CreatePrivateObjectSecurity-Funktion (securitybaseapi.h)

Artikel
08/25/2023

Die CreatePrivateObjectSecurity-Funktion weist einen selbstrelativen Sicherheitsdeskriptor für ein neues privates Objekt zu und initialisiert diesen. Ein geschützter Server ruft diese Funktion auf, wenn er ein neues privates Objekt erstellt.

Verwenden Sie die CreatePrivateObjectSecurityEx-Funktion, um die Objekttyp-GUID des neuen Objekts anzugeben oder zu steuern, wie Zugriffssteuerungseinträge (Access Control Entries, ACEs) vererbt werden.

Syntax

BOOL CreatePrivateObjectSecurity(
  [in, optional] PSECURITY_DESCRIPTOR ParentDescriptor,
  [in, optional] PSECURITY_DESCRIPTOR CreatorDescriptor,
  [out]          PSECURITY_DESCRIPTOR *NewDescriptor,
  [in]           BOOL                 IsDirectoryObject,
  [in, optional] HANDLE               Token,
  [in]           PGENERIC_MAPPING     GenericMapping
);

Parameter

[in, optional] ParentDescriptor

Ein Zeiger auf die Sicherheitsbeschreibung für das übergeordnete Verzeichnis, in dem ein neues Objekt erstellt wird. Wenn kein übergeordnetes Verzeichnis vorhanden ist, kann dieser Parameter NULL sein.

[in, optional] CreatorDescriptor

Ein Zeiger auf eine Sicherheitsbeschreibung, die vom Ersteller des Objekts bereitgestellt wird. Wenn der Ersteller des Objekts nicht explizit Sicherheitsinformationen für das neue Objekt übergibt, soll dieser Parameter NULL sein.

[out] NewDescriptor

Ein Zeiger auf eine Variable, die einen Zeiger auf den neu zugewiesenen selbstrelativen Sicherheitsdeskriptor empfängt. Der Aufrufer muss die DestroyPrivateObjectSecurity-Funktion aufrufen, um diese Sicherheitsbeschreibung frei zu geben.

[in] IsDirectoryObject

Gibt an, ob es sich bei dem neuen Objekt um einen Container handelt. Der Wert TRUE gibt an, dass das Objekt andere Objekte enthält, z. B. ein Verzeichnis.

[in, optional] Token

Ein Handle für das Zugriffstoken für den Clientprozess , in dessen Auftrag das Objekt erstellt wird. Wenn es sich um ein Identitätswechseltoken handelt, muss es sich auf der SecurityIdentification-Ebene oder höher sein. Eine vollständige Beschreibung der Identitätswechselebene von SecurityIdentification finden Sie im SECURITY_IMPERSONATION_LEVEL aufgezählten Typs.

Ein Clienttoken wird verwendet, um Standardsicherheitsinformationen für das neue Objekt abzurufen, z. B. den Standardbesitzer, die primäre Gruppe und die diskretionäre Zugriffssteuerungsliste. Das Token muss für TOKEN_QUERY Zugriff geöffnet sein.

Wenn alle folgenden Bedingungen zutreffen, muss das Handle zusätzlich zu TOKEN_QUERY Zugriff für TOKEN_DUPLICATE Zugriff geöffnet werden.

Das Tokenhandle bezieht sich auf ein primäres Token.
Die Sicherheitsbeschreibung des Tokens enthält mindestens ein ACEs mit der OwnerRights-SID .
Für den CreatorDescriptor-Parameter wird ein Sicherheitsdeskriptor angegeben.
Der Aufrufer dieser Funktion legt das SEF_AVOID_OWNER_RESTRICTION-Flag im AutoInheritFlags-Parameter nicht fest.

[in] GenericMapping

Ein Zeiger auf eine GENERIC_MAPPING-Struktur , die die Zuordnung von jedem generischen Recht zu bestimmten Rechten für das Objekt angibt.

Rückgabewert

Wenn die Funktion erfolgreich ist, gibt die Funktion nonzero zurück.

Wenn die Funktion fehlschlägt, gibt sie null zurück. Um erweiterte Fehlerinformationen zu erhalten, rufen Sie GetLastError auf.

Hinweise

Wenn eine Systemzugriffssteuerungsliste (System Access Control List, SACL) in der durch den CreatorDescriptor-Parameter angegebenen SECURITY_DESCRIPTOR angegeben ist, muss für den Token-Parameter die berechtigung SE_SECURITY_NAME aktiviert sein. Die CreatePrivateObjectSecurity-Funktion überprüft diese Berechtigung und generiert möglicherweise während des Prozesses Überwachungen.

Anforderungen

Anforderung	Wert
Unterstützte Mindestversion (Client)	Windows XP [nur Desktop-Apps]
Unterstützte Mindestversion (Server)	Windows Server 2003 [nur Desktop-Apps]
Zielplattform	Windows
Kopfzeile	securitybaseapi.h (einschließlich Windows.h)
Bibliothek	Advapi32.lib
DLL	Advapi32.dll