Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Cada usuário e grupo identificador de segurança (SID) em um token de acesso tem um conjunto de atributos que controlam como o sistema usa o SID em uma verificação de acesso. A tabela a seguir lista os atributos que controlam a verificação de acesso.
| Atributo | Descrição |
|---|---|
| SE_GROUP_ENABLED | Um SID com esse atributo está habilitado para verificações de acesso. Quando o sistema executa uma verificação de acesso, ele verifica se há acesso permitido e acesso negado entradas de controle de acesso (ACEs) que se aplicam a um dos SIDs habilitados no token de acesso. Um SID sem esse atributo é ignorado durante uma verificação de acesso, a menos que o atributo SE_GROUP_USE_FOR_DENY_ONLY seja definido. |
| SE_GROUP_USE_FOR_DENY_ONLY | Um SID com esse atributo é um SID somente de negação. Quando o sistema executa uma verificação de acesso, ele verifica se há ACEs de acesso negado que se aplicam ao SID, mas ignora ACEs de acesso permitido para o SID. Se esse atributo estiver definido, o atributo SE_GROUP_ENABLED não será definido e o SID não poderá ser reativado. |
Para definir ou limpar o atributo SE_GROUP_ENABLED de um SID de grupo, use a funçãoAdjustTokenGroups. Não é possível desativar um SID de grupo que tenha o atributo SE_GROUP_MANDATORY. Não é possível usar AdjustTokenGroups para desabilitar o SID do usuário de um token de acesso.
Para determinar se um SID está habilitado em um token, ou seja, se ele tem o atributo SE_GROUP_ENABLED, chame o função CheckTokenMembership.
Para definir o atributo SE_GROUP_USE_FOR_DENY_ONLY de um SID, inclua o SID na lista de SIDs somente de negação que você especifica quando chama a funçãoCreateRestrictedToken. CreateRestrictedToken pode aplicar o atributo SE_GROUP_USE_FOR_DENY_ONLY a qualquer SID, incluindo o SID do usuário e os SIDs de grupo que têm o atributo SE_GROUP_MANDATORY. No entanto, você não pode remover o atributo deny-only de um SID, nem pode usar AdjustTokenGroups para definir o atributo SE_GROUP_ENABLED em um SID somente de negação.
Para obter os atributos de um SID, chame a função GetTokenInformation com o valor TokenGroups. A função retorna uma matriz de estruturas SID_AND_ATTRIBUTES que identificam os SIDs do grupo e seus atributos.