Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Jeder Benutzer und jede Gruppe Sicherheits-ID (SID) in einem Zugriffstoken verfügt über eine Reihe von Attributen, die steuern, wie das System die SID in einer Zugriffsüberprüfung verwendet. In der folgenden Tabelle sind die Attribute aufgeführt, die die Zugriffsüberprüfung steuern.
| Attribut | Beschreibung |
|---|---|
| SE_GROUP_ENABLED | Eine SID mit diesem Attribut ist für Zugriffsprüfungen aktiviert. Wenn das System eine Zugriffsüberprüfung durchführt, überprüft es auf Zugriffsberechtigungs- und Zugriffsverweigerungseinträge Zugriffssteuerungseinträge (ACEs), die für eine der aktivierten SIDs im Zugriffstoken gelten. Eine SID ohne dieses Attribut wird während einer Zugriffsüberprüfung ignoriert, es sei denn, das SE_GROUP_USE_FOR_DENY_ONLY-Attribut ist festgelegt. |
| SE_GROUP_USE_FOR_DENY_ONLY | Eine SID mit diesem Attribut ist eine Verweigerungs-SID. Wenn das System eine Zugriffsüberprüfung durchführt, überprüft es auf Zugriffsverweigerungs-ACEs, die für die SID gelten, ignoriert jedoch zugriffsgeschützte ACEs für die SID. Wenn dieses Attribut festgelegt ist, wird das attribut "SE_GROUP_ENABLED" nicht festgelegt, und die SID kann nicht erneut aktiviert werden. |
Verwenden Sie zum Festlegen oder Löschen des SE_GROUP_ENABLED Attributs einer Gruppen-SID die funktion AdjustTokenGroups. Sie können eine Gruppen-SID, die das attribut SE_GROUP_MANDATORY enthält, nicht deaktivieren. Sie können AdjustTokenGroups- nicht verwenden, um die Benutzer-SID eines Zugriffstokens zu deaktivieren.
Um zu ermitteln, ob eine SID in einem Token aktiviert ist, d. h. ob es das attribut SE_GROUP_ENABLED hat, rufen Sie die CheckTokenMembership-Funktion auf.
Um das attribut SE_GROUP_USE_FOR_DENY_ONLY einer SID festzulegen, schließen Sie die SID in die Liste der nur verweigerten SIDs ein, die Sie angeben, wenn Sie die CreateRestrictedToken-Funktion aufrufen. CreateRestrictedToken kann das SE_GROUP_USE_FOR_DENY_ONLY Attribut auf eine beliebige SID anwenden, einschließlich der Benutzer-SID und gruppen-SIDs, die das attribut SE_GROUP_MANDATORY aufweisen. Sie können das Attribut "Nur verweigern" jedoch nicht aus einer SID entfernen, oder Sie können AdjustTokenGroups- verwenden, um das attribut "SE_GROUP_ENABLED" für eine nur verweigerte SID festzulegen.
Rufen Sie zum Abrufen der Attribute einer SID die GetTokenInformation-Funktion mit dem TokenGroups-Wert auf. Die Funktion gibt ein Array von SID_AND_ATTRIBUTES Strukturen zurück, die die Gruppen-SIDs und ihre Attribute identifizieren.