JOBOBJECT_SECURITY_LIMIT_INFORMATION 結構 (winnt.h)

  • 發行項

[JOBOBJECT_SECURITY_LIMIT_INFORMATION可用於需求一節中指定的作業系統。 從 Windows Vista 開始,已移除此結構的支援。 如需詳細資訊,請參閱。]

包含作業物件的安全性限制。

語法

typedef struct _JOBOBJECT_SECURITY_LIMIT_INFORMATION {
  DWORD             SecurityLimitFlags;
  HANDLE            JobToken;
  PTOKEN_GROUPS     SidsToDisable;
  PTOKEN_PRIVILEGES PrivilegesToDelete;
  PTOKEN_GROUPS     RestrictedSids;
} JOBOBJECT_SECURITY_LIMIT_INFORMATION, *PJOBOBJECT_SECURITY_LIMIT_INFORMATION;

成員

SecurityLimitFlags

作業的安全性限制。 這個成員可以是下列一或多個值。

意義
JOB_OBJECT_SECURITY_FILTER_TOKENS
0x00000008
 在進程模擬用戶端時,將篩選套用至令牌。 至少需要設定下列其中一個成員: SidsToDisablePrivilegesToDeleteRestrictedSids
JOB_OBJECT_SECURITY_NO_ADMIN
0x00000001
 防止作業中的任何進程使用指定本機系統管理員群組的令牌。
JOB_OBJECT_SECURITY_ONLY_TOKEN
0x00000004
 強制作業中的進程在特定令牌下執行。 需要 JobToken 成員中的令牌句柄。
JOB_OBJECT_SECURITY_RESTRICTED_TOKEN
0x00000002
 防止作業中的任何進程使用未使用 CreateRestrictedToken 函式建立的令牌。

JobToken

代表使用者的主要令牌句柄。 句柄必須具有TOKEN_ASSIGN_PRIMARY存取權。

如果使用 CreateRestrictedToken 建立令牌,作業中的所有進程都會受限於該令牌或進一步限制的令牌。 否則,呼叫端必須具有SE_ASSIGNPRIMARYTOKEN_NAME許可權。

SidsToDisable

TOKEN_GROUPS 結構的指標,指定要停用的 SID 以進行存取檢查,如果 SecurityLimitFlags 為JOB_OBJECT_SECURITY_FILTER_TOKENS。

如果您不想停用任何 SID,此成員可以是 NULL。

PrivilegesToDelete

如果 SecurityLimitFlags 是JOB_OBJECT_SECURITY_FILTER_TOKENS,則為TOKEN_PRIVILEGES結構的指標,指定要從令牌中刪除的許可權。

如果您不想刪除任何許可權,此成員可以是 NULL。

RestrictedSids

如果 SecurityLimitFlags 是JOB_OBJECT_SECURITY_FILTER_TOKENS,則為TOKEN_GROUPS結構的指標,指定將新增至存取令牌的僅限拒絕 SID。

如果您不想指定任何僅限拒絕的 SID,此成員可以是 NULL。

備註

在作業中的進程上放置安全性限制之後,就無法撤銷這些限制。

從 Windows Vista 開始,您必須針對與作業對象相關聯的每個進程個別設定安全性限制,而不是使用 SetInformationJobObject 設定作業物件的安全性限制。 如需詳細資訊,請參閱 處理安全性和訪問許可權

規格需求

需求
最低支援的用戶端 Windows XP [僅限傳統型應用程式]
最低支援的伺服器 Windows Server 2003 [僅限傳統型應用程式]
標頭 winnt.h (包括 Windows.h)

另請參閱

CreateRestrictedToken

QueryInformationJobObject

SetInformationJobObject

TOKEN_GROUPS

TOKEN_PRIVILEGES