Autorisierungsfunktionen (Autorisierung)

Die folgenden Funktionen werden für Autorisierungsanwendungen verwendet.

In diesem Abschnitt

Thema Beschreibung
AccessCheck
Bestimmt, ob ein Sicherheitsdeskriptor dem Client, der durch ein Zugriffstoken identifiziert wird, einen bestimmten Satz von Zugriffsrechten gewährt.
AccessCheckAndAuditAlarm
Bestimmt, ob ein Sicherheitsdeskriptor dem Client, dessen Identität vom aufrufenden Thread angenommen wird, einen bestimmten Satz von Zugriffsrechten gewährt.
AccessCheckByType
Bestimmt, ob ein Sicherheitsdeskriptor dem Client, der durch ein Zugriffstoken identifiziert wird, einen bestimmten Satz von Zugriffsrechten gewährt.
AccessCheckByTypeAndAuditAlarm
Bestimmt, ob ein Sicherheitsdeskriptor dem Client, dessen Identität vom aufrufenden Thread angenommen wird, einen bestimmten Satz von Zugriffsrechten gewährt.
AccessCheckByTypeResultList
Bestimmt, ob ein Sicherheitsdeskriptor dem Client, der durch ein Zugriffstoken identifiziert wird, einen bestimmten Satz von Zugriffsrechten gewährt.
DeriveCapabilitySidsFromName
Diese Funktion erstellt zwei Arrays von SIDs aus einem Funktionsnamen. Eine ist eine Arraygruppen-SID mit NT Authority, und die andere ist ein Array von Funktions-SIDs mit AppAuthority.
AccessCheckByTypeResultListAndAuditAlarm
Bestimmt, ob ein Sicherheitsdeskriptor dem Client, dessen Identität vom aufrufenden Thread angenommen wird, einen bestimmten Satz von Zugriffsrechten gewährt.
AccessCheckByTypeResultListAndAuditAlarmByHandle
Bestimmt, ob ein Sicherheitsdeskriptor dem Client, der vom aufrufenden Thread repräsentiert wird, einen bestimmten Satz von Zugriffsrechten gewährt.
AddAccessAllowedAce
Fügt einen zugriffsberechtigten Zugriffskontrolleintrag (Access Control Entry, ACE) zu einer Zugriffskontrollliste (Access Control List, ACL) hinzu. Der Zugriff wird einer angegebenen Sicherheits-ID (SID) gewährt.
AddAccessAllowedAceEx
Fügt einen zugriffsberechtigten Zugriffskontrolleintrag (ACE) am Ende einer bedingten Zugriffskontrollliste (DACL) hinzu.
AddAccessAllowedObjectAce
Fügt einen zugriffsberechtigten Zugriffskontrolleintrag (ACE) am Ende einer bedingten Zugriffskontrollliste (DACL) hinzu.
AddAccessDeniedAce
Fügt einen nicht-zugriffsberechtigten Zugriffssteuerungseintrag (Access Control Entry, ACE) zu einer Zugriffssteuerungsliste (Access Control List, ACL) hinzu. Der Zugriff wird einer angegebenen Sicherheits-ID (SID) nicht gewährt.
AddAccessDeniedAceEx
Fügt einen nicht-zugriffsberechtigten Zugriffssteuerungseintrag (ACE) am Ende einer bedingten Zugriffssteuerungsliste (DACL) hinzu.
AddAccessDeniedObjectAce
Fügt einen nicht-zugriffsberechtigten Zugriffssteuerungseintrag (ACE) am Ende einer bedingten Zugriffssteuerungsliste (DACL) hinzu. Der neue ACE kann den Zugriff auf ein Objekt oder auf einen Eigenschaftensatz oder eine Eigenschaft für ein Objekt verweigern.
AddAce
Fügt einen oder mehr Zugriffssteuerungseinträge (ACEs) zu einer angegebenen Zugriffssteuerungsliste (ACL) hinzu.
AddAuditAccessAce
Fügt einen System-Audit-Zugriffssteuerungseintrag (ACE) zu einer System-Zugriffssteuerungsliste (SACL) hinzu. Der Zugriff auf eine angegebene Sicherheits-ID (SID) wird überwacht.
AddAuditAccessAceEx
Fügt einen System-Audit-Zugriffssteuerungseintrag (ACE) am Ende einer System-Zugriffssteuerungsliste (SACL) hinzu.
AddAuditAccessObjectAce
Fügt einen System-Audit-Zugriffssteuerungseintrag (ACE) am Ende einer System-Zugriffssteuerungsliste (SACL) hinzu.
AddConditionalAce
Fügt einen bedingten Zugriffssteuerungseintrag (ACE) zur angegebenen Zugriffssteuerungsliste (ACL) hinzu.
AddMandatoryAce
Fügt einen SYSTEM_MANDATORY_LABEL_ACE Zugriffssteuerungseintrag (ACE) zur angegebenen System-Zugriffssteuerungsliste (SACL)
AddResourceAttributeAce
Fügt einen SYSTEM_RESOURCE_ATTRIBUTE_ACE-Zugriffskontrolleintrag (ACE) am Ende einer System-Zugriffskontrollliste (SACL) hinzu.
AddScopedPolicyIDAce
Fügt einen SYSTEM_SCOPED_POLICY_ID_ACE-Zugriffskontrolleintrag (ACE) am Ende einer System-Zugriffskontrollliste (SACL) hinzu.
AdjustTokenGroups
Aktiviert oder deaktiviert Gruppen, die bereits im angegebenen Zugriffstoken vorhanden sind. Der Zugriff auf TOKEN_ADJUST_GROUPS ist erforderlich, um Gruppen in einem Zugriffstoken zu aktivieren oder zu deaktivieren.
AdjustTokenPrivileges
Aktiviert oder deaktiviert Berechtigungen im angegebenen Zugriffstoken. Das Aktivieren oder Deaktivieren von Berechtigungen in einem Zugriffstoken erfordert TOKEN_ADJUST_PRIVILEGES-Zugriff.
AllocateAndInitializeSid
Weist eine Sicherheits-ID (SID) mit bis zu acht Unterautoritäten zu und initialisiert sie.
AllocateLocallyUniqueId
Weist einen lokal eindeutigen Bezeichner (LUID) zu.
AreAllAccessesGranted
Überprüft, ob ein Satz von angeforderten Zugriffsrechten gewährt wurde. Die Zugriffsrechte werden in einer Zugriffsmaske als Bitflags dargestellt.
AreAnyAccessesGranted
Testet, ob eines aus einem Satz von angeforderten Zugriffsrechten gewährt wurde. Die Zugriffsrechte werden in einer Zugriffsmaske als Bitflags dargestellt.
AuditComputeEffectivePolicyBySid
Berechnet die effektive Überwachungsrichtlinie für eine oder mehrere Unterkategorien für den angegebenen Sicherheitsprinzipal. Die Funktion berechnet eine effektive Überwachungsrichtlinie, indem die Systemüberwachungsrichtlinie mit einer pro-Benutzer-Richtlinie kombiniert wird.
AuditComputeEffectivePolicyByToken
Berechnet die effektive Überwachungsrichtlinie für eine oder mehrere Unterkategorien für den Sicherheitsprinzipal, der dem angegebenen Token zugeordnet ist. Die Funktion berechnet eine effektive Überwachungsrichtlinie, indem die Systemüberwachungsrichtlinie mit einer pro-Benutzer-Richtlinie kombiniert wird.
AuditEnumerateCategories
Listet die verfügbaren Überwachungsrichtlinienkategorien auf.
AuditEnumeratePerUserPolicy
Listet Benutzer auf, für die die pro-Benutzer-Überwachungsrichtlinie angegeben ist.
AuditEnumerateSubCategories
Listet die verfügbaren Überwachungsrichtlinien-Unterkategorien auf.
AuditFree
Gibt Speicher frei, der von Überwachungsfunktionen für den angegebenen Puffer zugewiesen wird.
AuditLookupCategoryGuidFromCategoryId
Ruft eine GUID-Struktur ab, die die angegebene Überwachungsrichtlinienkategorie darstellt.
AuditLookupCategoryIdFromCategoryGuid
Ruft ein Element der POLICY_AUDIT_EVENT_TYPE-Enumeration ab, die die angegebene Überwachungsrichtlinienkategorie darstellt.
AuditLookupCategoryName
Ruft den Anzeigenamen der angegebenen Überwachungsrichtlinienkategorie ab.
AuditLookupSubCategoryName
Ruft den Anzeigenamen der angegebenen Überwachungsrichtlinien-Unterkategorie ab.
AuditQueryGlobalSacl
Ruft eine globale System-Zugriffssteuerungsliste (SACL) ab, die den Zugriff auf die Überwachungsmeldungen delegiert.
AuditQueryPerUserPolicy
Ruft eine pro-Benutzer-Überwachungsrichtlinie in einer oder mehreren Überwachungsrichtlinien-Unterkategorien für den angegebenen Prinzipal ab.
AuditQuerySecurity
Ruft den Sicherheitsdeskriptor ab, der den Zugriff auf die Überwachungsrichtlinie delegiert.
AuditQuerySystemPolicy
Ruft die Systemüberwachungsrichtlinie für eine oder mehrere Überwachungsrichtlinien-Unterkategorien ab.
AuditSetGlobalSacl
Stellt eine globale System-Zugriffssteuerungsliste (SACL) ein, die den Zugriff auf die Überwachungsmeldungen delegiert.
AuditSetPerUserPolicy
Stellt eine pro-Benutzer-Überwachungsrichtlinie in einer oder mehreren Überwachungsrichtlinien-Unterkategorien für den angegebenen Prinzipal ein.
AuditSetSecurity
Stellt einen Sicherheitsdeskriptor ein, der den Zugriff auf die Überwachungsrichtlinie delegiert.
AuditSetSystemPolicy
Stellt eine Systemüberwachungsrichtlinie für eine oder mehrere Überwachungsrichtlinien-Unterkategorien ein.
AuthzAccessCheck
Bestimmt, welche Zugriffsbits einem Client für einen bestimmten Satz von Sicherheitsdeskriptoren gewährt werden können.
AuthzAccessCheckCallback
Eine anwendungsdefinierte Funktion, die während einer Zugriffsüberprüfung Rückruf-Zugriffssteuerungseinträge (ACEs) behandelt. AuthzAccessCheckCallback ist ein Platzhalter für den anwendungsdefinierten Funktionsnamen. Die Anwendung registriert diesen Rückruf durch Aufrufen von AuthzInitializeResourceManager.
AuthzAddSidsToContext
Erstellt eine Kopie eines vorhandenen Kontexts und fügt einen bestimmte Satz von Sicherheitsbezeichnern (SIDs) und eingeschränkten SIDs an.
AuthzCachedAccessCheck
Führt eine schnelle Zugriffsüberprüfung basierend auf einem zwischengespeicherten Handle aus, der die statischen gewährten Bits aus einem vorherigen AuthzAccessCheck-Aufruf enthält.
AuthzComputeGroupsCallback
Eine anwendungsdefinierte Funktion, die eine Liste von Sicherheitsbezeichnern (SIDs) erstellt, die für einen Client gelten. AuthzComputeGroupsCallback ist ein Platzhalter für den anwendungsdefinierten Funktionsnamen.
AuthzEnumerateSecurityEventSources
Ruft die registrierten Sicherheitsereignisquellen ab, die nicht standardmäßig installiert sind.
AuthzFreeAuditEvent
Gibt die Struktur frei, die von der AuthzInitializeObjectAccessAuditEvent-Funktion zugewiesen wurde.
AuthzFreeCentralAccessPolicyCache
Verringert die Anzahl der CAP-Cache-Referenzen um eins, damit der CAP-Cache freigegeben werden kann.
AuthzFreeCentralAccessPolicyCallback
Die AuthzFreeCentralAccessPolicyCallback-Funktion ist eine anwendungsdefinierte Funktion, die Speicher freigibt, der von der AuthzGetCentralAccessPolicyCallback-Funktion zugewiesen wurde. AuthzFreeCentralAccessPolicyCallback ist ein Platzhalter für den anwendungsdefinierten Funktionsnamen.
AuthzFreeContext
Gibt alle Strukturen und Arbeitsspeicher frei, die dem Clientkontext zugeordnet sind. Die Liste der Handles für einen Client wird in diesem Aufruf freigegeben.
AuthzFreeGroupsCallback
Eine anwendungsdefinierte Funktion, die den von der AuthzComputeGroupsCallback-Funktion zugewiesenen Speicher freigibt. AuthzFreeGroupsCallback ist ein Platzhalter für den anwendungsdefinierten Funktionsnamen.
AuthzFreeHandle
Sucht und löscht einen Handle aus der Handle-Liste.
AuthzFreeResourceManager
Gibt ein Ressourcen-Manager-Objekt frei.
AuthzGetCentralAccessPolicyCallback
Die AuthzGetCentralAccessPolicyCallback-Funktion ist eine anwendungsdefinierte Funktion, die die zentrale Zugriffsrichtlinie abruft. AuthzGetCentralAccessPolicyCallback ist ein Platzhalter für den anwendungsdefinierten Funktionsnamen.
AuthzGetInformationFromContext
Gibt Informationen zu einem Authz-Kontext aus.
AuthzInitializeCompoundContext
erstellt einen Benutzermoduskontext aus den jeweiligen Benutzer- und Gerätesicherheitskontexten.
AuthzInitializeContextFromAuthzContext
Erstellt einen neuen Clientkontext basierend auf einem vorhandenen Clientkontext.
AuthzInitializeContextFromSid
Erstellt einen Benutzermodus-Clientkontext aus einem Benutzersicherheitsbezeichner (SID).
AuthzInitializeContextFromToken
Initialisiert einen Clientautorisierungskontext aus einem Kerneltoken. Das Kerneltoken muss für TOKEN_QUERY geöffnet worden sein.
AuthzInitializeObjectAccessAuditEvent
Initialisiert die Überwachung für ein Objekt.
AuthzInitializeObjectAccessAuditEvent2
Weist einen AUTHZ_AUDIT_EVENT_HANDLE-Handle für die Verwendung mit der AuthzAccessCheck-Funktion zu und initialisiert sie.
AuthzInitializeRemoteResourceManager
Ordnet einen Remoteressourcen-Manager zu und initialisiert diesen. Der Aufrufer kann den resultierenden Handle verwenden, um RPC-Aufrufe an eine Remoteinstanz des auf einem Server konfigurierten Ressourcen-Managers durchzuführen.
AuthzInitializeResourceManager
Verwendet Authz, um zu überprüfen, ob Clients Zugriff auf verschiedene Ressourcen haben.
AuthzInitializeResourceManagerEx
Ordnet eine Ressourcen-Manager-Struktur zu und initialisiert diese.
AuthzInstallSecurityEventSource
Installiert die angegebene Quelle als Sicherheitsereignisquelle.
AuthzModifyClaims
Kann Benutzer- und Geräteansprüche im Authz-Clientkontext hinzufügen, löschen oder ändern.
AuthzModifySecurityAttributes
Ändert die Sicherheitsattributinformationen im angegebenen Clientkontext.
AuthzModifySids
Kann Benutzer- und Gerätegruppen im Authz-Clientkontext hinzufügen, löschen oder ändern.
AuthzOpenObjectAudit
Liest die System-Zugriffssteuerungsliste (SACL) des angegebenen Sicherheitsdeskriptors und generiert alle entsprechenden Überprüfungen, die von dieser SACL angegeben werden.
AuthzRegisterCapChangeNotification
Registriert einen CAP-Updatebenachrichtigungsrückruf.
AuthzRegisterSecurityEventSource
Registriert eine Sicherheitsereignisquelle bei der lokalen Sicherheitsautorität (Local Security Authority, LSA).
AuthzReportSecurityEvent
Generiert eine Sicherheitsüberwachung für eine registrierte Sicherheitsereignisquelle.
AuthzReportSecurityEventFromParams
Generiert eine Sicherheitsüberwachung für eine registrierte Sicherheitsereignisquelle mithilfe des angegebenen Arrays von Überwachungsparametern.
AuthzSetAppContainerInformation
Legt den App-Container und die Funktionsinformationen in einem aktuellen Authz-Kontext fest.
AuthzUninstallSecurityEventSource
Entfernt die angegebene Quelle aus der Liste der gültigen Sicherheitsereignisquellen.
AuthzUnregisterCapChangeNotification
Entfernt einen zuvor registrierten CAP-Updatebenachrichtigungsrückruf.
AuthzUnregisterSecurityEventSource
Hebt die Registrierung einer Sicherheitsereignisquelle bei der lokalen Sicherheitsautorität (Local Security Authority, LSA) auf.
BuildExplicitAccessWithName
Initialisiert eine EXPLICIT_ACCESS-Struktur mit Daten, die vom Aufrufer angegeben werden. Der Treuhänder wird durch eine Namenszeichenfolge identifiziert.
BuildImpersonateExplicitAccessWithName
Die BuildImpersonateExplicitAccessWithName-Funktion wird nicht unterstützt.
BuildImpersonateTrustee
Die BuildImpersonateTrustee-Funktion wird nicht unterstützt.
BuildSecurityDescriptor
Weist einen neuen Sicherheitsdeskriptor zu und initialisiert ihn.
BuildTrusteeWithName
Initialisiert eine TRUSTEE-Struktur. Der Aufrufer gibt den Treuhändernamen an. Die Funktion legt andere Mitglieder der Struktur auf Standardwerte fest.
BuildTrusteeWithObjectsAndName
Initialisiert eine TRUSTEE-Struktur mit den objektspezifischen Zugriffssteuerungseintragsinformationen (ACE) und initialisiert die verbleibenden Mitglieder der Struktur auf Standardwerte. Der Aufrufer gibt auch den Namen des Treuhänders an.
BuildTrusteeWithObjectsAndSid
Initialisiert eine TRUSTEE-Struktur mit den objektspezifischen Zugriffssteuerungseintragsinformationen (ACE) und initialisiert die verbleibenden Mitglieder der Struktur auf Standardwerte. Der Aufrufer gibt auch die SID-Struktur an, die den Sicherheitsbezeichner des Treuhänders darstellt.
BuildTrusteeWithSid
Initialisiert eine TRUSTEE-Struktur. Der Aufrufer gibt den Sicherheitsbezeichner (SID) des Treuhänders an. Die Funktion legt andere Mitglieder der Struktur auf Standardwerte fest und sucht nicht nach dem Namen, der dem SID zugeordnet ist.
CheckTokenCapability
Überprüft die Funktionen eines bestimmten Tokens.
CheckTokenMembership
Bestimmt, ob ein angegebener Sicherheitsbezeichner (SID) in einem Zugriffstoken aktiviert ist.
CheckTokenMembershipEx
Bestimmt, ob der angegebene SID im angegebenen Token aktiviert ist.
ConvertSecurityDescriptorToStringSecurityDescriptor
Konvertiert einen Sicherheitsdeskriptor in ein Zeichenfolgenformat. Sie können das Zeichenfolgenformat verwenden, um den Sicherheitsdeskriptor zu speichern oder zu übertragen.
ConvertSidToStringSid
Konvertiert einen Sicherheitsbezeichner (SID) in ein Zeichenfolgenformat, das zum Anzeigen, Speichern oder Übertragen geeignet ist.
ConvertStringSecurityDescriptorToSecurityDescriptor
Konvertiert einen Sicherheitsdeskriptor im Zeichenfolgenformat in einen gültigen, funktionalen Sicherheitsdeskriptor.
ConvertStringSidToSid
Konvertiert einen Sicherheitsbezeichner (SID) im Zeichenfolgenformat in einen gültigen, funktionalen SID um. Sie können diese Funktion verwenden, um einen SID abzurufen, der von der ConvertSidToStringSid-Funktion in ein Zeichenfolgenformat konvertiert wurde.
ConvertToAutoInheritPrivateObjectSecurity
Konvertiert einen Sicherheitsdeskriptor und seine Zugriffssteuerungslisten (ACLs) in ein Format, das die automatische Weitergabe von vererbbaren Zugriffssteuerungseinträgen (ACEs) unterstützt.
CopySid
Kopiert einen Sicherheitsbezeichner (SID) in einen Puffer.
CreatePrivateObjectSecurity
Ordnet einen selbstbezogenen Sicherheitsdeskriptor für ein neues privates Objekt zu und initialisiert ihn. Ein geschützter Server ruft diese Funktion auf, wenn er ein neues privates Objekt erstellt.
CreatePrivateObjectSecurityEx
Ordnet einen selbstbezogenen Sicherheitsdeskriptor für ein neues privates Objekt zu, das vom Ressourcen-Manager erstellt wurde, der diese Funktion aufruft, und initialisiert ihn.
CreatePrivateObjectSecurityWithMultipleInheritance
Ordnet einen selbstbezogenen Sicherheitsdeskriptor für ein neues privates Objekt zu, das vom Ressourcen-Manager erstellt wurde, der diese Funktion aufruft, und initialisiert ihn.
CreateRestrictedToken
Erstellt ein neues Zugriffstoken, das eine eingeschränkte Version eines vorhandenen Zugriffstokens ist. Das eingeschränkte Token kann deaktivierte Sicherheitsbezeichner (SIDs), gelöschte Berechtigungen und eine Liste mit einschränkenden SIDs aufweisen.
CreateSecurityPage
Erstellt eine grundlegende Sicherheitseigenschaftsseite, die es dem Benutzer ermöglicht, die Zugriffsrechte, die durch die Zugriffssteuerungseinträge (ACEs) in der bedingten Zugriffssteuerungsliste (DACL) eines Objekts erlaubt oder verweigert werden, anzuzeigen und zu bearbeiten.
CreateWellKnownSid
Erstellt einen SID für vordefinierte Aliase.
DeleteAce
Löscht einen Zugriffssteuerungseintrag (ACE) aus einer Zugriffssteuerungsliste (ACL).
DestroyPrivateObjectSecurity
Löscht den Sicherheitsdeskriptor eines privaten Objekts.
DSCreateSecurityPage
Erstellt eine Sicherheitseigenschaftsseite für ein Active Directory-Objekt.
DSCreateISecurityInfoObject
Erstellt eine Instanz der ISecurityInformation-Schnittstelle, die dem angegebenen Verzeichnisdienstobjekt (Directory Service, DS) zugeordnet ist.
DSCreateISecurityInfoObjectEx
Erstellt eine Instanz der ISecurityInformation-Schnittstelle, die dem angegebenen Verzeichnisdienstobjekt (Directory Service, DS) auf dem angegebenen Server zugeordnet ist.
DSEditSecurity
Zeigt ein modales Dialogfeld zum Bearbeiten der Sicherheit für ein Verzeichnisdienstobjekt (DS) an.
DuplicateToken
Erstellt ein neues Zugriffstoken, das ein bereits vorhandenes dupliziert.
DuplicateTokenEx
Erstellt ein neues Zugriffstoken, das ein vorhandenes Token dupliziert. Diese Funktion kann entweder ein primäres Token oder ein Identitätswechseltoken erstellen.
EditSecurity
Zeigt ein Eigenschaftenblatt an, das eine grundlegende Sicherheitseigenschaftenseite enthält. Diese Eigenschaftenseite ermöglicht es dem Benutzer, die von den ACEs in der DACL eines Objekts erlaubten oder verweigerten Zugriffsrechte anzuzeigen und zu bearbeiten.
EditSecurityAdvanced
Erweitert die EditSecurity-Funktion, um den Sicherheitsseitentyp einzuschließen, wenn das Eigenschaftenblatt mit einer grundlegenden Sicherheitseigenschaftenseite angezeigt wird.
EqualDomainSid
Bestimmt, ob zwei SIDs aus derselben Domäne stammen.
EqualPrefixSid
Testet zwei Sicherheitsbezeichner-Präfixwerte (SID) auf Übereinstimmung. Ein SID-Präfix ist der gesamte SID mit Ausnahme des letzten Unterautoritätswerts.
EqualSid
Testet zwei Sicherheitsbezeichner-Werte (SID) auf Übereinstimmung. Zwei SIDs müssen exakt übereinstimmen, um als gleich angesehen zu werden.
FindFirstFreeAce
Ruft einen Zeiger auf das erste freie Byte in einer Zugriffssteuerungsliste (ACL) ab.
FreeInheritedFromArray
Gibt Speicher frei, der von der GetInheritanceSource-Funktion zugewiesen wird.
FreeSid
Gibt einen zuvor zugewiesenen Sicherheitsbezeichner (SID) mithilfe der AllocateAndInitializeSid-Funktion frei.
GetAce
Ruft einen Zeiger auf einen Zugriffssteuerungseintrag (ACE) in einer Zugriffssteuerungsliste (ACL) ab.
GetAclInformation
Ruft Informationen zu einer Zugriffssteuerungsliste (ACL) ab.
GetAppContainerNamedObjectPath
Ruft den benannten Objektpfad für den App-Container ab.
GetAuditedPermissionsFromAcl
Ruft die überwachten Zugriffsrechte für einen angegebenen Treuhänder ab.
GetCurrentProcessToken
Ruft einen Pseudohandhandle ab, den Sie als Kurzform verwenden können, um auf das Zugriffstoken zu verweisen, das einem Prozess zugeordnet ist.
GetCurrentThreadEffectiveToken
Ruft einen Pseudohandhandle ab, den Sie als Kurzform verwenden können, um auf das Token zu verweisen, das derzeit für den Thread wirksam ist, bei dem es sich um das Threadtoken handelt (sofern vorhanden, andernfalls das Prozesstoken).
GetCurrentThreadToken
Ruft einen Pseudohandhand-Handle ab, den Sie als Kurzform verwenden können, um auf das Identitätswechseltoken zu verweisen, das dem aktuellen Thread zugewiesen wurde.
GetEffectiveRightsFromAcl
Ruft die effektiven Zugriffsrechte ab, die eine ACL-Struktur einem angegebenen Treuhänder gewährt. Die effektiven Zugriffsrechte des Treuhänders sind die Zugriffsrechte, die die ACL dem Treuhänder gewährt, oder jeder Gruppe, deren Mitglied der Treuhänder ist.
GetExplicitEntriesFromAcl
Ruft ein Array von Strukturen ab, die die Zugriffssteuerungseinträge (ACEs) in einer Zugriffssteuerungsliste (ACL) beschreiben.
GetFileSecurity
Ruft angegebene Informationen zur Sicherheit einer Datei oder eines Verzeichnisses ab. Die abgerufenen Informationen werden durch die Zugriffsrechte und Berechtigungen des Aufrufers eingeschränkt.
GetInheritanceSource
Gibt Informationen zur Quelle geerbter Zugriffssteuerungseinträge (ACEs) in einer Zugriffssteuerungsliste (ACL) zurück.
GetKernelObjectSecurity
Ruft eine Kopie des Sicherheitsdeskriptors ab, die ein Kernelobjekt schützt.
GetLengthSid
Gibt die Länge eines gültigen Sicherheitsbezeichners (SID) in Bytes zurück.
GetMultipleTrustee
Die GetMultipleTrustee-Funktion wird nicht unterstützt.
GetMultipleTrusteeOperation
Die GetMultipleTrusteeOperation-Funktion wird nicht unterstützt.
GetNamedSecurityInfo
Ruft eine Kopie des Sicherheitsdeskriptors für ein Objekt ab, das durch einen Namen angegeben ist.
GetPrivateObjectSecurity
Ruft Informationen aus dem Sicherheitsdeskriptor eines privaten Objekts ab.
GetSecurityDescriptorControl
Ruft die Kontroll- und Revisionsinformationen eines Sicherheitsdeskriptors ab.
GetSecurityDescriptorDacl
Ruft einen Zeiger auf die bedingte Zugriffssteuerungsliste (DACL) in einem angegebenen Sicherheitsdeskriptor ab.
GetSecurityDescriptorGroup
Ruft die Primär-Gruppeninformationen aus einem Sicherheitsdeskriptor ab.
GetSecurityDescriptorLength
Gibt die Länge eines strukturell gültigen Sicherheitsdeskriptors in Bytes zurück. Die Länge enthält die Länge aller zugeordneten Strukturen.
GetSecurityDescriptorOwner
Ruft die Besitzerinformationen aus einem Sicherheitsdeskriptor ab.
GetSecurityDescriptorRMControl
Ruft die Steuerbits des Ressourcen-Managers ab.
GetSecurityDescriptorSacl
Ruft einen Zeiger auf die System-Zugriffssteuerungsliste (SACL) in einem angegebenen Sicherheitsdeskriptor ab.
GetSecurityInfo
Ruft eine Kopie des Sicherheitsdeskriptors für ein Objekt ab, das durch einen Handle angegeben ist.
GetSidIdentifierAuthority
Gibt einen Zeiger auf die SID_IDENTIFIER_AUTHORITY-Struktur in einem angegebenen Sicherheitsbezeichner (SID) zurück.
GetSidLengthRequired
Gibt die Länge des Puffers in Bytes zurück, der zum Speichern eines SID mit einer angegebenen Anzahl von Unterautoritäten erforderlich ist.
GetSidSubAuthority
Gibt einen Zeiger auf eine angegebene Unterautorität in einem Sicherheitsbezeichner (SID) zurück. Der Unterautoritätswert ist ein relativer Bezeichner (RID).
GetSidSubAuthorityCount
Gibt einen Zeiger auf das Element in einer Sicherheitsbezeichner-Struktur (SID) zurück, die die Anzahl der Unterautorität enthält.
GetTenantRestrictionsHostnames Gibt eine Liste von hostnames (z. B. foo.com) und subdomainSupportedHostnames (z. B. .bar.com) an den Aufrufer zurück, um Mandanteneinschränkungen auf diese Endpunkte anzuwenden.
GetTokenInformation
Ruft einen angegebenen Informationstyp zu einem Zugriffstoken ab. Der Aufrufvorgang muss über geeignete Zugriffsrechte verfügen, um die Informationen zu erhalten.
GetTrusteeForm
Ruft den Treuhändernamen aus der angegebenen TRUSTEE-Struktur ab. Dieser Wert gibt an, ob die Struktur eine Namenszeichenfolge oder einen Sicherheitsbezeichner (SID) verwendet, um den Treuhänder zu identifizieren.
GetTrusteeName
Ruft den Treuhändernamen aus der angegebenen TRUSTEE-Struktur ab.
GetTrusteeType
Ruft den Treuhändertyp aus der angegebenen TRUSTEE-Struktur ab. Dieser Wert gibt an, ob der Treuhänder ein Benutzer oder eine Gruppe ist oder ob der Treuhändertyp unbekannt ist.
GetUserObjectSecurity
Ruft Sicherheitsinformationen für das angegebene Benutzerobjekt ab.
GetWindowsAccountDomainSid
Empfängt einen Sicherheitsbezeichner (SID) und gibt einen SID zurück, der die Domäne dieses SID darstellt.
ImpersonateAnonymousToken
Ermöglicht dem angegebenen Thread die Identität des anonymen Systemanmeldetokens anzunehmen.
ImpersonateLoggedOnUser
Ermöglicht dem aufrufenden Thread die Identität des Sicherheitskontexts eines angemeldeten Benutzers anzunehmen. Der Benutzer wird durch ein Tokenhandle dargestellt.
ImpersonateNamedPipeClient
Nimmt die Identität einer Named-Pipe-Clientanwendung an.
ImpersonateSelf
Ruft ein Zugriffstoken ab, das die Identität des Sicherheitskontexts des aufrufenden Prozesses annimmt. Das Token wird dem aufrufenden Thread zugewiesen.
InitializeAcl
Initialisiert eine neue ACL-Struktur.
InitializeSecurityDescriptor
Initialisiert einen neuen Sicherheitsdeskriptor.
InitializeSid
Initialisiert einen Sicherheitsbezeichner (SID).
IsTokenRestricted
Gibt an, ob ein Token eine Liste von eingeschränkten Sicherheitsbezeichnern (SIDs) enthält.
IsValidAcl
Validiert eine Zugriffssteuerungsliste (ACL).
IsValidSecurityDescriptor
Bestimmt, ob die Komponenten eines Sicherheitsdeskriptors gültig sind.
IsValidSid
Validiert einen Sicherheitsbezeichner (SID), indem verifiziert wird, ob sich die Revisionsnummer innerhalb eines bekannten Bereichs befindet und dass die Anzahl der Unterautoritäten kleiner als das Maximum ist.
IsWellKnownSid
Vergleicht einen SID mit einem bekannten SID und gibt TRUE zurück, wenn sie übereinstimmen.
LookupAccountName
Akzeptiert den Namen eines Systems und eines Kontos als Eingabe. Ruft einen Sicherheitsbezeichner (SID) für das Konto und den Namen der Domäne ab, in der das Konto gefunden wurde.
LookupAccountSid
Akzeptiert einen Sicherheitsbezeichner (SID) als Eingabe. Ruft den Namen des Kontos für diesen SID und den Namen der ersten Domäne ab, in der dieser SID gefunden wird.
LookupAccountSidLocal
Ruft den Namen des Kontos für den angegebenen SID auf dem lokalen Computer ab.
LookupPrivilegeDisplayName
Ruft den Anzeigenamen ab, der eine angegebene Berechtigung darstellt.
LookupPrivilegeName
Ruft den Namen ab, der der Berechtigung entspricht, die für ein bestimmtes System durch einen angegebenen lokal eindeutigen Bezeichner (LUID) dargestellt wird.
LookupPrivilegeValue
Ruft den lokal eindeutigen Bezeichner (LUID) ab, der für ein angegebenes System verwendet wird, um den angegebenen Berechtigungsnamen lokal darzustellen.
LookupSecurityDescriptorParts
Ruft Sicherheitsinformationen aus einem selbstbezogenen Sicherheitsdeskriptor ab.
MakeAbsoluteSD
Erstellt einen Sicherheitsdeskriptor im absoluten Format, indem ein Sicherheitsdeskriptor im selbstbezogenen Format als Vorlage verwendet wird.
MakeSelfRelativeSD
Erstellt einen Sicherheitsdeskriptor im selbstbezogenen Format, indem ein Sicherheitsdeskriptor im absoluten Format als Vorlage verwendet wird.
MapGenericMask
Ordnet die generischen Zugriffsrechte in einer Zugriffsmaske bestimmten und Standardzugriffsrechten zu. Die Funktion wendet eine Zuordnung an, die in einer GENERIC_MAPPING-Struktur bereitgestellt wird.
NtCompareTokens
Vergleicht zwei Zugriffstoken und bestimmt, ob sie in Bezug auf einen Aufruf der AccessCheck-Funktion gleichwertig sind.
NtCreateLowBoxToken Erstellt ein Lowbox-Tokenobjekt basierend auf einem vorhandenen Zugriffstoken.
ObjectCloseAuditAlarm
Generiert eine Überwachungsmeldung im Sicherheitsereignisprotokoll, wenn ein Handle für ein privates Objekt gelöscht wird.
ObjectDeleteAuditAlarm
Generiert Überwachungsmeldungen, wenn ein Objekt gelöscht wird.
ObjectOpenAuditAlarm
Generiert Überwachungsmeldungen, wenn eine Clientanwendung versucht, Zugriff auf ein Objekt zu erhalten oder ein neues zu erstellen.
ObjectPrivilegeAuditAlarm
Generiert eine Überwachungsmeldung im Sicherheitsereignisprotokoll.
OpenProcessToken
Öffnet das einem Prozess zugeordnete Zugriffstoken.
OpenThreadToken
Öffnet das einem Thread zugeordnete Zugriffstoken.
PrivilegeCheck
Bestimmt, ob ein bestimmter Satz von Berechtigungen in einem Zugriffstoken aktiviert ist.
PrivilegedServiceAuditAlarm
Generiert eine Überwachungsmeldung im Sicherheitsereignisprotokoll.
QuerySecurityAccessMask
Erstellt eine Zugriffsmaske, die die Zugriffsberechtigungen darstellt, die zum Abfragen der angegebenen Objektsicherheitsinformationen erforderlich sind.
QueryServiceObjectSecurity
Ruft eine Kopie des Sicherheitsdeskriptors ab, der einem Dienstobjekt zugeordnet ist.
RegGetKeySecurity
Ruft eine Kopie des Sicherheitsdeskriptors ab, der den angegebenen geöffneten Registrierungsschlüssel schützt.
RegSetKeySecurity
Legt die Sicherheit eines geöffneten Registrierungsschlüssels fest.
RevertToSelf
Beendet den Identitätswechsel einer Clientanwendung.
RtlConvertSidToUnicodeString
Konvertiert einen Sicherheitsbezeichner (SID) in die Unicode-Zeichendarstellung.
SetAclInformation
Stellt Informationen zu einer Zugriffssteuerungsliste (ACL) dar.
SetEntriesInAcl
Erstellt eine neue Zugriffssteuerungsliste (ACL), indem neue Zugriffssteuerungs- oder Überwachungssteuerungsinformationen in eine vorhandene ACL-Struktur zusammengeführt werden.
SetFileSecurity
Legt die Sicherheit eines Datei- oder Verzeichnisobjekts fest.
SetKernelObjectSecurity
Legt die Sicherheit eines Kernelobjekts fest.
SetNamedSecurityInfo
Legt angegebene Sicherheitsinformationen im Sicherheitsdeskriptor eines angegebenen Objekts fest.
SetPrivateObjectSecurity
Ändert den Sicherheitsdeskriptor eines privaten Objekts.
SetPrivateObjectSecurityEx
Ändert den Sicherheitsdeskriptor eines privaten Objekts, das vom Ressourcen-Manager verwaltet wird, der diese Funktion aufruft.
SetSecurityAccessMask
Erstellt eine Zugriffsmaske, die die Zugriffsberechtigungen darstellt, die zum Einstellen der angegebenen Objektsicherheitsinformationen erforderlich sind.
SetSecurityDescriptorControl
Legt die Steuerbits eines Sicherheitsdeskriptors fest. Die Funktion kann nur die Steuerbits festlegen, die sich auf die automatische Vererbung von ACEs beziehen.
SetSecurityDescriptorDacl
Legt Informationen in einer bedingten Zugriffssteuerungsliste (DACL) fest. Wenn bereits eine DACL im Sicherheitsdeskriptor vorhanden ist, wird die DACL ersetzt.
SetSecurityDescriptorGroup
Legt die Primär-Gruppeninformationen eines Sicherheitsdeskriptors im absoluten Format fest, wobei alle Primär-Gruppeninformationen ersetzt werden, die bereits im Sicherheitsdeskriptor vorhanden sind.
SetSecurityDescriptorOwner
Legt die Besitzerinformationen eines Sicherheitsdeskriptors im absoluten Format fest. Ersetzt alle Besitzerinformationen, die bereits im Sicherheitsdeskriptor vorhanden sind.
SetSecurityDescriptorRMControl
Legt die Steuerbits des Ressourcen-Managers in der SECURITY_DESCRIPTOR-Struktur fest.
SetSecurityDescriptorSacl
Legt Informationen in einer System-Zugriffssteuerungsliste (SACL) fest. Wenn bereits eine SACL im Sicherheitsdeskriptor vorhanden ist, wird sie ersetzt.
SetSecurityInfo
Legt angegebene Sicherheitsinformationen im Sicherheitsdeskriptor eines angegebenen Objekts fest. Der Aufrufer identifiziert das Objekt anhand eines Handles.
SetServiceObjectSecurity
Legt den Sicherheitsdeskriptor eines Dienstobjekts fest.
SetThreadToken
Weist einem Thread ein Identitätswechseltoken zu. Die Funktion kann auch dazu führen, dass ein Thread die Verwendung eines Identitätswechseltokens beendet.
SetTokenInformation
Legt verschiedene Arten von Informationen für ein angegebenes Zugriffstoken fest.
SetUserObjectSecurity
Legt die Sicherheit eines Benutzerobjekts fest. Dies kann z. B. ein Fenster oder eine DDE-Unterhaltung sein.
TreeResetNamedSecurityInfo
Setzt die angegebenen Sicherheitsinformationen im Sicherheitsdeskriptor einer angegebenen Struktur von Objekten zurück.
TreeSetNamedSecurityInfo
Legt die angegebenen Sicherheitsinformationen im Sicherheitsdeskriptor einer angegebenen Struktur von Objekten fest.

Autorisierungsfunktionen werden nach Verwendung wie folgt kategorisiert.

Grundlegende Zugriffssteuerungsfunktionen

Die folgenden Funktionen werden mit Zugriffstoken verwendet.

Access Control Editor-Funktionen

Die folgenden Funktionen werden mit dem Zugriffskontrolleditor verwendet.

Client-/Server-Zugriffssteuerungsfunktionen

Die folgenden Funktionen werden von Servern zum Annehmen der Identität von Clients verwendet.

Zugriffssteuerungsfunktionen auf niedriger Ebene

Die folgenden Funktionen auf niedriger Ebene werden verwendet, um Sicherheitsdeskriptoren zu bearbeiten.

Überwachungsrichtlinienfunktionen