TOKEN_GROUPS-Struktur (winnt.h)
Die TOKEN_GROUPS-Struktur enthält Informationen zu den Gruppensicherheits-IdDs (SIDs) in einem Zugriffstoken.
Syntax
typedef struct _TOKEN_GROUPS {
DWORD GroupCount;
#if ...
SID_AND_ATTRIBUTES *Groups[];
#else
SID_AND_ATTRIBUTES Groups[ANYSIZE_ARRAY];
#endif
} TOKEN_GROUPS, *PTOKEN_GROUPS;
Member
GroupCount
Gibt die Anzahl der Gruppen im Zugriffstoken an.
Groups[*]
Gibt ein Array von SID_AND_ATTRIBUTES Strukturen an, die einen Satz von SIDs und entsprechenden Attributen enthalten.
Die Attribute-Member der SID_AND_ATTRIBUTES-Strukturen können die folgenden Werte aufweisen.
| Wert | Bedeutung |
|---|---|
|
Die SID ist für Zugriffsprüfungen aktiviert. Wenn das System eine Zugriffsüberprüfung durchführt, wird überprüft, ob Zugriffssteuerungseinträge (Access-Allowed and Access-Denied Access Control Entries, ACEs) für die SID gelten.
Eine SID ohne dieses Attribut wird während einer Zugriffsprüfung ignoriert, es sei denn, das Attribut SE_GROUP_USE_FOR_DENY_ONLY ist festgelegt. |
|
Die SID ist standardmäßig aktiviert. |
|
Die SID ist eine obligatorische Integritäts-SID. |
|
Die SID ist für obligatorische Integritätsprüfungen aktiviert. |
|
Die SID ist eine Anmelde-SID, die die Anmeldesitzung identifiziert, die einem Zugriffstoken zugeordnet ist. |
|
Die SID kann das Attribut SE_GROUP_ENABLED nicht durch einen Aufruf der Funktion AdjustTokenGroups gelöscht werden. Sie können jedoch die CreateRestrictedToken-Funktion verwenden, um eine obligatorische SID in eine deny-only-SID zu konvertieren. |
|
Die SID identifiziert ein Gruppenkonto, dem der Benutzer des Tokens der Besitzer der Gruppe ist, oder die SID kann als Besitzer des Tokens oder der Objekte zugewiesen werden. |
|
Die SID identifiziert eine domänenlokale Gruppe. |
|
Die SID ist eine deny-only-SID in einem eingeschränkten Token. Wenn das System eine Zugriffsüberprüfung durchführt, wird überprüft, ob zugriffsverwehrte ACEs für die SID gelten. Es ignoriert zugriffsberechtigte ACEs für die SID.
Wenn dieses Attribut festgelegt ist, ist SE_GROUP_ENABLED nicht festgelegt, und die SID kann nicht erneut aktiviert werden. |
Groups[ANYSIZE_ARRAY]
Gibt ein Array von SID_AND_ATTRIBUTES Strukturen an, die einen Satz von SIDs und entsprechenden Attributen enthalten.
Die Attribute-Member der SID_AND_ATTRIBUTES-Strukturen können die folgenden Werte aufweisen.
| Wert | Bedeutung |
|---|---|
|
Die SID ist für Zugriffsprüfungen aktiviert. Wenn das System eine Zugriffsüberprüfung durchführt, wird überprüft, ob Zugriffssteuerungseinträge (Access-Allowed and Access-Denied Access Control Entries, ACEs) für die SID gelten.
Eine SID ohne dieses Attribut wird während einer Zugriffsprüfung ignoriert, es sei denn, das Attribut SE_GROUP_USE_FOR_DENY_ONLY ist festgelegt. |
|
Die SID ist standardmäßig aktiviert. |
|
Die SID ist eine obligatorische Integritäts-SID. |
|
Die SID ist für obligatorische Integritätsprüfungen aktiviert. |
|
Die SID ist eine Anmelde-SID, die die Anmeldesitzung identifiziert, die einem Zugriffstoken zugeordnet ist. |
|
Die SID kann das Attribut SE_GROUP_ENABLED nicht durch einen Aufruf der Funktion AdjustTokenGroups gelöscht werden. Sie können jedoch die CreateRestrictedToken-Funktion verwenden, um eine obligatorische SID in eine deny-only-SID zu konvertieren. |
|
Die SID identifiziert ein Gruppenkonto, dem der Benutzer des Tokens der Besitzer der Gruppe ist, oder die SID kann als Besitzer des Tokens oder der Objekte zugewiesen werden. |
|
Die SID identifiziert eine domänenlokale Gruppe. |
|
Die SID ist eine deny-only-SID in einem eingeschränkten Token. Wenn das System eine Zugriffsüberprüfung durchführt, wird überprüft, ob zugriffsverwehrte ACEs für die SID gelten. Es ignoriert zugriffsberechtigte ACEs für die SID.
Wenn dieses Attribut festgelegt ist, ist SE_GROUP_ENABLED nicht festgelegt, und die SID kann nicht erneut aktiviert werden. |
Anforderungen
| Unterstützte Mindestversion (Client) | Windows XP [nur Desktop-Apps] |
| Unterstützte Mindestversion (Server) | Windows Server 2003 [nur Desktop-Apps] |
| Kopfzeile | winnt.h (Einschließen von Windows.h) |
Weitere Informationen
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für