다음을 통해 공유


액세스 토큰의 SID 특성

액세스 토큰의 각 사용자 및 그룹 SID(보안 식별자)에는 시스템이 액세스 검사 SID를 사용하는 방법을 제어하는 특성 집합이 있습니다. 다음 표에서는 액세스 검사를 제어하는 특성을 나열합니다.

attribute Description
SE_GROUP_ENABLED 이 특성이 있는 SID는 액세스 검사를 위해 사용하도록 설정됩니다. 시스템에서 액세스 검사 수행하는 경우 액세스 토큰에서 활성화된 SID 중 하나에 적용되는 액세스 허용 및 액세스 거부 AES(액세스 거부 액세스 제어 항목)를 확인합니다. 이 특성이 없는 SID는 SE_GROUP_USE_FOR_DENY_ONLY 특성이 설정되지 않는 한 액세스 검사 동안 무시됩니다.
SE_GROUP_USE_FOR_DENY_ONLY 이 특성이 있는 SID는 거부 전용 SID입니다. 시스템에서 액세스 검사 수행하는 경우 SID에 적용되는 액세스 거부 ACL을 확인하지만 SID에 대해 액세스 허용 ACE는 무시합니다. 이 특성을 설정하면 SE_GROUP_ENABLED 특성이 설정되지 않고 SID를 다시 사용할 수 없습니다.

그룹 SID의 SE_GROUP_ENABLED 특성을 설정하거나 지우려면 AdjustTokenGroups 함수를 사용합니다. SE_GROUP_MANDATORY 특성이 있는 그룹 SID는 사용하지 않도록 설정할 수 없습니다. AdjustTokenGroups를 사용하여 액세스 토큰의 사용자 SID를 사용하지 않도록 설정할 수 없습니다.

토큰에서 SID를 사용할 수 있는지, 즉 SE_GROUP_ENABLED 특성이 있는지 여부를 확인하려면 CheckTokenMembership 함수를 호출합니다.

SID의 SE_GROUP_USE_FOR_DENY_ONLY 특성을 설정하려면 CreateRestrictedToken 함수를 호출할 때 지정하는 거부 전용 SID 목록에 SID를 포함합니다. CreateRestrictedToken 은 사용자 SID 및 SE_GROUP_MANDATORY 특성이 있는 그룹 SID를 포함하여 모든 SID에 SE_GROUP_USE_FOR_DENY_ONLY 특성을 적용할 수 있습니다. 그러나 SID에서 거부 전용 특성을 제거할 수 없으며 AdjustTokenGroups 를 사용하여 거부 전용 SID에서 SE_GROUP_ENABLED 특성을 설정할 수도 없습니다.

SID의 특성을 얻으려면 TokenGroups 값을 사용하여 GetTokenInformation 함수를 호출합니다. 함수는 그룹 SID 및 해당 특성을 식별하는 SID_AND_ATTRIBUTES 구조의 배열을 반환합니다.