Compartilhar via


Atributos sid em um token de acesso

Cada SID (identificador de segurança de usuário e grupo) em um token de acesso tem um conjunto de atributos que controlam como o sistema usa o SID em um marcar de acesso. A tabela a seguir lista os atributos que controlam a verificação de acesso.

Atributo Descrição
SE_GROUP_ENABLED Um SID com esse atributo está habilitado para verificações de acesso. Quando o sistema executa uma marcar de acesso, ele verifica se há ACEs (entradas de controle de acesso) permitidas por acesso e acesso negado que se aplicam a um dos SIDs habilitados no token de acesso. Um SID sem esse atributo é ignorado durante uma marcar de acesso, a menos que o atributo SE_GROUP_USE_FOR_DENY_ONLY seja definido.
SE_GROUP_USE_FOR_DENY_ONLY Um SID com esse atributo é um SID somente negação. Quando o sistema executa uma marcar de acesso, ele verifica aces negados pelo acesso que se aplicam ao SID, mas ignora ACEs permitidas pelo acesso para o SID. Se esse atributo for definido, o atributo SE_GROUP_ENABLED não será definido e o SID não poderá ser reenabled.

Para definir ou limpar o atributo SE_GROUP_ENABLED de um SID de grupo, use a função AdjustTokenGroups . Não é possível desabilitar um SID de grupo que tenha o atributo SE_GROUP_MANDATORY. Você não pode usar AdjustTokenGroups para desabilitar o SID do usuário de um token de acesso.

Para determinar se um SID está habilitado em um token, ou seja, se ele tem o atributo SE_GROUP_ENABLED, chame a função CheckTokenMembership .

Para definir o atributo SE_GROUP_USE_FOR_DENY_ONLY de um SID, inclua o SID na lista de SIDs somente negação especificados ao chamar a função CreateRestrictedToken . CreateRestrictedToken pode aplicar o atributo SE_GROUP_USE_FOR_DENY_ONLY a qualquer SID, incluindo o SID do usuário e siDs de grupo que têm o atributo SE_GROUP_MANDATORY. No entanto, você não pode remover o atributo somente negação de um SID, nem pode usar AdjustTokenGroups para definir o atributo SE_GROUP_ENABLED em um SID somente negação.

Para obter os atributos de um SID, chame a função GetTokenInformation com o valor TokenGroups. A função retorna uma matriz de estruturas SID_AND_ATTRIBUTES que identificam os SIDs do grupo e seus atributos.