Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Każdy użytkownik i grupa identyfikator zabezpieczeń (SID) w tokenie dostępu ma zestaw atrybutów, które kontrolują sposób, w jaki system używa identyfikatora SID w kontroli dostępu. W poniższej tabeli wymieniono atrybuty kontrolujące sprawdzanie dostępu.
| Atrybut | Opis |
|---|---|
| SE_GROUP_ENABLED | Identyfikator SID z tym atrybutem jest włączony do sprawdzania dostępu. Gdy system przeprowadza kontrolę dostępu, sprawdza, czy są dozwolone i blokowane dostęp wpisy kontroli dostępu (ACE), które mają zastosowanie do jednego z włączonych identyfikatorów SI w tokenie dostępu. Identyfikator SID bez tego atrybutu jest ignorowany podczas sprawdzania dostępu, chyba że ustawiono atrybut SE_GROUP_USE_FOR_DENY_ONLY. |
| SE_GROUP_USE_FOR_DENY_ONLY | Identyfikator SID z tym atrybutem jest identyfikatorem SID tylko dla odmowy. Gdy system przeprowadza sprawdzanie dostępu, sprawdza, czy nie można uzyskać dostępu odrzuconych kontroli dostępu, które mają zastosowanie do identyfikatora SID, ale ignoruje dozwolone acEs dostępu dla identyfikatora SID. Jeśli ten atrybut jest ustawiony, atrybut SE_GROUP_ENABLED nie jest ustawiony i nie można ponownie przywrócić identyfikatora SID. |
Aby ustawić lub wyczyścić atrybut SE_GROUP_ENABLED identyfikatora SID grupy, użyj funkcji AdjustTokenGroups. Nie można wyłączyć identyfikatora SID grupy z atrybutem SE_GROUP_MANDATORY. Nie można użyć AdjustTokenGroups, aby wyłączyć identyfikator SID użytkownika tokenu dostępu.
Aby określić, czy identyfikator SID jest włączony w tokenie, oznacza to, czy ma atrybut SE_GROUP_ENABLED, wywołaj funkcję CheckTokenMembership.
Aby ustawić atrybut SE_GROUP_USE_FOR_DENY_ONLY identyfikatora SID, dołącz identyfikator SID na liście identyfikatorów SID tylko do odmowy określonych podczas wywoływania funkcji CreateRestrictedToken. createRestrictedToken może zastosować atrybut SE_GROUP_USE_FOR_DENY_ONLY do dowolnego identyfikatora SID, w tym identyfikatorów SID użytkownika i identyfikatorów SID grup, które mają atrybut SE_GROUP_MANDATORY. Nie można jednak usunąć atrybutu tylko odmowy z identyfikatora SID ani użyć AdjustTokenGroups, aby ustawić atrybut SE_GROUP_ENABLED dla identyfikatora SID tylko odmowy.
Aby uzyskać atrybuty identyfikatora SID, wywołaj funkcję GetTokenInformation z wartością TokenGroups. Funkcja zwraca tablicę struktur SID_AND_ATTRIBUTES, które identyfikują identyfikatory SID grupy i ich atrybuty.