Attributi SID in un token di accesso
Ogni utente e identificatore di sicurezza del gruppo (SID) in un token di accesso dispone di un set di attributi che controllano il modo in cui il sistema usa il SID in un controllo di accesso. Nella tabella seguente sono elencati gli attributi che controllano il controllo degli accessi.
| Attributo | Descrizione |
|---|---|
| SE_GROUP_ENABLED | Un SID con questo attributo è abilitato per i controlli di accesso. Quando il sistema esegue un controllo di accesso, verifica la presenza di voci di controllo di accesso consentite e di accesso negato che si applicano a uno dei SID abilitati nel token di accesso. Un SID senza questo attributo viene ignorato durante un controllo di accesso a meno che non sia impostato l'attributo SE_GROUP_USE_FOR_DENY_ONLY. |
| SE_GROUP_USE_FOR_DENY_ONLY | Un SID con questo attributo è un SID di sola negazione. Quando il sistema esegue un controllo di accesso, verifica la presenza di ACL negati di accesso che si applicano al SID, ma ignora gli ACL consentiti per l'accesso per il SID. Se questo attributo è impostato, l'attributo SE_GROUP_ENABLED non è impostato e non è possibile riabilitare il SID. |
Per impostare o cancellare l'attributo SE_GROUP_ENABLED di un SID di gruppo, usare la funzione AdjustTokenGroups . Non è possibile disabilitare un SID di gruppo con l'attributo SE_GROUP_MANDATORY. Non è possibile usare AdjustTokenGroups per disabilitare il SID utente di un token di accesso.
Per determinare se un SID è abilitato in un token, ovvero se ha l'attributo SE_GROUP_ENABLED, chiamare la funzione CheckTokenMembership .
Per impostare l'attributo SE_GROUP_USE_FOR_DENY_ONLY di un SID, includere il SID nell'elenco dei SID negati specificati quando si chiama la funzione CreateRestrictedToken . CreateRestrictedToken può applicare l'attributo SE_GROUP_USE_FOR_DENY_ONLY a qualsiasi SID, inclusi i SID utente e i SID del gruppo con l'attributo SE_GROUP_MANDATORY. Tuttavia, non è possibile rimuovere l'attributo di sola negazione da un SID né usare AdjustTokenGroups per impostare l'attributo SE_GROUP_ENABLED in un SID di sola negazione.
Per ottenere gli attributi di un SID, chiamare la funzione GetTokenInformation con il valore TokenGroups. La funzione restituisce una matrice di strutture SID_AND_ATTRIBUTES che identificano i SID del gruppo e i relativi attributi.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per