LSA_TOKEN_INFORMATION_V3 struttura (ntsecpkg.h)
La struttura LSA_TOKEN_INFORMATION_V3 aggiunge il supporto attestazione al token LSA e contiene informazioni che un pacchetto di autenticazione può inserire in un oggetto token Windows versione 3 e ha sostituito LSA_TOKEN_INFORMATION_V1.
Un oggetto token Windows versione 3 archivia tutte le informazioni necessarie per compilare un token dal pacchetto di autenticazione all'Autorità di sicurezza locale (LSA). L'LSA passa queste informazioni nel kernel per creare un oggetto token e per restituire un handle all'oggetto token al chiamante di LsaLogonUser. LSA presuppone che il primo membro di questa struttura sia identico a quello della struttura LSA_TOKEN_INFORMATION_V1 .
Sintassi
typedef struct _LSA_TOKEN_INFORMATION_V3 {
LARGE_INTEGER ExpirationTime;
TOKEN_USER User;
PTOKEN_GROUPS Groups;
TOKEN_PRIMARY_GROUP PrimaryGroup;
PTOKEN_PRIVILEGES Privileges;
TOKEN_OWNER Owner;
TOKEN_DEFAULT_DACL DefaultDacl;
TOKEN_USER_CLAIMS UserClaims;
TOKEN_DEVICE_CLAIMS DeviceClaims;
PTOKEN_GROUPS DeviceGroups;
} LSA_TOKEN_INFORMATION_V3, *PLSA_TOKEN_INFORMATION_V3;
Members
ExpirationTime
Ora in cui il contesto di sicurezza non è valido. Usare un valore in futuro lontano se il contesto non scade mai. La versione corrente del kernel del sistema operativo non applica questa ora di scadenza.
User
TOKEN_USER struttura contenente il SID dell'accesso utente. Il valore SID dell'identificatore di sicurezza si trova in un blocco di memoria allocato separatamente.
Groups
TOKEN_GROUPS struttura contenente i SID dei gruppi di cui l'utente è membro. Ciò non deve includere i SID definiti dal sistema e definiti dal sistema. Questi verranno aggiunti automaticamente dall'LSA.
Ogni SID deve trovarsi in un blocco di memoria allocato separatamente. La struttura TOKEN_GROUPS è prevista anche in un blocco di memoria allocato separatamente. Tutti questi blocchi di memoria devono essere allocati chiamando la funzione AllocatePrivateHeap .
PrimaryGroup
TOKEN_PRIMARY_GROUP struttura usata per stabilire il gruppo primario dell'utente. Questo valore non deve corrispondere a uno dei SID assegnati all'utente.
Il SID a cui punta questa struttura dovrebbe trovarsi in un blocco di memoria allocato separatamente.
Questo membro è obbligatorio e deve essere compilato.
Privileges
TOKEN_PRIVILEGES struttura contenente i privilegi assegnati all'utente. Questo elenco di privilegi verrà incrementato o sottoposto a override da qualsiasi criterio di sicurezza locale assegnato privilegi.
Ogni privilegio deve trovarsi in un blocco di memoria allocato separatamente. La struttura TOKEN_PRIVILEGES è prevista anche in un blocco di memoria allocato separatamente.
Se non sono presenti privilegi da assegnare all'utente, questo membro può essere impostato su NULL.
Owner
TOKEN_OWNER struttura. Questo membro può essere usato per stabilire un proprietario predefinito esplicito. In genere, l'ID utente viene usato come proprietario predefinito. Se si desidera un altro valore, deve essere specificato qui.
Il membro Owner.Sid può essere impostato su NULL per indicare che non esiste alcun valore di proprietario predefinito alternativo.
DefaultDacl
TOKEN_DEFAULT_DACL struttura. Questo membro può essere usato per stabilire una protezione predefinita per l'utente. Se non viene fornito alcun valore, verrà stabilita una protezione predefinita che concede a tutti tutti l'accesso.
Il membro DefaultDacl.DefaultDacl può essere impostato su NULL per indicare che non esiste alcuna protezione predefinita.
UserClaims
TOKEN_USER_CLAIMS struttura. Questo membro archivia il BLOB delle attestazioni utente opache per il token. Il membro UserClaims può essere impostato su NULL per indicare che non sono presenti attestazioni utente aggiuntive nel token. Le attestazioni sono entità consentite in modo da impedire l'accesso alle attestazioni.
DeviceClaims
TOKEN_DEVICE_CLAIMS struttura. Questo membro archivia il BLOB delle attestazioni del dispositivo opaco per il token. Il membro DeviceClaims può essere impostato su NULL per indicare che non sono presenti attestazioni aggiuntive del dispositivo nel token. Le attestazioni sono entità consentite in modo da impedire l'accesso alle attestazioni.
DeviceGroups
TOKEN_GROUPS struttura contenente i SID dei gruppi per il membro del dispositivo di autenticazione. Come per i gruppi di utenti, questo non deve includere WORLD o altri SID definiti o assegnati. Il membro DeviceGroups può essere impostato su NULL per indicare che non deve verificarsi alcun composto. Se i gruppi di dispositivi sono presenti, LSA aggiungerà WORLD e altri SID assegnati.
A differenza dei gruppi di utenti, non esiste alcuna nozione di gruppo di dispositivi primario.
Ogni SID deve trovarsi in un blocco di memoria allocato separatamente. La struttura TOKEN_GROUPS è prevista anche in un blocco di memoria allocato separatamente.
Requisiti
| Client minimo supportato | Windows 8 [solo app desktop] |
| Server minimo supportato | Windows Server 2012 [solo app desktop] |
| Intestazione | ntsecpkg.h |