Attributs SID dans un jeton d’accès

Article
06/13/2023

Chaque identificateur de sécurité (SID) d’utilisateur et de groupe dans un jeton d’accès a un ensemble d’attributs qui contrôlent la façon dont le système utilise le SID dans un case activée d’accès. Le tableau suivant répertorie les attributs qui contrôlent la vérification d’accès.

Attribut	Description
SE_GROUP_ENABLED	Un SID avec cet attribut est activé pour les vérifications d’accès. Lorsque le système effectue une case activée d’accès, il recherche les entrées de contrôle d’accès autorisés et d’accès refusé qui s’appliquent à l’un des SID activés dans le jeton d’accès. Un SID sans cet attribut est ignoré pendant une case activée d’accès, sauf si l’attribut SE_GROUP_USE_FOR_DENY_ONLY est défini.
SE_GROUP_USE_FOR_DENY_ONLY	Un SID avec cet attribut est un SID de refus uniquement. Lorsque le système effectue une case activée d’accès, il recherche les AE avec accès refusé qui s’appliquent au SID, mais il ignore les ACL autorisés pour le SID. Si cet attribut est défini, l’attribut SE_GROUP_ENABLED n’est pas défini et le SID ne peut pas être réactivé.

Attribut

Description

SE_GROUP_ENABLED

Un SID avec cet attribut est activé pour les vérifications d’accès. Lorsque le système effectue une case activée d’accès, il recherche les entrées de contrôle d’accès autorisés et d’accès refusé qui s’appliquent à l’un des SID activés dans le jeton d’accès. Un SID sans cet attribut est ignoré pendant une case activée d’accès, sauf si l’attribut SE_GROUP_USE_FOR_DENY_ONLY est défini.

SE_GROUP_USE_FOR_DENY_ONLY

Un SID avec cet attribut est un SID de refus uniquement. Lorsque le système effectue une case activée d’accès, il recherche les AE avec accès refusé qui s’appliquent au SID, mais il ignore les ACL autorisés pour le SID. Si cet attribut est défini, l’attribut SE_GROUP_ENABLED n’est pas défini et le SID ne peut pas être réactivé.

Pour définir ou effacer l’attribut SE_GROUP_ENABLED d’un SID de groupe, utilisez la fonction AdjustTokenGroups . Vous ne pouvez pas désactiver un SID de groupe qui a l’attribut SE_GROUP_MANDATORY. Vous ne pouvez pas utiliser AdjustTokenGroups pour désactiver le SID utilisateur d’un jeton d’accès.

Pour déterminer si un SID est activé dans un jeton, c’est-à-dire s’il a l’attribut SE_GROUP_ENABLED, appelez la fonction CheckTokenMembership .

Pour définir l’attribut SE_GROUP_USE_FOR_DENY_ONLY d’un SID, incluez le SID dans la liste des SID de refus uniquement que vous spécifiez lorsque vous appelez la fonction CreateRestrictedToken . CreateRestrictedToken peut appliquer l’attribut SE_GROUP_USE_FOR_DENY_ONLY à n’importe quel SID, y compris le SID utilisateur et les SID de groupe qui ont l’attribut SE_GROUP_MANDATORY. Toutefois, vous ne pouvez pas supprimer l’attribut de refus uniquement d’un SID, ni utiliser AdjustTokenGroups pour définir l’attribut SE_GROUP_ENABLED sur un SID de refus uniquement.

Pour obtenir les attributs d’un SID, appelez la fonction GetTokenInformation avec la valeur TokenGroups. La fonction retourne un tableau de structures SID_AND_ATTRIBUTES qui identifient les SID de groupe et leurs attributs.

Partager via

Attributs SID dans un jeton d’accès

Commentaires

Ressources supplémentaires