Freigeben über


TOKEN_GROUPS-Struktur (winnt.h)

Die TOKEN_GROUPS-Struktur enthält Informationen zu den Gruppensicherheits-IdDs (SIDs) in einem Zugriffstoken.

Syntax

typedef struct _TOKEN_GROUPS {
  DWORD              GroupCount;
#if ...
  SID_AND_ATTRIBUTES *Groups[];
#else
  SID_AND_ATTRIBUTES Groups[ANYSIZE_ARRAY];
#endif
} TOKEN_GROUPS, *PTOKEN_GROUPS;

Member

GroupCount

Gibt die Anzahl der Gruppen im Zugriffstoken an.

Groups[*]

Gibt ein Array von SID_AND_ATTRIBUTES Strukturen an, die einen Satz von SIDs und entsprechenden Attributen enthalten.

Die Attribute-Member der SID_AND_ATTRIBUTES-Strukturen können die folgenden Werte aufweisen.

Wert Bedeutung
SE_GROUP_ENABLED
0x00000004L
Die SID ist für Zugriffsprüfungen aktiviert. Wenn das System eine Zugriffsüberprüfung durchführt, wird überprüft, ob Zugriffssteuerungseinträge (Access-Allowed and Access-Denied Access Control Entries, ACEs) für die SID gelten.

Eine SID ohne dieses Attribut wird während einer Zugriffsprüfung ignoriert, es sei denn, das Attribut SE_GROUP_USE_FOR_DENY_ONLY ist festgelegt.

SE_GROUP_ENABLED_BY_DEFAULT
0x00000002L
Die SID ist standardmäßig aktiviert.
SE_GROUP_INTEGRITY
0x00000020L
Die SID ist eine obligatorische Integritäts-SID.
SE_GROUP_INTEGRITY_ENABLED
0x00000040L
Die SID ist für obligatorische Integritätsprüfungen aktiviert.
SE_GROUP_LOGON_ID
0xC0000000L
Die SID ist eine Anmelde-SID, die die Anmeldesitzung identifiziert, die einem Zugriffstoken zugeordnet ist.
SE_GROUP_MANDATORY
0x00000001L
Die SID kann das Attribut SE_GROUP_ENABLED nicht durch einen Aufruf der Funktion AdjustTokenGroups gelöscht werden. Sie können jedoch die CreateRestrictedToken-Funktion verwenden, um eine obligatorische SID in eine deny-only-SID zu konvertieren.
SE_GROUP_OWNER
0x00000008L
Die SID identifiziert ein Gruppenkonto, dem der Benutzer des Tokens der Besitzer der Gruppe ist, oder die SID kann als Besitzer des Tokens oder der Objekte zugewiesen werden.
SE_GROUP_RESOURCE
0x200000000L
Die SID identifiziert eine domänenlokale Gruppe.
SE_GROUP_USE_FOR_DENY_ONLY
0x00000010L
Die SID ist eine deny-only-SID in einem eingeschränkten Token. Wenn das System eine Zugriffsüberprüfung durchführt, wird überprüft, ob zugriffsverwehrte ACEs für die SID gelten. Es ignoriert zugriffsberechtigte ACEs für die SID.

Wenn dieses Attribut festgelegt ist, ist SE_GROUP_ENABLED nicht festgelegt, und die SID kann nicht erneut aktiviert werden.

Groups[ANYSIZE_ARRAY]

Gibt ein Array von SID_AND_ATTRIBUTES Strukturen an, die einen Satz von SIDs und entsprechenden Attributen enthalten.

Die Attribute-Member der SID_AND_ATTRIBUTES-Strukturen können die folgenden Werte aufweisen.

Wert Bedeutung
SE_GROUP_ENABLED
0x00000004L
Die SID ist für Zugriffsprüfungen aktiviert. Wenn das System eine Zugriffsüberprüfung durchführt, wird überprüft, ob Zugriffssteuerungseinträge (Access-Allowed and Access-Denied Access Control Entries, ACEs) für die SID gelten.

Eine SID ohne dieses Attribut wird während einer Zugriffsprüfung ignoriert, es sei denn, das Attribut SE_GROUP_USE_FOR_DENY_ONLY ist festgelegt.

SE_GROUP_ENABLED_BY_DEFAULT
0x00000002L
Die SID ist standardmäßig aktiviert.
SE_GROUP_INTEGRITY
0x00000020L
Die SID ist eine obligatorische Integritäts-SID.
SE_GROUP_INTEGRITY_ENABLED
0x00000040L
Die SID ist für obligatorische Integritätsprüfungen aktiviert.
SE_GROUP_LOGON_ID
0xC0000000L
Die SID ist eine Anmelde-SID, die die Anmeldesitzung identifiziert, die einem Zugriffstoken zugeordnet ist.
SE_GROUP_MANDATORY
0x00000001L
Die SID kann das Attribut SE_GROUP_ENABLED nicht durch einen Aufruf der Funktion AdjustTokenGroups gelöscht werden. Sie können jedoch die CreateRestrictedToken-Funktion verwenden, um eine obligatorische SID in eine deny-only-SID zu konvertieren.
SE_GROUP_OWNER
0x00000008L
Die SID identifiziert ein Gruppenkonto, dem der Benutzer des Tokens der Besitzer der Gruppe ist, oder die SID kann als Besitzer des Tokens oder der Objekte zugewiesen werden.
SE_GROUP_RESOURCE
0x200000000L
Die SID identifiziert eine domänenlokale Gruppe.
SE_GROUP_USE_FOR_DENY_ONLY
0x00000010L
Die SID ist eine deny-only-SID in einem eingeschränkten Token. Wenn das System eine Zugriffsüberprüfung durchführt, wird überprüft, ob zugriffsverwehrte ACEs für die SID gelten. Es ignoriert zugriffsberechtigte ACEs für die SID.

Wenn dieses Attribut festgelegt ist, ist SE_GROUP_ENABLED nicht festgelegt, und die SID kann nicht erneut aktiviert werden.

Anforderungen

   
Unterstützte Mindestversion (Client) Windows XP [nur Desktop-Apps]
Unterstützte Mindestversion (Server) Windows Server 2003 [nur Desktop-Apps]
Kopfzeile winnt.h (Einschließen von Windows.h)

Weitere Informationen

AdjustTokenGroups

CreateRestrictedToken

SID_AND_ATTRIBUTES

TOKEN_CONTROL

TOKEN_DEFAULT_DACL

TOKEN_INFORMATION_CLASS

TOKEN_OWNER

TOKEN_PRIMARY_GROUP

TOKEN_PRIVILEGES

TOKEN_SOURCE

TOKEN_STATISTICS

TOKEN_TYPE

TOKEN_USER