SID-attribut i en åtkomsttoken
Varje användare och grupp säkerhetsidentifierare (SID) i en åtkomsttoken har en uppsättning attribut som styr hur systemet använder SID i en åtkomstkontroll. I följande tabell visas de attribut som styr åtkomstkontroll.
| Attribut | Beskrivning |
|---|---|
| SE_GROUP_ENABLED | Ett SID med det här attributet är aktiverat för åtkomstkontroller. När systemet utför en åtkomstkontroll söker det efter åtkomst-tillåtna och åtkomst nekad åtkomstkontrollposter (ACL) som gäller för en av de aktiverade SID:erna i åtkomsttoken. Ett SID utan det här attributet ignoreras under en åtkomstkontroll om inte attributet SE_GROUP_USE_FOR_DENY_ONLY har angetts. |
| SE_GROUP_USE_FOR_DENY_ONLY | Ett SID med det här attributet är ett neka-endast SID. När systemet utför en åtkomstkontroll söker det efter åtkomstnekade ACL:er som gäller för SID, men ignorerar åtkomst tillåtna åtkomstbehörigheter för SID. Om det här attributet anges anges inte attributet SE_GROUP_ENABLED och SID kan inte återanvändas. |
Om du vill ange eller rensa attributet SE_GROUP_ENABLED för ett grupp-SID använder du funktionen AdjustTokenGroups. Du kan inte inaktivera ett grupp-SID som har attributet SE_GROUP_MANDATORY. Du kan inte använda AdjustTokenGroups för att inaktivera användar-SID för en åtkomsttoken.
För att avgöra om ett SID är aktiverat i en token, det vill säga om det har attributet SE_GROUP_ENABLED, anropar du funktionen CheckTokenMembership.
Om du vill ange attributet SE_GROUP_USE_FOR_DENY_ONLY för ett SID tar du med SID i listan med endast nekande-SID:er som du anger när du anropar funktionen CreateRestrictedToken. CreateRestrictedToken kan tillämpa attributet SE_GROUP_USE_FOR_DENY_ONLY på valfritt SID, inklusive användar-SID och grupp-SID:er som har attributet SE_GROUP_MANDATORY. Du kan dock inte ta bort attributet neka endast från ett SID, och du kan inte heller använda AdjustTokenGroups- för att ange attributet SE_GROUP_ENABLED på ett sid som endast nekas.
Om du vill hämta attributen för ett SID anropar du funktionen GetTokenInformation med värdet TokenGroups. Funktionen returnerar en matris med SID_AND_ATTRIBUTES strukturer som identifierar grupp-SID:er och deras attribut.