TOKEN_GROUPS 结构 (winnt.h)
TOKEN_GROUPS结构包含有关访问令牌中) 的组安全标识符 (SID 的信息。
语法
typedef struct _TOKEN_GROUPS {
DWORD GroupCount;
#if ...
SID_AND_ATTRIBUTES *Groups[];
#else
SID_AND_ATTRIBUTES Groups[ANYSIZE_ARRAY];
#endif
} TOKEN_GROUPS, *PTOKEN_GROUPS;
成员
GroupCount
指定访问令牌中的组数。
Groups[*]
指定包含一组 SID 和相应属性的 SID_AND_ATTRIBUTES 结构的数组。
SID_AND_ATTRIBUTES结构的 Attributes 成员可以具有以下值。
| 值 | 含义 |
|---|---|
|
为访问检查启用 SID。 当系统执行访问检查时,它会检查适用于 SID 的 ACE (ACE) 允许访问和拒绝访问的访问控制条目。
除非设置了 SE_GROUP_USE_FOR_DENY_ONLY 属性,否则在访问检查期间将忽略没有此属性的 SID。 |
|
默认情况下,SID 处于启用状态。 |
|
SID 是强制性完整性 SID。 |
|
为强制完整性检查启用 SID。 |
|
SID 是标识与访问令牌关联的 登录会话的登录 SID。 |
|
SID 无法通过调用 AdjustTokenGroups 函数清除 SE_GROUP_ENABLED 属性。 但是,可以使用 CreateRestrictedToken 函数将强制 SID 转换为仅拒绝的 SID。 |
|
SID 标识一个组帐户,令牌的用户是组的所有者,或者可以将 SID 分配为令牌或对象的所有者。 |
|
SID 标识域本地组。 |
|
SID 是 受限令牌中的仅拒绝 SID。 当系统执行访问检查时,它会检查是否适用于 SID 的拒绝访问 ACE;它会忽略 SID 允许访问的 ACE。
如果设置了此属性,则不会设置SE_GROUP_ENABLED,并且无法重新启用 SID。 |
Groups[ANYSIZE_ARRAY]
指定包含一组 SID 和相应属性的 SID_AND_ATTRIBUTES 结构的数组。
SID_AND_ATTRIBUTES结构的 Attributes 成员可以具有以下值。
| 值 | 含义 |
|---|---|
|
为访问检查启用 SID。 当系统执行访问检查时,它会检查适用于 SID 的 ACE (ACE) 允许访问和拒绝访问的访问控制条目。
除非设置了 SE_GROUP_USE_FOR_DENY_ONLY 属性,否则在访问检查期间将忽略没有此属性的 SID。 |
|
默认情况下,SID 处于启用状态。 |
|
SID 是强制性完整性 SID。 |
|
为强制完整性检查启用 SID。 |
|
SID 是标识与访问令牌关联的 登录会话的登录 SID。 |
|
SID 无法通过调用 AdjustTokenGroups 函数清除 SE_GROUP_ENABLED 属性。 但是,可以使用 CreateRestrictedToken 函数将强制 SID 转换为仅拒绝的 SID。 |
|
SID 标识一个组帐户,令牌的用户是组的所有者,或者可以将 SID 分配为令牌或对象的所有者。 |
|
SID 标识域本地组。 |
|
SID 是 受限令牌中的仅拒绝 SID。 当系统执行访问检查时,它会检查是否适用于 SID 的拒绝访问 ACE;它会忽略 SID 允许访问的 ACE。
如果设置了此属性,则不会设置SE_GROUP_ENABLED,并且无法重新启用 SID。 |
要求
| 最低受支持的客户端 | Windows XP [仅限桌面应用] |
| 最低受支持的服务器 | Windows Server 2003 [仅限桌面应用] |
| 标头 | winnt.h (包括 Windows.h) |
另请参阅
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈