SID-Attribute in einem Zugriffstoken
Jeder Benutzer- und Gruppensicherheitsbezeichner (SID) in einem Zugriffstoken verfügt über einen Satz von Attributen, die steuern, wie das System die SID in einer Zugriffsprüfung verwendet. In der folgenden Tabelle sind die Attribute aufgeführt, die die Zugriffsüberprüfung steuern.
attribute | Beschreibung |
---|---|
SE_GROUP_ENABLED | Eine SID mit diesem Attribut ist für Zugriffsprüfungen aktiviert. Wenn das System eine Zugriffsüberprüfung durchführt, wird überprüft, ob Zugriffssteuerungseinträge (Access-Allowed ) und Access-Denied Access Control Entries (ACEs) für eine der aktivierten SIDs im Zugriffstoken gelten. Eine SID ohne dieses Attribut wird während einer Zugriffsprüfung ignoriert, es sei denn, das Attribut SE_GROUP_USE_FOR_DENY_ONLY ist festgelegt. |
SE_GROUP_USE_FOR_DENY_ONLY | Eine SID mit diesem Attribut ist eine deny-only-SID. Wenn das System eine Zugriffsüberprüfung durchführt, wird nach zugriffsverweigerungsbasierten ACEs gesucht, die für die SID gelten, aber es ignoriert zugriffsberechtigte ACEs für die SID. Wenn dieses Attribut festgelegt ist, wird das attribut SE_GROUP_ENABLED nicht festgelegt, und die SID kann nicht erneut aktiviert werden. |
Um das SE_GROUP_ENABLED-Attribut einer Gruppen-SID festzulegen oder zu löschen, verwenden Sie die Funktion AdjustTokenGroups . Sie können eine Gruppen-SID mit dem Attribut SE_GROUP_MANDATORY nicht deaktivieren. Sie können AdjustTokenGroups nicht verwenden, um die Benutzer-SID eines Zugriffstokens zu deaktivieren.
Rufen Sie die CheckTokenMembership-Funktion auf, um festzustellen, ob eine SID in einem Token aktiviert ist, d. h. ob sie über das attribut SE_GROUP_ENABLED verfügt.
Um das SE_GROUP_USE_FOR_DENY_ONLY-Attribut einer SID festzulegen, fügen Sie die SID in die Liste der deny-only-SIDs ein, die Sie beim Aufrufen der CreateRestrictedToken-Funktion angeben. CreateRestrictedToken kann das SE_GROUP_USE_FOR_DENY_ONLY-Attribut auf jede SID anwenden, einschließlich der Benutzer-SID und der Gruppen-SIDs, die über das Attribut SE_GROUP_MANDATORY verfügen. Sie können jedoch weder das Deny-Only-Attribut aus einer SID entfernen, noch können Sie AdjustTokenGroups verwenden, um das attribut SE_GROUP_ENABLED für eine deny-only-SID festzulegen.
Um die Attribute einer SID abzurufen, rufen Sie die GetTokenInformation-Funktion mit dem Wert TokenGroups auf. Die Funktion gibt ein Array von SID_AND_ATTRIBUTES Strukturen zurück, die die Gruppen-SIDs und ihre Attribute identifizieren.