SID-Attribute in einem Zugriffstoken
Jeder Benutzer und jede Gruppensicherheits-ID (SID) in einem Zugriffstoken verfügt über einen Satz von Attributen, die steuern, wie das System die SID in einer Zugriffsüberprüfung verwendet. In der folgenden Tabelle sind die Attribute aufgeführt, die die Zugriffsüberprüfung steuern.
| attribute | Beschreibung |
|---|---|
| _SE GROUP _ ENABLED | Eine SID mit diesem Attribut ist für Zugriffsüberprüfungen aktiviert. Wenn das System eine Zugriffsüberprüfung durchführt, überprüft es, ob Zugriffs- und Zugriffssteuerungseinträge (Access-Allowed, Access-Denied Access Control Entries, ACEs) für eine der aktivierten SIDs im Zugriffstoken gelten. Eine SID ohne dieses Attribut wird während einer Zugriffsüberprüfung ignoriert, es sei denn, das SE _ GROUP _ USE FOR _ _ DENY _ ONLY-Attribut ist festgelegt. |
| _SE GRUPPENNUTZUNG _ _ NUR FÜR _ VERWEIGERN _ | Eine SID mit diesem Attribut ist eine SID, die nur zum Verweigern verwendet wird. Wenn das System eine Zugriffsüberprüfung durchführt, sucht es nach Zugriffs verweigerten ACEs, die für die SID gelten. Zugriffsberechtigungen für die SID werden jedoch ignoriert. Wenn dieses Attribut festgelegt ist, wird SE GROUP ENABLED-Attribut nicht festgelegt, und _ die SID kann nicht erneut aktiviert _ werden. |
Verwenden Sie die Funktion _ _ AdjustTokenGroups, um SE GROUP ENABLED-Attribut einer Gruppen-SID fest- oder zu löschen. Sie können keine Gruppen-SID deaktivieren, die über das SE _ GROUP _ MANDATORY-Attribut verfügt. Sie können AdjustTokenGroups nicht verwenden, um die Benutzer-SID eines Zugriffstokens zu deaktivieren.
Rufen Sie die _ _ CheckTokenMembership-Funktion auf, um zu bestimmen, ob eine SID in einem Token aktiviert ist, d. SE GROUP ENABLED-Attribut.
Um das SE GROUP USE FOR DENY ONLY-Attribut einer SID festzulegen, schließen Sie die SID in die Liste der SIDs ein, die nur zum Verweigern verwendet werden, die Sie beim Aufrufen der _ _ _ _ _ CreateRestrictedToken-Funktion angeben. CreateRestrictedToken kann das SE GROUP USE FOR DENY ONLY-Attribut auf eine beliebige SID anwenden, einschließlich der Benutzer-SID und _ der _ _ Gruppen-SIDs, die über das SE _ _ GROUP MANDATORY-Attribut _ _ verfügen. Sie können jedoch weder das Attribut "Nur verweigern" aus einer SID entfernen noch AdjustTokenGroups verwenden, um das SE GROUP ENABLED-Attribut für eine _ _ NUR-SID für deny-Zugriff festlegen.
Um die Attribute einer SID abzurufen, rufen Sie die GetTokenInformation-Funktion mit dem TokenGroups-Wert auf. Die Funktion gibt ein Array von _ SID- und _ ATTRIBUTES-Strukturen zurück, die die Gruppen-SIDs und ihre Attribute identifizieren.