newAceIndex++;
         }
      }

    //
    // STEP 14: 把一个 access-allowed 的ACE 加入到新的DACL中
    //     前面的循环拷贝了所有的非继承且SID为其它用户的ACE，退出循环的第一件事
    // 就是加入我们指定的ACE。请注意首先先动态装载了一个AddAccessAllowedAceEx
    // 的API函数，如果装载不成功，就调用AddAccessAllowedAce函数。前一个函数仅
    // 在Windows 2000以后的版本支持，NT则没有，我们为了使用新版本的函数，我们首
    // 先先检查一下当前系统中可不可以装载这个函数，如果可以则就使用。使用动态链接
    // 比使用静态链接的好处是，程序运行时不会因为没有这个API函数而报错。
    //
    // Ex版的函数多出了一个参数AceFlag（第三人参数），用这个参数我们可以来设置一
    // 个叫ACE_HEADER的结构，以便让我们所设置的ACE可以被其子目录所继承下去，而
    // AddAccessAllowedAce函数不能定制这个参数，在AddAccessAllowedAce函数
    // 中，其会把ACE_HEADER这个结构设置成非继承的。
    //
      _AddAccessAllowedAceEx = (AddAccessAllowedAceExFnPtr)
            GetProcAddress(GetModuleHandle(TEXT("advapi32.dll")),
            "AddAccessAllowedAceEx");

      if (_AddAccessAllowedAceEx) {
           if (!_AddAccessAllowedAceEx(pNewACL, ACL_REVISION2,
              CONTAINER_INHERIT_ACE | OBJECT_INHERIT_ACE ,
                dwAccessMask, pUserSID)) {
             _tprintf(TEXT("AddAccessAllowedAceEx() failed. Error %d\n"),
                   GetLastError());
             __leave;
          }
&nb