JOBOBJECT_SECURITY_LIMIT_INFORMATION-Struktur (winnt.h)

  • Artikel

[JOBOBJECT_SECURITY_LIMIT_INFORMATION steht für die Verwendung in den Betriebssystemen zur Verfügung, die im Abschnitt Anforderungen angegeben sind. Die Unterstützung für diese Struktur wurde ab Windows Vista entfernt. Weitere Informationen finden Sie unter Hinweise.]

Enthält die Sicherheitsbeschränkungen für ein Auftragsobjekt.

Syntax

typedef struct _JOBOBJECT_SECURITY_LIMIT_INFORMATION {
  DWORD             SecurityLimitFlags;
  HANDLE            JobToken;
  PTOKEN_GROUPS     SidsToDisable;
  PTOKEN_PRIVILEGES PrivilegesToDelete;
  PTOKEN_GROUPS     RestrictedSids;
} JOBOBJECT_SECURITY_LIMIT_INFORMATION, *PJOBOBJECT_SECURITY_LIMIT_INFORMATION;

Member

SecurityLimitFlags

Die Sicherheitsbeschränkungen für den Auftrag. Bei diesem Member kann es sich um einen oder mehrere der folgenden Werte handeln.

Wert Bedeutung
JOB_OBJECT_SECURITY_FILTER_TOKENS
0x00000008
 Wendet einen Filter auf das Token an, wenn ein Prozess die Identität eines Clients angibt. Erfordert mindestens einen der folgenden Member: SidsToDisable, PrivilegesToDelete oder RestrictedSids.
JOB_OBJECT_SECURITY_NO_ADMIN
0x00000001
 Verhindert, dass ein Prozess im Auftrag ein Token verwendet, das die lokale Administratorgruppe angibt.
JOB_OBJECT_SECURITY_ONLY_TOKEN
0x00000004
 Erzwingt Prozesse im Auftrag, unter einem bestimmten Token auszuführen. Erfordert ein Tokenhandle im JobToken-Member .
JOB_OBJECT_SECURITY_RESTRICTED_TOKEN
0x00000002
 Verhindert, dass ein Prozess im Auftrag ein Token verwendet, das nicht mit der Funktion CreateRestrictedToken erstellt wurde.

JobToken

Ein Handle für das primäre Token, das einen Benutzer darstellt. Das Handle muss TOKEN_ASSIGN_PRIMARY Zugriff haben.

Wenn das Token mit CreateRestrictedToken erstellt wurde, sind alle Prozesse im Auftrag auf dieses Token oder ein weiter eingeschränktes Token beschränkt. Andernfalls muss der Aufrufer über das SE_ASSIGNPRIMARYTOKEN_NAME-Recht verfügen.

SidsToDisable

Ein Zeiger auf eine TOKEN_GROUPS-Struktur , die die SIDs angibt, die für die Zugriffsüberprüfung deaktiviert werden sollen, wenn SecurityLimitFlags JOB_OBJECT_SECURITY_FILTER_TOKENS ist.

Dieser Member kann NULL sein, wenn Sie keine SIDs deaktivieren möchten.

PrivilegesToDelete

Ein Zeiger auf eine TOKEN_PRIVILEGES-Struktur , die die Berechtigungen angibt, die aus dem Token gelöscht werden sollen, wenn SecurityLimitFlags JOB_OBJECT_SECURITY_FILTER_TOKENS ist.

Dieses Element kann NULL sein, wenn Sie keine Berechtigungen löschen möchten.

RestrictedSids

Ein Zeiger auf eine TOKEN_GROUPS-Struktur , die die deny-only-SIDs angibt, die dem Zugriffstoken hinzugefügt werden, wenn SecurityLimitFlags JOB_OBJECT_SECURITY_FILTER_TOKENS ist.

Dieser Member kann NULL sein, wenn Sie keine deny-only-SIDs angeben möchten.

Hinweise

Nachdem Sicherheitsbeschränkungen für Prozesse in einem Auftrag festgelegt wurden, können sie nicht widerrufen werden.

Ab Windows Vista müssen Sie Sicherheitsbeschränkungen einzeln für jeden Prozess festlegen, der einem Auftragsobjekt zugeordnet ist, anstatt sie mithilfe von SetInformationJobObject für das Auftragsobjekt festzulegen. Weitere Informationen finden Sie unter Prozesssicherheit und Zugriffsrechte.

Anforderungen

Anforderung Wert
Unterstützte Mindestversion (Client) Windows XP [nur Desktop-Apps]
Unterstützte Mindestversion (Server) Windows Server 2003 [nur Desktop-Apps]
Kopfzeile winnt.h (Einschließen von Windows.h)

Weitere Informationen

CreateRestrictedToken

QueryInformationJobObject

SetInformationJobObject

TOKEN_GROUPS

TOKEN_PRIVILEGES