JOBOBJECT_SECURITY_LIMIT_INFORMATION 구조체(winnt.h)
[JOBOBJECT_SECURITY_LIMIT_INFORMATION 요구 사항 섹션에 지정된 운영 체제에서 사용할 수 있습니다. 이 구조체에 대한 지원은 Windows Vista부터 제거되었습니다. 자세한 내용은 비고를 참조하세요.]
작업 개체에 대한 보안 제한을 포함합니다.
구문
typedef struct _JOBOBJECT_SECURITY_LIMIT_INFORMATION {
DWORD SecurityLimitFlags;
HANDLE JobToken;
PTOKEN_GROUPS SidsToDisable;
PTOKEN_PRIVILEGES PrivilegesToDelete;
PTOKEN_GROUPS RestrictedSids;
} JOBOBJECT_SECURITY_LIMIT_INFORMATION, *PJOBOBJECT_SECURITY_LIMIT_INFORMATION;
멤버
SecurityLimitFlags
작업에 대한 보안 제한 사항입니다. 이 멤버는 다음 값 중 하나 이상일 수 있습니다.
| 값 | 의미 |
|---|---|
|
프로세스가 클라이언트를 가장할 때 토큰에 필터를 적용합니다. SidsToDisable, PrivilegesToDelete 또는 RestrictedSids 멤버 중 하나 이상을 설정해야 합니다. |
|
작업의 모든 프로세스가 로컬 관리자 그룹을 지정하는 토큰을 사용하지 못하도록 합니다. |
|
작업의 프로세스가 특정 토큰으로 실행되도록 합니다. JobToken 멤버에 토큰 핸들이 필요합니다. |
|
작업의 모든 프로세스가 CreateRestrictedToken 함수로 생성되지 않은 토큰을 사용하지 못하도록 합니다. |
JobToken
사용자를 나타내는 기본 토큰에 대한 핸들입니다. 핸들에는 TOKEN_ASSIGN_PRIMARY 액세스 권한이 있어야 합니다.
CreateRestrictedToken을 사용하여 토큰을 만든 경우 작업의 모든 프로세스는 해당 토큰 또는 추가로 제한된 토큰으로 제한됩니다. 그렇지 않으면 호출자에게 SE_ASSIGNPRIMARYTOKEN_NAME 권한이 있어야 합니다.
SidsToDisable
SecurityLimitFlags가 JOB_OBJECT_SECURITY_FILTER_TOKENS 경우 액세스 검사를 위해 사용하지 않도록 설정할 SID를 지정하는 TOKEN_GROUPS 구조체에 대한 포인터입니다.
SID를 사용하지 않도록 설정하지 않으려면 이 멤버가 NULL일 수 있습니다.
PrivilegesToDelete
SecurityLimitFlags가 JOB_OBJECT_SECURITY_FILTER_TOKENS 경우 토큰에서 삭제할 권한을 지정하는 TOKEN_PRIVILEGES 구조체에 대한 포인터입니다.
권한을 삭제하지 않으려면 이 멤버가 NULL일 수 있습니다.
RestrictedSids
SecurityLimitFlags가 JOB_OBJECT_SECURITY_FILTER_TOKENS 경우 액세스 토큰에 추가될 거부 전용 SID를 지정하는 TOKEN_GROUPS 구조체에 대한 포인터입니다.
거부 전용 SID를 지정하지 않으려면 이 멤버는 NULL일 수 있습니다.
설명
작업의 프로세스에 보안 제한이 적용되면 해지할 수 없습니다.
Windows Vista부터 SetInformationJobObject를 사용하여 작업 개체에 대해 설정하는 대신 작업 개체와 연결된 각 프로세스에 대해 개별적으로 보안 제한을 설정해야 합니다. 자세한 내용은 프로세스 보안 및 액세스 권한을 참조하세요.
요구 사항
| 요구 사항 | 값 |
|---|---|
| 지원되는 최소 클라이언트 | Windows XP [데스크톱 앱만 해당] |
| 지원되는 최소 서버 | Windows Server 2003 [데스크톱 앱만 해당] |
| 머리글 | winnt.h(Windows.h 포함) |