TOKEN_GROUPS 结构 (winnt.h)

TOKEN_GROUPS结构包含有关访问令牌中) 的组安全标识符 (SID 的信息。

语法

typedef struct _TOKEN_GROUPS {
  DWORD              GroupCount;
#if ...
  SID_AND_ATTRIBUTES *Groups[];
#else
  SID_AND_ATTRIBUTES Groups[ANYSIZE_ARRAY];
#endif
} TOKEN_GROUPS, *PTOKEN_GROUPS;

成员

GroupCount

指定访问令牌中的组数。

Groups[*]

指定包含一组 SID 和相应属性的 SID_AND_ATTRIBUTES 结构的数组。

SID_AND_ATTRIBUTES结构的 Attributes 成员可以具有以下值。

含义
SE_GROUP_ENABLED
0x00000004L
为访问检查启用 SID。 当系统执行访问检查时,它会检查适用于 SID 的 ACE (ACE) 允许访问和拒绝访问的访问控制条目

除非设置了 SE_GROUP_USE_FOR_DENY_ONLY 属性,否则在访问检查期间将忽略没有此属性的 SID。

SE_GROUP_ENABLED_BY_DEFAULT
0x00000002L
默认情况下,SID 处于启用状态。
SE_GROUP_INTEGRITY
0x00000020L
SID 是强制性完整性 SID。
SE_GROUP_INTEGRITY_ENABLED
0x00000040L
为强制完整性检查启用 SID。
SE_GROUP_LOGON_ID
0xC0000000L
SID 是标识与访问令牌关联的 登录会话的登录 SID。
SE_GROUP_MANDATORY
0x00000001L
SID 无法通过调用 AdjustTokenGroups 函数清除 SE_GROUP_ENABLED 属性。 但是,可以使用 CreateRestrictedToken 函数将强制 SID 转换为仅拒绝的 SID。
SE_GROUP_OWNER
0x00000008L
SID 标识一个组帐户,令牌的用户是组的所有者,或者可以将 SID 分配为令牌或对象的所有者。
SE_GROUP_RESOURCE
0x20000000L
SID 标识域本地组。
SE_GROUP_USE_FOR_DENY_ONLY
0x00000010L
SID 是 受限令牌中的仅拒绝 SID。 当系统执行访问检查时,它会检查是否适用于 SID 的拒绝访问 ACE;它会忽略 SID 允许访问的 ACE。

如果设置了此属性,则不会设置SE_GROUP_ENABLED,并且无法重新启用 SID。

Groups[ANYSIZE_ARRAY]

指定包含一组 SID 和相应属性的 SID_AND_ATTRIBUTES 结构的数组。

SID_AND_ATTRIBUTES结构的 Attributes 成员可以具有以下值。

含义
SE_GROUP_ENABLED
0x00000004L
为访问检查启用 SID。 当系统执行访问检查时,它会检查适用于 SID 的 ACE (ACE) 允许访问和拒绝访问的访问控制条目

除非设置了 SE_GROUP_USE_FOR_DENY_ONLY 属性,否则在访问检查期间将忽略没有此属性的 SID。

SE_GROUP_ENABLED_BY_DEFAULT
0x00000002L
默认情况下,SID 处于启用状态。
SE_GROUP_INTEGRITY
0x00000020L
SID 是强制性完整性 SID。
SE_GROUP_INTEGRITY_ENABLED
0x00000040L
为强制完整性检查启用 SID。
SE_GROUP_LOGON_ID
0xC0000000L
SID 是标识与访问令牌关联的 登录会话的登录 SID。
SE_GROUP_MANDATORY
0x00000001L
SID 无法通过调用 AdjustTokenGroups 函数清除 SE_GROUP_ENABLED 属性。 但是,可以使用 CreateRestrictedToken 函数将强制 SID 转换为仅拒绝的 SID。
SE_GROUP_OWNER
0x00000008L
SID 标识一个组帐户,令牌的用户是组的所有者,或者可以将 SID 分配为令牌或对象的所有者。
SE_GROUP_RESOURCE
0x20000000L
SID 标识域本地组。
SE_GROUP_USE_FOR_DENY_ONLY
0x00000010L
SID 是 受限令牌中的仅拒绝 SID。 当系统执行访问检查时,它会检查是否适用于 SID 的拒绝访问 ACE;它会忽略 SID 允许访问的 ACE。

如果设置了此属性,则不会设置SE_GROUP_ENABLED,并且无法重新启用 SID。

要求

   
最低受支持的客户端 Windows XP [仅限桌面应用]
最低受支持的服务器 Windows Server 2003 [仅限桌面应用]
标头 winnt.h (包括 Windows.h)

另请参阅

AdjustTokenGroups

CreateRestrictedToken

SID_AND_ATTRIBUTES

TOKEN_CONTROL

TOKEN_DEFAULT_DACL

TOKEN_INFORMATION_CLASS

TOKEN_OWNER

TOKEN_PRIMARY_GROUP

TOKEN_PRIVILEGES

TOKEN_SOURCE

TOKEN_STATISTICS

TOKEN_TYPE

TOKEN_USER