JOBOBJECT_SECURITY_LIMIT_INFORMATION 構造体 (winnt.h)
[JOBOBJECT_SECURITY_LIMIT_INFORMATIONは、[要件] セクションで指定したオペレーティング システムで使用できます。 この構造のサポートは、Windows Vista 以降では削除されました。 詳細については、「解説」を参照してください。
ジョブ オブジェクトのセキュリティ制限が含まれています。
構文
typedef struct _JOBOBJECT_SECURITY_LIMIT_INFORMATION {
DWORD SecurityLimitFlags;
HANDLE JobToken;
PTOKEN_GROUPS SidsToDisable;
PTOKEN_PRIVILEGES PrivilegesToDelete;
PTOKEN_GROUPS RestrictedSids;
} JOBOBJECT_SECURITY_LIMIT_INFORMATION, *PJOBOBJECT_SECURITY_LIMIT_INFORMATION;
メンバー
SecurityLimitFlags
ジョブのセキュリティ制限。 このメンバーには、次の値の 1 つ以上を指定できます。
| 値 | 意味 |
|---|---|
|
プロセスがクライアントを偽装するときに、トークンにフィルターを適用します。 少なくとも 1 つのメンバーを設定する必要があります: SidsToDisable、 PrivilegesToDelete、または RestrictedSids。 |
|
ジョブ内のプロセスで、ローカル管理者グループを指定するトークンを使用できないようにします。 |
|
ジョブ内のプロセスを特定のトークンで強制的に実行します。 JobToken メンバーにトークン ハンドルが必要です。 |
|
CreateRestrictedToken 関数で作成されていないトークンをジョブ内のプロセスで使用できないようにします。 |
JobToken
ユーザーを表すプライマリ トークンへのハンドル。 ハンドルにはTOKEN_ASSIGN_PRIMARYアクセス権が必要です。
トークンが CreateRestrictedToken で作成された場合、ジョブ内のすべてのプロセスは、そのトークンまたはさらに制限されたトークンに制限されます。 それ以外の場合、呼び出し元にはSE_ASSIGNPRIMARYTOKEN_NAME特権が必要です。
SidsToDisable
SecurityLimitFlags がJOB_OBJECT_SECURITY_FILTER_TOKENSされている場合に、アクセス チェックで無効にする SID を指定するTOKEN_GROUPS構造体へのポインター。
SID を無効にしない場合は、このメンバーを NULL にすることができます。
PrivilegesToDelete
SecurityLimitFlags がJOB_OBJECT_SECURITY_FILTER_TOKENSされている場合に、トークンから削除する特権を指定するTOKEN_PRIVILEGES構造体へのポインター。
特権を削除しない場合は、このメンバーを NULL にすることができます。
RestrictedSids
SecurityLimitFlags がJOB_OBJECT_SECURITY_FILTER_TOKENSされている場合にアクセス トークンに追加される拒否専用 SID を指定するTOKEN_GROUPS構造体へのポインター。
拒否のみの SID を指定しない場合は、このメンバーを NULL にすることができます。
注釈
ジョブ内のプロセスにセキュリティ制限が適用された後は、取り消すことはできません。
Windows Vista 以降では、 SetInformationJobObject を使用してジョブ オブジェクトに設定するのではなく、ジョブ オブジェクトに関連付けられているプロセスごとに個別にセキュリティ制限を設定する必要があります。 詳細については、「 セキュリティとアクセス権の処理」を参照してください。
要件
| 要件 | 値 |
|---|---|
| サポートされている最小のクライアント | Windows XP (デスクトップ アプリのみ) |
| サポートされている最小のサーバー | Windows Server 2003 (デスクトップ アプリのみ) |
| Header | winnt.h (Windows.h を含む) |