Atributos sid em um token de acesso
Cada SID (identificador de segurança de usuário e grupo) em um token de acesso tem um conjunto de atributos que controlam como o sistema usa o SID em um marcar de acesso. A tabela a seguir lista os atributos que controlam a verificação de acesso.
Atributo | Descrição |
---|---|
SE_GROUP_ENABLED | Um SID com esse atributo está habilitado para verificações de acesso. Quando o sistema executa uma marcar de acesso, ele verifica se há ACEs (entradas de controle de acesso) permitidas por acesso e acesso negado que se aplicam a um dos SIDs habilitados no token de acesso. Um SID sem esse atributo é ignorado durante uma marcar de acesso, a menos que o atributo SE_GROUP_USE_FOR_DENY_ONLY seja definido. |
SE_GROUP_USE_FOR_DENY_ONLY | Um SID com esse atributo é um SID somente negação. Quando o sistema executa uma marcar de acesso, ele verifica aces negados pelo acesso que se aplicam ao SID, mas ignora ACEs permitidas pelo acesso para o SID. Se esse atributo for definido, o atributo SE_GROUP_ENABLED não será definido e o SID não poderá ser reenabled. |
Para definir ou limpar o atributo SE_GROUP_ENABLED de um SID de grupo, use a função AdjustTokenGroups . Não é possível desabilitar um SID de grupo que tenha o atributo SE_GROUP_MANDATORY. Você não pode usar AdjustTokenGroups para desabilitar o SID do usuário de um token de acesso.
Para determinar se um SID está habilitado em um token, ou seja, se ele tem o atributo SE_GROUP_ENABLED, chame a função CheckTokenMembership .
Para definir o atributo SE_GROUP_USE_FOR_DENY_ONLY de um SID, inclua o SID na lista de SIDs somente negação especificados ao chamar a função CreateRestrictedToken . CreateRestrictedToken pode aplicar o atributo SE_GROUP_USE_FOR_DENY_ONLY a qualquer SID, incluindo o SID do usuário e siDs de grupo que têm o atributo SE_GROUP_MANDATORY. No entanto, você não pode remover o atributo somente negação de um SID, nem pode usar AdjustTokenGroups para definir o atributo SE_GROUP_ENABLED em um SID somente negação.
Para obter os atributos de um SID, chame a função GetTokenInformation com o valor TokenGroups. A função retorna uma matriz de estruturas SID_AND_ATTRIBUTES que identificam os SIDs do grupo e seus atributos.