TOKEN_GROUPS 구조체(winnt.h)

아티클
08/27/2023

TOKEN_GROUPS 구조에는 액세스 토큰의 SID(그룹 보안 식별자)에 대한 정보가 포함됩니다.

구문

typedef struct _TOKEN_GROUPS {
  DWORD              GroupCount;
#if ...
  SID_AND_ATTRIBUTES *Groups[];
#else
  SID_AND_ATTRIBUTES Groups[ANYSIZE_ARRAY];
#endif
} TOKEN_GROUPS, *PTOKEN_GROUPS;

멤버

GroupCount

액세스 토큰의 그룹 수를 지정합니다.

Groups[*]

SID 집합과 해당 특성을 포함하는 SID_AND_ATTRIBUTES 구조체의 배열을 지정합니다.

SID_AND_ATTRIBUTES 구조체의 Attributes 멤버에는 다음 값이 있을 수 있습니다.

값	의미
SE_GROUP_ENABLED 0x00000004L	SID는 액세스 검사에 사용할 수 있습니다. 시스템에서 액세스 검사 수행할 때 SID에 적용되는 액세스 허용 및 액세스 거부 AES(액세스 거부 액세스 제어 항목)를 확인합니다. 이 특성이 없는 SID는 SE_GROUP_USE_FOR_DENY_ONLY 특성이 설정되지 않는 한 액세스 검사 동안 무시됩니다.
SE_GROUP_ENABLED_BY_DEFAULT 0x00000002L	SID는 기본적으로 사용하도록 설정됩니다.
SE_GROUP_INTEGRITY 0x00000020L	SID는 필수 무결성 SID입니다.
SE_GROUP_INTEGRITY_ENABLED 0x00000040L	SID는 필수 무결성 검사에 사용할 수 있습니다.
SE_GROUP_LOGON_ID 0xC0000000L	SID는 액세스 토큰과 연결된 로그온 세션을 식별하는 로그온 SID입니다.
SE_GROUP_MANDATORY 0x00000001L	SID는 AdjustTokenGroups 함수를 호출하여 SE_GROUP_ENABLED 특성을 지울 수 없습니다. 그러나 CreateRestrictedToken 함수를 사용하여 필수 SID를 거부 전용 SID로 변환할 수 있습니다.
SE_GROUP_OWNER 0x00000008L	SID는 토큰 사용자가 그룹의 소유자이거나 SID를 토큰 또는 개체의 소유자로 할당할 수 있는 그룹 계정을 식별합니다.
SE_GROUP_RESOURCE 0x20000000L	SID는 도메인-로컬 그룹을 식별합니다.
SE_GROUP_USE_FOR_DENY_ONLY 0x00000010L	SID는 제한된 토큰의 거부 전용 SID입니다. 시스템에서 액세스 검사 수행할 때 SID에 적용되는 액세스 거부 ACL을 확인합니다. SID에 대한 액세스 허용 ACE는 무시됩니다. 이 특성을 설정하면 SE_GROUP_ENABLED 설정되지 않으며 SID를 다시 사용할 수 없습니다.

Groups[ANYSIZE_ARRAY]

SID 집합과 해당 특성을 포함하는 SID_AND_ATTRIBUTES 구조체의 배열을 지정합니다.

SID_AND_ATTRIBUTES 구조체의 Attributes 멤버에는 다음 값이 있을 수 있습니다.

값	의미
SE_GROUP_ENABLED 0x00000004L	SID는 액세스 검사에 사용할 수 있습니다. 시스템에서 액세스 검사 수행할 때 SID에 적용되는 액세스 허용 및 액세스 거부 AES(액세스 거부 액세스 제어 항목)를 확인합니다. 이 특성이 없는 SID는 SE_GROUP_USE_FOR_DENY_ONLY 특성이 설정되지 않는 한 액세스 검사 동안 무시됩니다.
SE_GROUP_ENABLED_BY_DEFAULT 0x00000002L	SID는 기본적으로 사용하도록 설정됩니다.
SE_GROUP_INTEGRITY 0x00000020L	SID는 필수 무결성 SID입니다.
SE_GROUP_INTEGRITY_ENABLED 0x00000040L	SID는 필수 무결성 검사에 사용할 수 있습니다.
SE_GROUP_LOGON_ID 0xC0000000L	SID는 액세스 토큰과 연결된 로그온 세션을 식별하는 로그온 SID입니다.
SE_GROUP_MANDATORY 0x00000001L	SID는 AdjustTokenGroups 함수를 호출하여 SE_GROUP_ENABLED 특성을 지울 수 없습니다. 그러나 CreateRestrictedToken 함수를 사용하여 필수 SID를 거부 전용 SID로 변환할 수 있습니다.
SE_GROUP_OWNER 0x00000008L	SID는 토큰 사용자가 그룹의 소유자이거나 SID를 토큰 또는 개체의 소유자로 할당할 수 있는 그룹 계정을 식별합니다.
SE_GROUP_RESOURCE 0x20000000L	SID는 도메인-로컬 그룹을 식별합니다.
SE_GROUP_USE_FOR_DENY_ONLY 0x00000010L	SID는 제한된 토큰의 거부 전용 SID입니다. 시스템에서 액세스 검사 수행할 때 SID에 적용되는 액세스 거부 ACL을 확인합니다. SID에 대한 액세스 허용 ACE는 무시됩니다. 이 특성을 설정하면 SE_GROUP_ENABLED 설정되지 않으며 SID를 다시 사용할 수 없습니다.

요구 사항


지원되는 최소 클라이언트	Windows XP [데스크톱 앱만 해당]
지원되는 최소 서버	Windows Server 2003 [데스크톱 앱만 해당]
머리글	winnt.h(Windows.h 포함)