecurityDescriptorToSecurityDescriptorA(
1934         "D:(A;;GA;;;WD)", SDDL_REVISION_1, &pSD, NULL);
1935     ok(ret, "ConvertStringSecurityDescriptorToSecurityDescriptor failed with error %d\n", GetLastError());
1936     LocalFree(pSD);
1937     SetLastError(0xdeadbeef);
1938     ret = pConvertStringSecurityDescriptorToSecurityDescriptorA(
1939         "D:(A;;GRGWGX;;;WD)", SDDL_REVISION_1, &pSD, NULL);
1940     ok(ret, "ConvertStringSecurityDescriptorToSecurityDescriptor failed with error %d\n", GetLastError());
1941     LocalFree(pSD);
1942     SetLastError(0xdeadbeef);
1943     ret = pConvertStringSecurityDescriptorToSecurityDescriptorA(
1944         "D:(A;;RCSDWDWO;;;WD)", SDDL_REVISION_1, &pSD, NULL);
1945     ok(ret, "ConvertStringSecurityDescriptorToSecurityDescriptor failed with error %d\n", GetLastError());
1946     LocalFree(pSD);
1947     SetLastError(0xdeadbeef);
1948     ret = pConvertStringSecurityDescriptorToSecurityDescriptorA(
1949         "D:(A;;RPWPCCDCLCSWLODTCR;;;WD)", SDDL_REVISION_1, &pSD, NULL);
1950     ok(ret, "ConvertStringSecurityDescriptorToSecurityDescriptor failed with error %d\n", GetLastError());
1951     LocalFree(pSD);
1952     SetLastError(0xdeadbeef);
1953     ret = pConvertStringSecurityDescriptorToSecurityDescriptorA(
1954         "D:(A;;FAFRFWFX;;;WD)", SDDL_REVISION_1, &pSD, NULL);
1955     ok(ret, "ConvertStringSecurityDescriptorToSecurityDescriptor failed with error %d\n", GetLastError());
1956     LocalFree(pSD);
1957     SetLastError(0xdeadbeef);
1958     ret = pConvertStringSecurityDescriptorToSecurityDescriptorA(
1959         "D:(A;;KAKRKWKX;;;WD)", SDDL_REVISION_1, &pSD, NULL);
1960     ok(ret, "ConvertStringSecurityDescriptorToSecurityDescriptor failed with error %d\n", GetLastError());
1961     LocalFree(pSD);
1962     SetLastError(0xdeadbeef);
1963     ret = pConvertStringSecurityDescriptorToSecurityDescriptorA(
1964         "D:(A;;0xFFFFFFFF;;;WD)", SDDL_REVISION_1, &pSD, NULL);
1965     ok(ret, "ConvertStringSecurityDescriptorToSecurityDescriptor failed with error %d\n", GetLastError());
1966     LocalFree(pSD);
1967     SetLastError(0xdeadbeef);
1968     ret = pConvertStringSecurityDescriptorToSecurityDescriptorA(
1969         "S:(AU;;0xFFFFFFFF;;;WD)", SDDL_REVISION_1, &pSD, NULL);
1970     ok(ret, "ConvertStringSecurityDescriptorToSecurityDescriptor failed with error %d\n", GetLastError());
1971     LocalFree(pSD);
1972
1973     /* test ACE string access right error case */
1974     SetLastError(0xdeadbeef);
1975     ret = pConvertStringSecurityDescriptorToSecurityDescriptorA(
1976         "D:(A;;ROB;;;WD)", SDDL_REVISION_1, &pSD, NULL);
1977     todo_wine
1978     ok(!ret && GetLastError() == ERROR_INVALID_ACL,
1979         "ConvertStringSecurityDescriptorToSecurityDescriptor should have failed with ERROR_INVALID_ACL instead of %d\n",
1980         GetLastError());
1981
1982     /* test ACE string SID */
1983     SetLastError(0xdeadbeef);
1984     ret = pConvertStringSecurityDescriptorToSecurityDescriptorA(
1985         "D:(D;;GA;;;S-1-0-0)", SDDL_REVISION_1, &pSD, NULL);
1986     ok(ret, "ConvertStringSecurityDescriptorToSecurityDescriptor failed with error %d\n", GetLastError());
1987     LocalFree(pSD);
1988
1989     SetLastError(0xdeadbeef);
1990     ret = pConvertStringSecurityDescriptorToSecurityDescriptorA(
1991         "D:(D;;GA;;;Nonexistent account)", SDDL_REVISION_1, &pSD, NULL);
1992     todo_wine
1993     ok(!ret && GetLastError() == ERROR_INVALID_ACL,
1994         "ConvertStringSecurityDescriptorToSecurityDescriptor should have failed with ERROR_INVALID_ACL instead of %d\n",
1995         GetLastError());
1996 }
1997
1998 static void test_ConvertSecurityDescriptorToString()
1999 {
2000     SECURITY_DESCRIPTOR desc;
2001     SECURITY_INFORMATION sec_info = OWNER_SECURITY_INFORMATION|GROUP_SECURITY_INFORMATION|DACL_SECURITY_INFORMATION|SACL_SECURITY_INFORMATION;
2002     LPSTR string;
2003     DWORD size;
2004     PSID psid, psid2;
2005     PACL pacl;
2006     char sid_buf[256];
2007     char acl_buf[8192];
2008     ULONG len;
2009
2010     if (!pConvertSecurityDescriptorToStringSecurityDescriptorA)
2011     {
2012         skip("ConvertSecurityDescriptorToStringSecurityDescriptor is not available\n");
2013         return;
2014     }
2015     if (!pCreateWellKnownSid)
2016     {
2017         skip("CreateWellKnownSid is not available\n");
2018         return;
2019     }
2020
2021 /* It seems Windows XP adds an extra character to the length of the string for each ACE in an ACL. We
2022  * don't replicate this feature so we only test len >= strlen+1. */
2023 #define CHECK_RESULT_AND_FREE(exp_str) \
2024     ok(strcmp(string, (exp_str)) == 0, "String mismatch (expected \"%s\", got \"%s\")\n", (exp_str), string); \
2025     ok(len >= (strlen(exp_str) + 1), "Length mismatch (expected %d, got %d)\n", strlen(exp_str) + 1, len); \
2026     LocalFree(string);
2027
2028 #define CHECK_ONE_OF_AND_FREE(exp_str1, exp_str2) \
2029     ok(strcmp(string, (exp_str1)) == 0 || strcmp(string, (exp_str2)) == 0, "String mismatch (expected\n\"%s\" or\n\"%s\", got\n\"%s\")\n", (exp_str1), (exp_str2), string); \
2030     ok(len >= (strlen(string) + 1), "Length mismatch (expected %d, got %d)\n", strlen(string) + 1, len); \
2031     LocalFree(string);
2032
2033     InitializeSecurityDescriptor(&desc, SECURITY_DESCRIPTOR_REVISION);
2034     ok(pConvertSecurityDescriptorToStringSecurityDescriptorA(&desc, SDDL_REVISION_1, sec_info, &string, &len), "Conversion failed\n");
2035     CHECK_RESULT_AND_FREE("");
2036
2037     size = 4096;
2038     pCreateWellKnownSid(WinLocalSid, NULL, sid_buf, &size);
2039     SetSecurityDescriptorOwner(&desc, (PSID)sid_buf, FALSE);
2040     ok(pConvertSecurityDescriptorToStringSecurityDescriptorA(&desc, SDDL_REVISION_1, sec_info, &string, &len), "Conversion failed\n");
2041     CHECK_RESULT_AND_FREE("O:S-1-2-0");
2042
2043     SetSecurityDescriptorOwner(&desc, (PSID)sid_buf, TRUE);
2044     ok(pConvertSecurityDescriptorToStringSecurityDescriptorA(&desc, SDDL_REVISION_1, sec_info, &string, &len), "Conversion failed\n");
2045     CHECK_RESULT_AND_FREE("O:S-1-2-0");
2046
2047     size = sizeof(sid_buf);
2048     pCreateWellKnownSid(WinLocalSystemSid, NULL, sid_buf, &size);
2049     SetSecurityDescriptorOwner(&desc, (PSID)sid_buf, TRUE);
2050     ok(pConvertSecurityDescriptorToStringSecurityDescriptorA(&desc, SDDL_REVISION_1, sec_info, &string, &len), "Conversion failed\n");
2051     CHECK_RESULT_AND_FREE("O:SY");
2052
2053     ConvertStringSidToSid("S-1-5-21-93476-23408-4576", &psid);
2054     SetSecurityDescriptorGroup(&desc, psid, TRUE);
2055     ok(pConvertSecurityDescriptorToStringSecurityDescriptorA(&desc, SDDL_REVISION_1, sec_info, &string, &len), "Conversion failed\n");
2056     CHECK_RESULT_AND_FREE("O:SYG:S-1-5-21-93476-23408-4576");
2057
2058     ok(pConvertSecurityDescriptorToStringSecurityDescriptorA(&desc, SDDL_REVISION_1, GROUP_SECURITY_INFORMATION, &string, &len), "Conversion failed\n");
2059     CHECK_RESULT_AND_FREE("G:S-1-5-21-93476-23408-4576");
2060
2061     pacl = (PACL)acl_buf;
2062     InitializeAcl(pacl, sizeof(acl_buf), ACL_REVISION);
2063     SetSecurityDescriptorDacl(&desc, TRUE, pacl, TRUE);
2064     ok(pConvertSecurityDescriptorToStringSecurityDescriptorA(&desc, SDDL_REVISION_1, sec_info, &string, &len), "Conversion failed\n");
2065     CHECK_RESULT_AND_FREE("O:SYG:S-1-5-21-93476-23408-4576D:");
2066
2067     SetSecurityDescriptorDacl(&desc, TRUE, pacl, FALSE);
2068     ok(pConvertSecurityDescriptorToStringSecurityDescriptorA(&desc, SDDL_REVISION_1, sec_info, &string, &len), "Conversion failed\n");
2069     CHECK_RESULT_AND_FREE("O:SYG:S-1-5-21-93476-23408-4576D:");
2070
2071     ConvertStringSidToSid("S-1-5-6", &psid2);
2072     AddAccessAllowedAceEx(pacl, ACL_REVISION, NO_PROPAGATE_INHERIT_ACE, 0xf0000000, psid2);
2073     ok(pConvertSecurityDescriptorToStringSecurityDescriptorA(&desc, SDDL_REVISION_1, sec_info, &string, &len), "Conversion failed\n");
2074     CHECK_RESULT_AND_FREE("O:SYG:S-1-5-21-93476-23408-4576D:(A;NP;GAGXGWGR;;;SU)");
2075
2076     AddAccessAllowedAceEx(pacl, ACL_REVISION, INHERIT_ONLY_ACE|INHERITED_ACE, 0x00000003, psid2);
2077     ok(pConvertSecurityDescriptorToStringSecurityDescriptorA(&desc, SDDL_REVISION_1, sec_info, &string, &len), "Conversion failed\n");
2078     CHECK_RESULT_AND_FREE("O:SYG:S-1-5-21-93476-23408-4576D:(A;NP;GAGXGWGR;;;SU)(A;IOID;CCDC;;;SU)");
2079
2080     AddAccessDeniedAceEx(pacl, ACL_REVISION, OBJECT_INHERIT_ACE|CONTAINER_INHERIT_ACE, 0xffffffff, psid);
2081     ok(pConvertSecurityDescriptorToStringSecurityDescriptorA(&desc, SDDL_REVISION_1, sec_info, &string, &len), "Conversion failed\n");
2082     CHECK_RESULT_AND_FREE("O:SYG:S-1-5-21-93476-23408-4576D:(A;NP;GAGXGWGR;;;SU)(A;IOID;CCDC;;;SU)(D;OICI;0xffffffff;;;S-1-5-21-93476-23408-4576)");
2083
2084
2085     pacl = (PACL)acl_buf;
2086     InitializeAcl(pacl, sizeof(acl_buf), ACL_REVISION);
2087     SetSecurityDescriptorSacl(&desc, TRUE, pacl, FALSE);
2088     ok(pConvertSecurityDescriptorToStringSecurityDescriptorA(&desc, SDDL_REVISION_1, sec_info, &string, &len), "Conversion failed\n");
2089     CHECK_RESULT_AND_FREE("O:SYG:S-1-5-21-93476-23408-4576D:S:");
2090
2091     SetSecurityDescriptorDacl(&desc, TRUE, NULL, FALSE);
2092     AddAuditAccessAceEx(pacl, ACL_REVISION, VALID_INHERIT_FLAGS, KEY_READ|KEY_WRITE, psid2, TRUE, TRUE);
2093     ok(pConvertSecurityDescriptorToStringSecurityDescriptorA(&desc, SDDL_REVISION_1, sec_info, &string, &len), "Conversion failed\n");
2094     CHECK_ONE_OF_AND_FREE("O:SYG:S-1-5-21-93476-23408-4576D:S:(AU;OICINPIOIDSAFA;CCDCLCSWRPRC;;;SU)", /* XP */
2095         "O:SYG:S-1-5-21-93476-23408-4576D:NO_ACCESS_CONTROLS:(AU;OICINPIOIDSAFA;CCDCLCSWRPRC;;;SU)" /* Vista */);
2096
2097     AddAuditAccessAceEx(pacl, ACL_REVISION, NO_PROPAGATE_INHERIT_ACE, FILE_GENERIC_READ|FILE_GENERIC_WRITE, psid2, TRUE, FALSE);
2098     ok(pConvertSecurityDescriptorToStringSecurityDescriptorA(&desc, SDDL_REVISION_1, sec_info, &string, &len), "Conversion failed\n");
2099     CHECK_ONE_OF_AND_FREE("O:SYG:S-1-5-21-93476-23408-4576D:S:(AU;OICINPIOIDSAFA;CCDCLCSWRPRC;;;SU)(AU;NPSA;0x12019f;;;SU)", /* XP */
2100                           "O:SYG:S-1-5-21-93476-23408-4576D:NO_ACCESS_CONTROLS:(AU;OICINPIOIDSAFA;CCDCLCSWRPRC;;;SU)(AU;NPSA;0x12019f;;;SU)" /* Vista */);
2101 }
2102
2103 static void test_PrivateObjectSecurity(void)
2104 {
2105     SECURITY_INFORMATION sec_info = OWNER_SECURITY_INFORMATION|GROUP_SECURITY_INFORMATION|DACL_SECURITY_INFORMATION|SACL_SECURITY_INFORMATION;
2106     SECURITY_DESCRIPTOR_CONTROL ctrl;
2107     PSECURITY_DESCRIPTOR sec;
2108     DWORD dwDescSize;
2109     DWORD dwRevision;
2110     DWORD retSize;
2111     LPSTR string;
2112     ULONG len;
2113     PSECURITY_DESCRIPTOR buf;
2114
2115     ok(ConvertStringSecurityDescriptorToSecurityDescriptorA(
2116         "O:SY"
2117         "G:S-1-5-21-93476-23408-4576"
2118         "D:(A;NP;GAGXGWGR;;;SU)(A;IOID;CCDC;;;SU)(D;OICI;0xffffffff;;;S-1-5-21-93476-23408-4576)"
2119         "S:(AU;OICINPIOIDSAFA;CCDCLCSWRPRC;;;SU)(AU;NPSA;0x12019f;;;SU)", SDDL_REVISION_1, &sec, &dwDescSize), "Creating descriptor failed\n");
2120     buf = HeapAlloc(GetProcessHeap(), 0, dwDescSize);
2121     SetSecurityDescriptorControl(sec, SE_DACL_PROTECTED, SE_DACL_PROTECTED);
2122     GetSecurityDescriptorControl(sec, &ctrl, &dwRevision);
2123     todo_wine expect_eq(ctrl, 0x9014, int, "%x");
2124
2125     ok(GetPrivateObjectSecurity(sec, GROUP_SECURITY_INFORMATION, buf, dwDescSize, &retSize),
2126         "GetPrivateObjectSecurity failed (err=%u)\n", GetLastError());
2127     ok(retSize <= dwDescSize, "Buffer too small (%d vs %d)\n", retSize, dwDescSize);
2128     ok(pConvertSecurityDescriptorToStringSecurityDescriptorA(buf, SDDL_REVISION_1, sec_info, &string, &len), "Conversion failed\n");
2129     CHECK_RESULT_AND_FREE("G:S-1-5-21-93476-23408-4576");
2130     GetSecurityDescriptorControl(buf, &ctrl, &dwRevision);
2131     expect_eq(ctrl, 0x8000, int, "%x");
2132
2133     ok(GetPrivateObjectSecurity(sec, GROUP_SECURITY_INFORMATION|DACL_SECURITY_INFORMATION, buf, dwDescSize, &retSize),
2134         "GetPrivateObjectSecurity failed (err=%u)\n", GetLastError());
2135     ok(retSize <= dwDescSize, "Buffer too small (%d vs %d)\n", retSize, dwDescSize);
2136     ok(pConvertSecurityDescriptorToStringSecurityDescriptorA(buf, SDDL_REVISION_1, sec_info, &string, &len), "Conversion failed err=%u\n", GetLastError());
2137     CHECK_RESULT_AND_FREE("G:S-1-5-21-93476-23408-4576D:(A;NP;GAGXGWGR;;;SU)(A;IOID;CCDC;;;SU)(D;OICI;0xffffffff;;;S-1-5-21-93476-23408-4576)");
2138     GetSecurityDescriptorControl(buf, &ctrl, &dwRevision);
2139     expect_eq(ctrl, 0x8004, int, "%x");
2140
2141     ok(GetPrivateObjectSecurity(sec, sec_info, buf, dwDescSize, &retSize),
2142         "GetPrivateObjectSecurity failed (err=%u)\n", GetLastError());
2143     ok(retSize == dwDescSize, "Buffer too small (%d vs %d)\n", retSize, dwDescSize);
2144     ok(pConvertSecurityDescriptorToStringSecurityDescriptorA(buf, SDDL_REVISION_1, sec_info, &string, &len), "Conversion failed\n");
2145     CHECK_RESULT_AND_FREE("O:SY"
2146         "G:S-1-5-21-93476-23408-4576"
2147         "D:(A;NP;GAGXGWGR;;;SU)(A;IOID;CCDC;;;SU)(D;OICI;0xffffffff;;;S-1-5-21-93476-23408-4576)"
2148         "S:(AU;OICINPIOIDSAFA;CCDCLCSWRPRC;;;SU)(AU;NPSA;0x12019f;;;SU)");
2149     GetSecurityDescriptorControl(buf, &ctrl, &dwRevision);
2150     expect_eq(ctrl, 0x8014, int, "%x");
2151
2152     SetLastError(0xdeadbeef);
2153     ok(GetPrivateObjectSecurity(sec, sec_info, buf, 5, &retSize) == FALSE, "GetPrivateObjectSecurity should have failed\n");
2154     ok(GetLastError() == ERROR_INSUFFICIENT_BUFFER, "Expected error ERROR_INSUFFICIENT_BUFFER, got %u\n", GetLastError());
2155
2156     LocalFree(sec);
2157     HeapFree(GetProcessHeap(), 0, buf);
2158 }
2159 #undef CHECK_RESULT_AND_FREE
2160 #undef CHECK_ONE_OF_AND_FREE
2161
2162 START_TEST(security)
2163 {
2164     init();
2165     if (!hmod) return;
2166
2167     if (myARGC >= 3)
2168     {
2169         test_process_security_child();
2170         return;
2171     }
2172     test_sid();
2173     test_trustee();
2174     test_luid();
2175     test_FileSecurity();
2176     test_AccessCheck();
2177     test_token_attr();
2178     test_LookupAccountSid();
2179     test_LookupAccountName();
2180     test_security_descriptor();
2181     test_process_security();
2182     test_impersonation_level();
2183     test_SetEntriesInAcl();
2184     test_GetNamedSecurityInfoA();
2185     test_ConvertStringSecurityDescriptor();
2186     test_ConvertSecurityDescriptorToString();
2187     test_PrivateObjectSecurity();
2188 }