Compartir a través de


Atributos de SID en un token de acceso

Cada identificador de seguridad de usuario y grupo (SID) de un token de acceso tiene un conjunto de atributos que controlan cómo el sistema usa el SID en una comprobación de acceso. En la tabla siguiente se enumeran los atributos que controlan la comprobación de acceso.

Atributo Descripción
SE_GROUP_ENABLED Un SID con este atributo está habilitado para las comprobaciones de acceso. Cuando el sistema realiza una comprobación de acceso, comprueba si hay entradas de control de acceso permitidas y denegadas de acceso que se aplican a uno de los SID habilitados en el token de acceso. Durante una comprobación de acceso se omite un SID sin este atributo, a menos que se establezca el atributo SE_GROUP_USE_FOR_DENY_ONLY.
SE_GROUP_USE_FOR_DENY_ONLY Un SID con este atributo es un SID de solo denegación. Cuando el sistema realiza una comprobación de acceso, comprueba si hay ACE denegadas de acceso que se aplican al SID, pero omite los ACE permitidos por el acceso para el SID. Si se establece este atributo, no se establece el atributo SE_GROUP_ENABLED y no se puede volver a habilitar el SID.

Para establecer o borrar el atributo SE_GROUP_ENABLED de un SID de grupo, use la función AdjustTokenGroups . No se puede deshabilitar un SID de grupo que tenga el atributo SE_GROUP_MANDATORY. No puede usar AdjustTokenGroups para deshabilitar el SID de usuario de un token de acceso.

Para determinar si un SID está habilitado en un token, es decir, si tiene el atributo SE_GROUP_ENABLED, llame a la función CheckTokenMembership .

Para establecer el atributo SE_GROUP_USE_FOR_DENY_ONLY de un SID, incluya el SID en la lista de SID de solo denegación que especifique al llamar a la función CreateRestrictedToken . CreateRestrictedToken puede aplicar el atributo SE_GROUP_USE_FOR_DENY_ONLY a cualquier SID, incluido el SID de usuario y los SID de grupo que tienen el atributo SE_GROUP_MANDATORY. Sin embargo, no puede quitar el atributo de solo denegación de un SID, ni puede usar AdjustTokenGroups para establecer el atributo SE_GROUP_ENABLED en un SID de solo denegación.

Para obtener los atributos de un SID, llame a la función GetTokenInformation con el valor tokenGroups. La función devuelve una matriz de estructuras SID_AND_ATTRIBUTES que identifican los SID de grupo y sus atributos.