Partager via

Attributs SID dans un jeton d’accès

  • Article

Chaque utilisateur et groupe identificateur de sécurité (SID) dans un jeton d’accès a un ensemble d’attributs qui contrôlent la façon dont le système utilise le SID dans une vérification d’accès. Le tableau suivant répertorie les attributs qui contrôlent la vérification d’accès.

Attribut Description
SE_GROUP_ENABLED Un SID avec cet attribut est activé pour les vérifications d’accès. Lorsque le système effectue une vérification d’accès, il recherche les entrées de contrôle d’accès autorisées et refusées d’accès (AE) qui s’appliquent à l’un des SID activés dans le jeton d’accès. Un SID sans cet attribut est ignoré lors d’une vérification d’accès, sauf si l’attribut SE_GROUP_USE_FOR_DENY_ONLY est défini.
SE_GROUP_USE_FOR_DENY_ONLY Un SID avec cet attribut est un SID de refus uniquement. Lorsque le système effectue une vérification d’accès, il recherche les AE refusées par accès qui s’appliquent au SID, mais il ignore les ACL autorisées par l’accès pour le SID. Si cet attribut est défini, l’attribut SE_GROUP_ENABLED n’est pas défini et le SID ne peut pas être réenable.

Pour définir ou effacer l’attribut SE_GROUP_ENABLED d’un SID de groupe, utilisez la fonction AdjustTokenGroups. Vous ne pouvez pas désactiver un SID de groupe qui a l’attribut SE_GROUP_MANDATORY. Vous ne pouvez pas utiliser AdjustTokenGroups pour désactiver le SID utilisateur d’un jeton d’accès.

Pour déterminer si un SID est activé dans un jeton, c’est-à-dire s’il a l’attribut SE_GROUP_ENABLED, appelez la fonction CheckTokenMembership.

Pour définir l’attribut SE_GROUP_USE_FOR_DENY_ONLY d’un SID, incluez le SID dans la liste des SID de refus uniquement que vous spécifiez lorsque vous appelez la fonction CreateRestrictedToken. CreateRestrictedToken pouvez appliquer l’attribut SE_GROUP_USE_FOR_DENY_ONLY à n’importe quel SID, y compris les SID d’utilisateur et les SID de groupe qui ont l’attribut SE_GROUP_MANDATORY. Toutefois, vous ne pouvez pas supprimer l’attribut deny-only d’un SID, ni utiliser AdjustTokenGroups pour définir l’attribut SE_GROUP_ENABLED sur un SID refuser uniquement.

Pour obtenir les attributs d’un SID, appelez la fonction GetTokenInformation avec la valeur TokenGroups. La fonction retourne un tableau de structures SID_AND_ATTRIBUTES qui identifient les SID de groupe et leurs attributs.