JOBOBJECT_SECURITY_LIMIT_INFORMATION 結構 (winnt.h)
[JOBOBJECT_SECURITY_LIMIT_INFORMATION可用於需求一節中指定的作業系統。 從 Windows Vista 開始,已移除此結構的支援。 如需詳細資訊,請參閱。]
包含作業物件的安全性限制。
語法
typedef struct _JOBOBJECT_SECURITY_LIMIT_INFORMATION {
DWORD SecurityLimitFlags;
HANDLE JobToken;
PTOKEN_GROUPS SidsToDisable;
PTOKEN_PRIVILEGES PrivilegesToDelete;
PTOKEN_GROUPS RestrictedSids;
} JOBOBJECT_SECURITY_LIMIT_INFORMATION, *PJOBOBJECT_SECURITY_LIMIT_INFORMATION;
成員
SecurityLimitFlags
作業的安全性限制。 這個成員可以是下列一或多個值。
值 | 意義 |
---|---|
|
在進程模擬用戶端時,將篩選套用至令牌。 至少需要設定下列其中一個成員: SidsToDisable、 PrivilegesToDelete 或 RestrictedSids。 |
|
防止作業中的任何進程使用指定本機系統管理員群組的令牌。 |
|
強制作業中的進程在特定令牌下執行。 需要 JobToken 成員中的令牌句柄。 |
|
防止作業中的任何進程使用未使用 CreateRestrictedToken 函式建立的令牌。 |
JobToken
代表使用者的主要令牌句柄。 句柄必須具有TOKEN_ASSIGN_PRIMARY存取權。
如果使用 CreateRestrictedToken 建立令牌,作業中的所有進程都會受限於該令牌或進一步限制的令牌。 否則,呼叫端必須具有SE_ASSIGNPRIMARYTOKEN_NAME許可權。
SidsToDisable
TOKEN_GROUPS 結構的指標,指定要停用的 SID 以進行存取檢查,如果 SecurityLimitFlags 為JOB_OBJECT_SECURITY_FILTER_TOKENS。
如果您不想停用任何 SID,此成員可以是 NULL。
PrivilegesToDelete
如果 SecurityLimitFlags 是JOB_OBJECT_SECURITY_FILTER_TOKENS,則為TOKEN_PRIVILEGES結構的指標,指定要從令牌中刪除的許可權。
如果您不想刪除任何許可權,此成員可以是 NULL。
RestrictedSids
如果 SecurityLimitFlags 是JOB_OBJECT_SECURITY_FILTER_TOKENS,則為TOKEN_GROUPS結構的指標,指定將新增至存取令牌的僅限拒絕 SID。
如果您不想指定任何僅限拒絕的 SID,此成員可以是 NULL。
備註
在作業中的進程上放置安全性限制之後,就無法撤銷這些限制。
從 Windows Vista 開始,您必須針對與作業對象相關聯的每個進程個別設定安全性限制,而不是使用 SetInformationJobObject 設定作業物件的安全性限制。 如需詳細資訊,請參閱 處理安全性和訪問許可權。
規格需求
需求 | 值 |
---|---|
最低支援的用戶端 | Windows XP [僅限傳統型應用程式] |
最低支援的伺服器 | Windows Server 2003 [僅限傳統型應用程式] |
標頭 | winnt.h (包括 Windows.h) |