AccessCheckByTypeResultListAndAuditAlarmA 関数 (winbase.h)

[アーティクル]
03/03/2024

AccessCheckByTypeResultListAndAuditAlarm 関数は、セキュリティ記述子が、呼び出し元スレッドによって偽装されるクライアントに対して、指定されたアクセス権のセットを許可するかどうかを決定します。関数は、オブジェクト、そのプロパティセット、プロパティなどのオブジェクトの階層にチェックアクセスできます。この関数は、階層内の各オブジェクトの種類に対して付与または拒否されたアクセス権を報告します。セキュリティ記述子に、クライアントに適用されるアクセス制御エントリ (ACE) を含むシステムアクセス制御リスト (SACL) がある場合、この関数は必要な監査メッセージをセキュリティイベントログに生成します。アラームは現在サポートされていません。

構文

BOOL AccessCheckByTypeResultListAndAuditAlarmA(
  [in]                LPCSTR               SubsystemName,
  [in]                LPVOID               HandleId,
  [in]                LPCSTR               ObjectTypeName,
  [in, optional]      LPCSTR               ObjectName,
  [in]                PSECURITY_DESCRIPTOR SecurityDescriptor,
  [in, optional]      PSID                 PrincipalSelfSid,
  [in]                DWORD                DesiredAccess,
  [in]                AUDIT_EVENT_TYPE     AuditType,
  [in]                DWORD                Flags,
  [in, out, optional] POBJECT_TYPE_LIST    ObjectTypeList,
  [in]                DWORD                ObjectTypeListLength,
  [in]                PGENERIC_MAPPING     GenericMapping,
  [in]                BOOL                 ObjectCreation,
  [out]               LPDWORD              GrantedAccess,
  [out]               LPDWORD              AccessStatusList,
  [out]               LPBOOL               pfGenerateOnClose
);

パラメーター

[in] SubsystemName

関数を呼び出すサブシステムの名前を指定する null で終わる文字列へのポインター。この文字列は、関数が生成するすべての監査メッセージに表示されます。

[in] HandleId

オブジェクトへのクライアントのハンドルを表す一意の値へのポインター。アクセスが拒否された場合、システムはこの値を無視します。

[in] ObjectTypeName

作成またはアクセスされるオブジェクトの種類を指定する null で終わる文字列へのポインター。この文字列は、関数が生成するすべての監査メッセージに表示されます。

[in, optional] ObjectName

作成またはアクセスされるオブジェクトの名前を指定する null で終わる文字列へのポインター。この文字列は、関数が生成するすべての監査メッセージに表示されます。

[in] SecurityDescriptor

アクセスがチェックされる SECURITY_DESCRIPTOR 構造体へのポインター。

[in, optional] PrincipalSelfSid

セキュリティ識別子 (SID) へのポインター。セキュリティ記述子がプリンシパル (ユーザーオブジェクトなど) を表すオブジェクトに関連付けられている場合、 PrincipalSelfSid パラメーターはオブジェクトの SID である必要があります。アクセスを評価する場合、この SID は、既知のPRINCIPAL_SELF SID (S-1-5-10) を含む ACE 内の SID を論理的に置き換えます。既知の SID の詳細については、「既知の SID」を参照してください。

保護されたオブジェクトがプリンシパルを表していない場合は、このパラメーターを NULL に設定します。

[in] DesiredAccess

チェックへのアクセス権を指定するアクセスマスク。このマスクは、汎用アクセス権を含めないように、MapGenericMask 関数によってマップされている必要があります。

このパラメーターがMAXIMUM_ALLOWEDの場合、この関数は GrantedAccess のアクセスマスクを設定して、セキュリティ記述子がクライアントに許可する最大アクセス権を示します。

[in] AuditType

生成する監査の種類。これは、 AUDIT_EVENT_TYPE 列挙型の値のいずれかになります。

[in] Flags

呼び出し元プロセスでSE_AUDIT_NAME特権が有効になっていない場合に、関数の動作を制御するフラグ。 AUDIT_ALLOW_NO_PRIVILEGE フラグが設定されている場合、特権が有効になっていない場合、この関数は監査メッセージを生成せずにアクセスチェックを実行します。このパラメーターが 0 の場合、特権が有効になっていない場合、関数は失敗します。

[in, out, optional] ObjectTypeList

アクセスをチェックするオブジェクト型の階層を識別するOBJECT_TYPE_LIST構造体の配列へのポインター。配列内の各要素は、オブジェクトの種類を識別する GUID と、オブジェクト型の階層内のオブジェクト型のレベルを示す値を指定します。配列には、同じ GUID を持つ 2 つの要素を含めてはいけません。

配列には少なくとも 1 つの要素が必要です。配列の最初の要素はレベル 0 で、オブジェクト自体を識別する必要があります。配列には、レベル 0 要素を 1 つだけ含めることができます。 2 番目の要素は、レベル 1 のプロパティセットなどのサブオブジェクトです。各レベル 1 エントリの後には、レベル 2 から 4 のサブオブジェクトの下位エントリがあります。したがって、配列内の要素のレベルは{0、1、2、2、1、2、3}になります。オブジェクトの種類の一覧が順不同の場合、 AccessCheckByTypeResultListAndAuditAlarm は失敗し、 GetLastError は ERROR_INVALID_PARAMETERを返します。

[in] ObjectTypeListLength

ObjectTypeList 配列内の要素の数。

[in] GenericMapping

アクセスがチェックされているオブジェクトに関連付けられている GENERIC_MAPPING 構造体へのポインター。

[in] ObjectCreation

アクセスが許可されたときに、呼び出し元のアプリケーションが新しいオブジェクトを作成するかどうかを決定するフラグ。 TRUE の値は、アプリケーションが新しいオブジェクトを作成することを示します。 FALSE の値は、アプリケーションが既存のオブジェクトを開くのを示します。

[out] GrantedAccess

アクセスマスクの配列へのポインター。関数は、各アクセスマスクを設定して、オブジェクト型リスト内の対応する要素に付与されるアクセス権を示します。関数が失敗した場合、アクセスマスクは設定されません。

[out] AccessStatusList

オブジェクト型リスト内の対応する要素の状態コードの配列へのポインター。関数は、成功を示す要素を 0 に設定し、アクセスチェック中に特定のエラーを示す 0 以外の値に設定します。関数が失敗した場合、配列内のどの要素も設定されません。

[out] pfGenerateOnClose

関数が戻るときに監査生成ルーチンによって設定されたフラグへのポインター。オブジェクトハンドルが閉じられると、このフラグを ObjectCloseAuditAlarm 関数に渡します。

戻り値

関数が成功した場合、関数は 0 以外の値を返します。

関数が失敗すると、0 が返されます。詳細なエラー情報を得るには、GetLastError を呼び出します。

解説

詳細については、「 AccessCheck のしくみの概要」を参照してください。

AccessCheckByTypeResultListAndAuditAlarm 関数は、AccessCheckByTypeResultList 関数と AccessCheckAndAuditAlarm 関数の組み合わせです。

ObjectTypeList 配列は、定義されたオブジェクト全体を必ずしも表すわけではありません。代わりに、アクセスをチェックするオブジェクトのサブセットを表します。たとえば、プロパティセット内の 2 つのプロパティへのアクセスをチェックするには、レベル 0 のオブジェクト自体、レベル 1 のプロパティセット、レベル 2 の 2 つのプロパティの 4 つの要素を含むオブジェクト型リストを指定します。

AccessCheckByTypeResultListAndAuditAlarm 関数は、オブジェクト自体に適用される ACE と ObjectTypeList 配列にリストされているオブジェクト型のオブジェクト固有 ACE を評価します。この関数は、 ObjectTypeList 配列にリストされていないオブジェクト型のオブジェクト固有の ACE を無視します。

ACE の階層がオブジェクトとそのサブオブジェクトへのアクセスを制御する方法の詳細については、「オブジェクトのプロパティへのアクセスを制御する ACE」を参照してください。

セキュリティイベントログに監査メッセージを生成するには、呼び出し元のプロセスでSE_AUDIT_NAME特権が有効になっている必要があります。システムは、スレッドの偽装トークンではなく、呼び出し元プロセスのプライマリトークンでこの特権をチェックします。 Flags パラメーターに AUDIT_ALLOW_NO_PRIVILEGE フラグが含まれている場合、特権が有効になっていない場合、この関数は監査メッセージを生成せずにアクセスチェックを実行します。

呼び出し元のスレッドがクライアントを偽装していない場合、 AccessCheckByTypeResultListAndAuditAlarm 関数は失敗します。

セキュリティ記述子に所有者 SID とグループ SID が含まれていない場合、 AccessCheckByTypeResultListAndAuditAlarm はERROR_INVALID_SECURITY_DESCRで失敗します。

要件

要件	値
サポートされている最小のクライアント	Windows XP (デスクトップアプリのみ)
サポートされている最小のサーバー	Windows Server 2003 (デスクトップアプリのみ)
対象プラットフォーム	Windows
ヘッダー	winbase.h (Windows.h を含む)
Library	Advapi32.lib
[DLL]	Advapi32.dll