Attributs SID dans un jeton d’accès
Chaque identificateur de sécurité (SID) d’utilisateur et de groupe dans un jeton d’accès a un ensemble d’attributs qui contrôlent la façon dont le système utilise le SID dans un case activée d’accès. Le tableau suivant répertorie les attributs qui contrôlent la vérification d’accès.
| Attribut | Description |
|---|---|
| SE_GROUP_ENABLED | Un SID avec cet attribut est activé pour les vérifications d’accès. Lorsque le système effectue une case activée d’accès, il recherche les entrées de contrôle d’accès autorisés et d’accès refusé qui s’appliquent à l’un des SID activés dans le jeton d’accès. Un SID sans cet attribut est ignoré pendant une case activée d’accès, sauf si l’attribut SE_GROUP_USE_FOR_DENY_ONLY est défini. |
| SE_GROUP_USE_FOR_DENY_ONLY | Un SID avec cet attribut est un SID de refus uniquement. Lorsque le système effectue une case activée d’accès, il recherche les AE avec accès refusé qui s’appliquent au SID, mais il ignore les ACL autorisés pour le SID. Si cet attribut est défini, l’attribut SE_GROUP_ENABLED n’est pas défini et le SID ne peut pas être réactivé. |
Pour définir ou effacer l’attribut SE_GROUP_ENABLED d’un SID de groupe, utilisez la fonction AdjustTokenGroups . Vous ne pouvez pas désactiver un SID de groupe qui a l’attribut SE_GROUP_MANDATORY. Vous ne pouvez pas utiliser AdjustTokenGroups pour désactiver le SID utilisateur d’un jeton d’accès.
Pour déterminer si un SID est activé dans un jeton, c’est-à-dire s’il a l’attribut SE_GROUP_ENABLED, appelez la fonction CheckTokenMembership .
Pour définir l’attribut SE_GROUP_USE_FOR_DENY_ONLY d’un SID, incluez le SID dans la liste des SID de refus uniquement que vous spécifiez lorsque vous appelez la fonction CreateRestrictedToken . CreateRestrictedToken peut appliquer l’attribut SE_GROUP_USE_FOR_DENY_ONLY à n’importe quel SID, y compris le SID utilisateur et les SID de groupe qui ont l’attribut SE_GROUP_MANDATORY. Toutefois, vous ne pouvez pas supprimer l’attribut de refus uniquement d’un SID, ni utiliser AdjustTokenGroups pour définir l’attribut SE_GROUP_ENABLED sur un SID de refus uniquement.
Pour obtenir les attributs d’un SID, appelez la fonction GetTokenInformation avec la valeur TokenGroups. La fonction retourne un tableau de structures SID_AND_ATTRIBUTES qui identifient les SID de groupe et leurs attributs.
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour