LSA_TOKEN_INFORMATION_V3 structure (ntsecpkg.h)
La structure LSA_TOKEN_INFORMATION_V3 ajoute la prise en charge des revendications au jeton LSA et contient des informations qu’un package d’authentification peut placer dans un objet de jeton Windows version 3 et a superposé LSA_TOKEN_INFORMATION_V1.
Un objet de jeton Windows version 3 stocke toutes les informations nécessaires pour générer un jeton à partir du package d’authentification vers l’autorité de sécurité locale (LSA). LSA transmet ces informations au noyau pour créer un objet de jeton et retourner un handle à cet objet de jeton à l’appelant de LsaLogonUser. LSA suppose que le premier membre de cette structure est identique à ceux de la structure LSA_TOKEN_INFORMATION_V1 .
Syntaxe
typedef struct _LSA_TOKEN_INFORMATION_V3 {
LARGE_INTEGER ExpirationTime;
TOKEN_USER User;
PTOKEN_GROUPS Groups;
TOKEN_PRIMARY_GROUP PrimaryGroup;
PTOKEN_PRIVILEGES Privileges;
TOKEN_OWNER Owner;
TOKEN_DEFAULT_DACL DefaultDacl;
TOKEN_USER_CLAIMS UserClaims;
TOKEN_DEVICE_CLAIMS DeviceClaims;
PTOKEN_GROUPS DeviceGroups;
} LSA_TOKEN_INFORMATION_V3, *PLSA_TOKEN_INFORMATION_V3;
Membres
ExpirationTime
Heure à laquelle le contexte de sécurité devient non valide. Utilisez une valeur dans un avenir lointain si le contexte n’expire jamais. La version actuelle du noyau du système d’exploitation n’applique pas ce délai d’expiration.
User
TOKEN_USER structure qui contient le SID de l’utilisateur qui se connecte. La valeur SID de l’identificateur de sécurité se trouve dans un bloc de mémoire alloué séparément.
Groups
TOKEN_GROUPS structure qui contient les SID de groupes dont l’utilisateur est membre. Cela ne doit pas inclure WORLD ou d’autres SID définis par le système et affectés par le système. Ceux-ci seront ajoutés automatiquement par l’ASE.
Chaque SID doit se trouver dans un bloc de mémoire alloué séparément. La structure TOKEN_GROUPS est également censée se trouver dans un bloc de mémoire alloué séparément. Tous ces blocs de mémoire doivent être alloués en appelant la fonction AllocatePrivateHeap .
PrimaryGroup
TOKEN_PRIMARY_GROUP structure utilisée pour établir le groupe principal de l’utilisateur. Cette valeur ne doit pas nécessairement correspondre à l’un des SID attribués à l’utilisateur.
Le SID pointé par cette structure devrait se trouver dans un bloc de mémoire alloué séparément.
Ce membre est obligatoire et doit être renseigné.
Privileges
TOKEN_PRIVILEGES structure qui contient les privilèges attribués à l’utilisateur. Cette liste de privilèges sera augmentée ou remplacée par tous les privilèges attribués à une stratégie de sécurité locale.
Chaque privilège doit se trouver dans un bloc de mémoire alloué séparément. La structure TOKEN_PRIVILEGES doit également se trouver dans un bloc de mémoire alloué séparément.
S’il n’existe aucun privilège à attribuer à l’utilisateur, ce membre peut être défini sur NULL.
Owner
TOKEN_OWNER structure. Ce membre peut être utilisé pour établir un propriétaire par défaut explicite. Normalement, l’ID utilisateur est utilisé comme propriétaire par défaut. Si une autre valeur est souhaitée, elle doit être spécifiée ici.
Le membre Owner.Sid peut être défini sur NULL pour indiquer qu’il n’existe aucune autre valeur de propriétaire par défaut.
DefaultDacl
TOKEN_DEFAULT_DACL structure. Ce membre peut être utilisé pour établir une protection par défaut pour l’utilisateur. Si aucune valeur n’est fournie, une protection par défaut qui accorde à tout le monde tout accès est établie.
Le membre DefaultDacl.DefaultDacl peut être défini sur NULL pour indiquer qu’il n’existe aucune protection par défaut.
UserClaims
TOKEN_USER_CLAIMS structure. Ce membre stocke l’objet BLOB des revendications d’utilisateur opaques pour le jeton. Le membre UserClaims peut être défini sur NULL pour indiquer qu’il n’y a pas de revendications utilisateur supplémentaires dans le jeton. Les revendications étant des entités autorisées uniquement, l’omission de revendications peut restreindre l’accès.
DeviceClaims
TOKEN_DEVICE_CLAIMS structure. Ce membre stocke l’objet BLOB des revendications d’appareil opaques pour le jeton. Le membre DeviceClaims peut être défini sur NULL pour indiquer qu’il n’y a aucune revendication d’appareil supplémentaire dans le jeton. Les revendications étant des entités autorisées uniquement, l’omission de revendications peut restreindre l’accès.
DeviceGroups
TOKEN_GROUPS structure qui contient les SID des groupes pour le membre d’authentification de l’appareil. Comme pour les groupes d’utilisateurs, cela ne doit pas inclure WORLD ou d’autres SID définis ou attribués par le système. Le membre DeviceGroups peut être défini sur NULL pour indiquer qu’aucune composition ne doit se produire. Si des DeviceGroups sont présents , LSA ajoute WORLD et d’autres SID attribués.
Contrairement aux groupes d’utilisateurs, il n’existe aucune notion de groupe d’appareils principal.
Chaque SID doit se trouver dans un bloc de mémoire alloué séparément. La structure TOKEN_GROUPS est également censée se trouver dans un bloc de mémoire alloué séparément.
Spécifications
| Client minimal pris en charge | Windows 8 [applications de bureau uniquement] |
| Serveur minimal pris en charge | Windows Server 2012 [applications de bureau uniquement] |
| En-tête | ntsecpkg.h |