TOKEN_GROUPS_AND_PRIVILEGES-Struktur (winnt.h)
Die TOKEN_GROUPS_AND_PRIVILEGES-Struktur enthält Informationen zu den Gruppensicherheits-IDs (SIDs) und Berechtigungen in einem Zugriffstoken.
Syntax
typedef struct _TOKEN_GROUPS_AND_PRIVILEGES {
DWORD SidCount;
DWORD SidLength;
PSID_AND_ATTRIBUTES Sids;
DWORD RestrictedSidCount;
DWORD RestrictedSidLength;
PSID_AND_ATTRIBUTES RestrictedSids;
DWORD PrivilegeCount;
DWORD PrivilegeLength;
PLUID_AND_ATTRIBUTES Privileges;
LUID AuthenticationId;
} TOKEN_GROUPS_AND_PRIVILEGES, *PTOKEN_GROUPS_AND_PRIVILEGES;
Member
SidCount
Anzahl der SIDs im Zugriffstoken.
SidLength
Die Länge in Bytes, die erforderlich ist, um alle Benutzer-SIDs und die Konto-SID für die Gruppe zu enthalten.
Sids
Ein Zeiger auf ein Array von SID_AND_ATTRIBUTES Strukturen, die einen Satz von SIDs und entsprechenden Attributen enthalten.
Die Attributes-Member der SID_AND_ATTRIBUTES-Strukturen können die folgenden Werte aufweisen.
| Wert | Bedeutung |
|---|---|
|
Die SID ist für Zugriffsprüfungen aktiviert. Wenn das System eine Zugriffsüberprüfung durchführt, wird überprüft, ob Zugriffssteuerungseinträge (Access Allowed) und Zugriffssteuerungseinträge (Access Denied Access Control Entries , ACEs) für die SID gelten.
Eine SID ohne dieses Attribut wird während einer Zugriffsüberprüfung ignoriert, es sei denn, das attribut SE_GROUP_USE_FOR_DENY_ONLY festgelegt ist. |
|
Die SID ist standardmäßig aktiviert. |
|
Die SID ist eine obligatorische Integritäts-SID.
Windows Server 2008, Windows Vista, Windows Server 2003 und Windows XP: Dieser Wert wird nicht unterstützt. |
|
Die obligatorische Integritäts-SID wird während der Zugriffsüberprüfung ausgewertet.
Windows Server 2008, Windows Vista, Windows Server 2003 und Windows XP: Dieser Wert wird nicht unterstützt. |
|
Die SID ist eine Anmelde-SID, die die Anmeldesitzung identifiziert, die einem Zugriffstoken zugeordnet ist. |
|
Die SID kann das attribut SE_GROUP_ENABLED nicht durch einen Aufruf der AdjustTokenGroups-Funktion gelöscht werden. Sie können jedoch die CreateRestrictedToken-Funktion verwenden, um eine obligatorische SID in eine NUR-Verweigerungs-SID zu konvertieren. |
|
Die SID identifiziert ein Gruppenkonto, für das der Benutzer des Tokens der Besitzer der Gruppe ist, oder die SID kann als Besitzer des Tokens oder der Objekte zugewiesen werden. |
|
Die SID identifiziert eine domänenlokale Gruppe. |
|
Die SID ist eine Deny-only-SID in einem eingeschränkten Token. Wenn das System eine Zugriffsüberprüfung durchführt, wird überprüft, ob zugriffsverwehrte ACEs für die SID gelten. Es ignoriert zugriffsgeschützte ACEs für die SID.
Wenn dieses Attribut festgelegt ist, ist SE_GROUP_ENABLED nicht festgelegt, und die SID kann nicht erneut aktiviert werden. |
RestrictedSidCount
Anzahl der eingeschränkten SIDs.
RestrictedSidLength
Die Länge in Bytes, die für alle eingeschränkten SIDs erforderlich ist.
RestrictedSids
Ein Zeiger auf ein Array von SID_AND_ATTRIBUTES Strukturen, die einen Satz von eingeschränkten SIDs und entsprechenden Attributen enthalten.
Die Attributes-Member der SID_AND_ATTRIBUTES-Strukturen können die gleichen Werte wie die für den vorherigen Sids-Member aufgeführten Haben.
PrivilegeCount
Anzahl der Berechtigungen.
PrivilegeLength
Die Länge in Bytes, die für das Berechtigungsarray erforderlich ist.
Privileges
Array von Berechtigungen.
AuthenticationId
Lokal eindeutiger Bezeichner (LUID) des Authentifikators des Tokens.
Anforderungen
| Anforderung | Wert |
|---|---|
| Unterstützte Mindestversion (Client) | Windows XP [nur Desktop-Apps] |
| Unterstützte Mindestversion (Server) | Windows Server 2003 [nur Desktop-Apps] |
| Kopfzeile | winnt.h (windows.h einschließen) |