TOKEN_GROUPS struttura (winnt.h)

Articolo
08/27/2023

La struttura TOKEN_GROUPS contiene informazioni sugli identificatori di sicurezza del gruppo (SID) in un token di accesso.

Sintassi

typedef struct _TOKEN_GROUPS {
  DWORD              GroupCount;
#if ...
  SID_AND_ATTRIBUTES *Groups[];
#else
  SID_AND_ATTRIBUTES Groups[ANYSIZE_ARRAY];
#endif
} TOKEN_GROUPS, *PTOKEN_GROUPS;

Members

GroupCount

Specifica il numero di gruppi nel token di accesso.

Groups[*]

Specifica una matrice di strutture SID_AND_ATTRIBUTES che contengono un set di SID e attributi corrispondenti.

I membri attributi delle strutture SID_AND_ATTRIBUTES possono avere i valori seguenti.

Valore	Significato
SE_GROUP_ENABLED 0x00000004L	Il SID è abilitato per i controlli di accesso. Quando il sistema esegue un controllo di accesso, verifica la presenza di voci di controllo di accesso consentite e negate dall'accesso che si applicano al SID. Un SID senza questo attributo viene ignorato durante un controllo di accesso a meno che non sia impostato l'attributo SE_GROUP_USE_FOR_DENY_ONLY.
SE_GROUP_ENABLED_BY_DEFAULT 0x00000002L	Il SID è abilitato per impostazione predefinita.
SE_GROUP_INTEGRITY 0x00000020L	Il SID è un SID di integrità obbligatorio.
SE_GROUP_INTEGRITY_ENABLED 0x00000040L	Il SID è abilitato per i controlli di integrità obbligatori.
SE_GROUP_LOGON_ID 0xC0000000L	SID è un SID di accesso che identifica la sessione di accesso associata a un token di accesso.
SE_GROUP_MANDATORY 0x00000001L	Il SID non può avere l'attributo SE_GROUP_ENABLED cancellato da una chiamata alla funzione AdjustTokenGroups . È tuttavia possibile usare la funzione CreateRestrictedToken per convertire un SID obbligatorio in un SID di sola negazione.
SE_GROUP_OWNER 0x00000008L	Il SID identifica un account di gruppo per il quale l'utente del token è il proprietario del gruppo o il SID può essere assegnato come proprietario del token o degli oggetti.
SE_GROUP_RESOURCE 0x20000000L	Il SID identifica un gruppo locale di dominio.
SE_GROUP_USE_FOR_DENY_ONLY 0x00000010L	Il SID è un SID di sola negazione in un token con restrizioni. Quando il sistema esegue un controllo di accesso, verifica la presenza di ACL negati che si applicano al SID; ignora gli ACL consentiti per l'accesso per il SID. Se questo attributo è impostato, SE_GROUP_ENABLED non è impostato e non è possibile riabilitare il SID.

Groups[ANYSIZE_ARRAY]

Specifica una matrice di strutture SID_AND_ATTRIBUTES che contengono un set di SID e attributi corrispondenti.

I membri attributi delle strutture SID_AND_ATTRIBUTES possono avere i valori seguenti.

Valore	Significato
SE_GROUP_ENABLED 0x00000004L	Il SID è abilitato per i controlli di accesso. Quando il sistema esegue un controllo di accesso, verifica la presenza di voci di controllo di accesso consentite e negate dall'accesso che si applicano al SID. Un SID senza questo attributo viene ignorato durante un controllo di accesso a meno che non sia impostato l'attributo SE_GROUP_USE_FOR_DENY_ONLY.
SE_GROUP_ENABLED_BY_DEFAULT 0x00000002L	Il SID è abilitato per impostazione predefinita.
SE_GROUP_INTEGRITY 0x00000020L	Il SID è un SID di integrità obbligatorio.
SE_GROUP_INTEGRITY_ENABLED 0x00000040L	Il SID è abilitato per i controlli di integrità obbligatori.
SE_GROUP_LOGON_ID 0xC0000000L	SID è un SID di accesso che identifica la sessione di accesso associata a un token di accesso.
SE_GROUP_MANDATORY 0x00000001L	Il SID non può avere l'attributo SE_GROUP_ENABLED cancellato da una chiamata alla funzione AdjustTokenGroups . È tuttavia possibile usare la funzione CreateRestrictedToken per convertire un SID obbligatorio in un SID di sola negazione.
SE_GROUP_OWNER 0x00000008L	Il SID identifica un account di gruppo per il quale l'utente del token è il proprietario del gruppo o il SID può essere assegnato come proprietario del token o degli oggetti.
SE_GROUP_RESOURCE 0x20000000L	Il SID identifica un gruppo locale di dominio.
SE_GROUP_USE_FOR_DENY_ONLY 0x00000010L	Il SID è un SID di sola negazione in un token con restrizioni. Quando il sistema esegue un controllo di accesso, verifica la presenza di ACL negati che si applicano al SID; ignora gli ACL consentiti per l'accesso per il SID. Se questo attributo è impostato, SE_GROUP_ENABLED non è impostato e non è possibile riabilitare il SID.

Requisiti


Client minimo supportato	Windows XP [solo app desktop]
Server minimo supportato	Windows Server 2003 [solo app desktop]
Intestazione	winnt.h (includere Windows.h)