Atributy SID v přístupového tokenu
Každý uživatel a skupina identifikátor zabezpečení (SID) v přístupový token má sadu atributů, které řídí, jak systém používá identifikátor SID při kontrole přístupu. Následující tabulka uvádí atributy, které řídí kontrolu přístupu.
| Atribut | Popis |
|---|---|
| SE_GROUP_ENABLED | Identifikátor SID s tímto atributem je povolený pro kontroly přístupu. Když systém provede kontrolu přístupu, zkontroluje povolení přístupu a odepření přístupu položky řízení přístupu (ACL), které platí pro jeden z povolených identifikátorů SID v přístupovém tokenu. Identifikátor SID bez tohoto atributu se během kontroly přístupu ignoruje, pokud není nastaven atribut SE_GROUP_USE_FOR_DENY_ONLY. |
| SE_GROUP_USE_FOR_DENY_ONLY | Identifikátor SID s tímto atributem je identifikátor SID jen pro odepření. Když systém provede kontrolu přístupu, zkontroluje přístupově odepřené řízení přístupu, které se vztahují na identifikátor SID, ale ignoruje přístupově povolené ACL pro identifikátor SID. Pokud je tento atribut nastaven, atribut SE_GROUP_ENABLED není nastaven a identifikátor SID nelze znovu povolit. |
Chcete-li nastavit nebo vymazat atribut SE_GROUP_ENABLED identifikátoru SID skupiny, použijte funkci AdjustTokenGroups. Identifikátor SID skupiny, který má atribut SE_GROUP_MANDATORY, nelze zakázat. K zakázání identifikátoru SID uživatele přístupového tokenu nelze použít AdjustTokenGroups.
Chcete-li zjistit, zda je identifikátor SID povolen v tokenu, to znamená, zda má atribut SE_GROUP_ENABLED, zavolejte funkci CheckTokenMembership.
Chcete-li nastavit atribut SE_GROUP_USE_FOR_DENY_ONLY identifikátoru SID, zahrňte identifikátor SID do seznamu identifikátorů SID, které zadáte při volání CreateRestrictedToken funkce. CreateRestrictedToken může použít atribut SE_GROUP_USE_FOR_DENY_ONLY na libovolný identifikátor SID uživatele, včetně identifikátorů SID uživatele a identifikátorů SID skupin, které mají atribut SE_GROUP_MANDATORY. Atribut odepřít nelze z identifikátoru SID odebrat ani použít AdjustTokenGroups k nastavení atributu SE_GROUP_ENABLED pouze u identifikátoru SID jen pro odepření.
Chcete-li získat atributy identifikátoru SID, zavolejte GetTokenInformation funkce s hodnotou TokenGroups. Funkce vrátí pole SID_AND_ATTRIBUTES struktur, které identifikují identifikátory SID skupiny a jejich atributy.