Attributs SID dans un jeton d’accès
Chaque utilisateur et groupe identificateur de sécurité (SID) dans un jeton d’accès a un ensemble d’attributs qui contrôlent la façon dont le système utilise le SID dans une vérification d’accès. Le tableau suivant répertorie les attributs qui contrôlent la vérification d’accès.
Pour définir ou effacer l’attribut SE_GROUP_ENABLED d’un SID de groupe, utilisez la fonction AdjustTokenGroups. Vous ne pouvez pas désactiver un SID de groupe qui a l’attribut SE_GROUP_MANDATORY. Vous ne pouvez pas utiliser AdjustTokenGroups pour désactiver le SID utilisateur d’un jeton d’accès.
Pour déterminer si un SID est activé dans un jeton, c’est-à-dire s’il a l’attribut SE_GROUP_ENABLED, appelez la fonction CheckTokenMembership.
Pour définir l’attribut SE_GROUP_USE_FOR_DENY_ONLY d’un SID, incluez le SID dans la liste des SID de refus uniquement que vous spécifiez lorsque vous appelez la fonction CreateRestrictedToken. CreateRestrictedToken pouvez appliquer l’attribut SE_GROUP_USE_FOR_DENY_ONLY à n’importe quel SID, y compris les SID d’utilisateur et les SID de groupe qui ont l’attribut SE_GROUP_MANDATORY. Toutefois, vous ne pouvez pas supprimer l’attribut deny-only d’un SID, ni utiliser AdjustTokenGroups pour définir l’attribut SE_GROUP_ENABLED sur un SID refuser uniquement.
Pour obtenir les attributs d’un SID, appelez la fonction GetTokenInformation avec la valeur TokenGroups. La fonction retourne un tableau de structures SID_AND_ATTRIBUTES qui identifient les SID de groupe et leurs attributs.