Classe CAccessToken
Essa classe é um wrapper para um token de acesso.
Importante
Essa classe e os respectivos membros não podem ser usados em aplicativos executados no Windows Runtime.
Sintaxe
class CAccessToken
Membros
Construtores públicos
| Nome | Descrição |
|---|---|
| CAccessToken::~CAccessToken | O destruidor. |
Métodos públicos
| Nome | Descrição |
|---|---|
| CAccessToken::Attach | Chame esse método para assumir a propriedade do identificador de token de acesso fornecido. |
| CAccessToken::CheckTokenMembership | Chame esse método para determinar se um SID (identificador de segurança) especificado está habilitado no objeto CAccessToken. |
| CAccessToken::CreateImpersonationToken | Chame esse método para criar um novo token de acesso de representação. |
| CAccessToken::CreatePrimaryToken | Chame esse método para criar um novo token primário. |
| CAccessToken::CreateProcessAsUser | Chame esse método para criar um novo processo em execução no contexto de segurança do usuário representado pelo objeto CAccessToken. |
| CAccessToken::CreateRestrictedToken | Chame esse método para criar um objeto CAccessToken novo e restrito. |
| CAccessToken::Detach | Chame esse método para revogar a propriedade do token de acesso. |
| CAccessToken::DisablePrivilege | Chame esse método para desabilitar um privilégio no objeto CAccessToken. |
| CAccessToken::DisablePrivileges | Chame esse método para desabilitar um ou mais privilégios no objeto CAccessToken. |
| CAccessToken::EnablePrivilege | Chame esse método para habilitar um privilégio no objeto CAccessToken. |
| CAccessToken::EnablePrivileges | Chame esse método para habilitar um ou mais privilégios no objeto CAccessToken. |
| CAccessToken::GetDefaultDacl | Chame esse método para retornar a DACL padrão do objeto CAccessToken. |
| CAccessToken::GetEffectiveToken | Chame esse método para obter o objeto CAccessToken igual ao token de acesso em vigor para o thread atual. |
| CAccessToken::GetGroups | Chame esse método para retornar os grupos de tokens do objeto CAccessToken. |
| CAccessToken::GetHandle | Chame esse método para recuperar um identificador para o token de acesso. |
| CAccessToken::GetImpersonationLevel | Chame esse método para obter o nível de representação do token de acesso. |
| CAccessToken::GetLogonSessionId | Chame esse método para obter a ID da sessão de logon associada ao objeto CAccessToken. |
| CAccessToken::GetLogonSid | Chame esse método para obter o SID de logon associado ao objeto CAccessToken. |
| CAccessToken::GetOwner | Chame esse método para obter o proprietário associado ao objeto CAccessToken. |
| CAccessToken::GetPrimaryGroup | Chame esse método para obter o grupo primário associado ao objeto CAccessToken. |
| CAccessToken::GetPrivileges | Chame esse método para obter os privilégios associados ao objeto CAccessToken. |
| CAccessToken::GetProcessToken | Chame esse método para inicializar o CAccessToken com o token de acesso do processo fornecido. |
| CAccessToken::GetProfile | Chame esse método para obter o identificador apontando para o perfil de usuário associado ao objeto CAccessToken. |
| CAccessToken::GetSource | Chame esse método para obter a origem do objeto CAccessToken. |
| CAccessToken::GetStatistics | Chame esse método para obter informações associadas ao objeto CAccessToken. |
| CAccessToken::GetTerminalServicesSessionId | Chame esse método para obter a ID de sessão dos serviços de terminal associada ao objeto CAccessToken. |
| CAccessToken::GetThreadToken | Chame esse método para inicializar o CAccessToken com o token do thread fornecido. |
| CAccessToken::GetTokenId | Chame esse método para obter a ID do token associada ao objeto CAccessToken. |
| CAccessToken::GetType | Chame esse método para obter o tipo de token do objeto CAccessToken. |
| CAccessToken::GetUser | Chame esse método para identificar o usuário associado ao objeto CAccessToken. |
| CAccessToken::HKeyCurrentUser | Chame esse método para obter o identificador apontando para o perfil de usuário associado ao objeto CAccessToken. |
| CAccessToken::Impersonate | Chame esse método para atribuir uma representação CAccessToken a um thread. |
| CAccessToken::ImpersonateLoggedOnUser | Chame esse método para permitir que o thread de chamada represente o contexto de segurança de um usuário conectado. |
| CAccessToken::IsTokenRestricted | Chame esse método para testar se o objeto CAccessToken contém uma lista de SIDs restritos. |
| CAccessToken::LoadUserProfile | Chame esse método para carregar o perfil de usuário associado ao objeto CAccessToken. |
| CAccessToken::LogonUser | Chame esse método para criar uma sessão de logon para o usuário associado às credenciais fornecidas. |
| CAccessToken::OpenCOMClientToken | Chame esse método de dentro de um servidor COM que está tratando uma chamada de um cliente para inicializar o CAccessToken com o token de acesso do cliente COM. |
| CAccessToken::OpenNamedPipeClientToken | Chame esse método de dentro de um servidor que recebe solicitações em um pipe nomeado para inicializar o CAccessToken com o token de acesso do cliente. |
| CAccessToken::OpenRPCClientToken | Chame esse método de dentro de um servidor que está tratando uma chamada de um cliente RPC para inicializar o CAccessToken com o token de acesso do cliente. |
| CAccessToken::OpenThreadToken | Chame esse método para definir o nível de representação e, em seguida, inicialize o CAccessToken com o token do thread fornecido. |
| CAccessToken::PrivilegeCheck | Chame esse método para determinar se um conjunto especificado de privilégios está habilitado no objeto CAccessToken. |
| CAccessToken::Revert | Chame esse método para interromper um thread que esteja usando um token de representação. |
| CAccessToken::SetDefaultDacl | Chame esse método para definir a DACL padrão do objeto CAccessToken. |
| CAccessToken::SetOwner | Chame esse método para definir o proprietário do objeto CAccessToken. |
| CAccessToken::SetPrimaryGroup | Chame esse método para definir o grupo primário do objeto CAccessToken. |
Comentários
Um token de acesso é um objeto que descreve o contexto de segurança de um processo ou thread e é alocado para cada usuário conectado a um sistema Windows.
Para ver uma introdução ao modelo de controle de acesso no Windows, confira Controle de Acesso no SDK do Windows.
Requisitos
Cabeçalho: atlsecurity.h
CAccessToken::Attach
Chame esse método para assumir a propriedade do identificador de token de acesso fornecido.
void Attach(HANDLE hToken) throw();
Parâmetros
hToken
Um identificador para o token de acesso.
Comentários
Em builds de depuração, ocorrerá um erro de declaração caso o objeto CAccessToken já tenha a propriedade de um token de acesso.
CAccessToken::~CAccessToken
O destruidor.
virtual ~CAccessToken() throw();
Comentários
Libera todos os recursos alocados.
CAccessToken::CheckTokenMembership
Chame esse método para determinar se um SID (identificador de segurança) especificado está habilitado no objeto CAccessToken.
bool CheckTokenMembership(
const CSid& rSid,
bool* pbIsMember) const throw(...);
Parâmetros
rSid
Referência a um objeto Classe CSid.
pbIsMember
Ponteiro para uma variável que recebe os resultados da verificação.
Valor de retorno
Retorna TRUE em caso de êxito. FALSE, em caso de falha.
Comentários
O método CheckTokenMembership verifica a presença do SID nos SIDs de usuário e de grupo do token de acesso. Se o SID estiver presente e tiver o atributo SE_GROUP_ENABLED, o pbIsMember será definido como TRUE; caso contrário, ele será definido como FALSE.
Em builds de depuração, ocorrerá um erro de declaração caso o pbIsMember não seja um ponteiro válido.
Observação
O objeto CAccessToken deve ser um token de representação e não um token primário.
CAccessToken::CreateImpersonationToken
Chame esse método para criar um token de acesso de representação.
bool CreateImpersonationToken(
CAccessToken* pImp,
SECURITY_IMPERSONATION_LEVEL sil = SecurityImpersonation) const throw(...);
Parâmetros
pImp
Ponteiro para o novo objeto CAccessToken.
sil
Especifica um tipo enumerado SECURITY_IMPERSONATION_LEVEL que fornece o nível de representação do novo token.
Valor de retorno
Retorna TRUE em caso de êxito. FALSE, em caso de falha.
Comentários
CreateImpersonationToken chama o DuplicateToken para criar um novo token de representação.
CAccessToken::CreatePrimaryToken
Chame esse método para criar um novo token primário.
bool CreatePrimaryToken(
CAccessToken* pPri,
DWORD dwDesiredAccess = MAXIMUM_ALLOWED,
const CSecurityAttributes* pTokenAttributes = NULL) const throw(...);
Parâmetros
pPri
Ponteiro para o novo objeto CAccessToken.
dwDesiredAccess
Especifica os direitos de acesso solicitados para o novo token. O padrão MAXIMUM_ALLOWED solicita todos os direitos de acesso válidos para o chamador. Confira Direitos de acesso e máscaras de acesso para obter mais informações sobre direitos de acesso.
pTokenAttributes
Ponteiro para uma estrutura SECURITY_ATTRIBUTES que especifica um descritor de segurança para o novo token e determina se os processos filho podem herdar o token. Se o pTokenAttributes for NULL, o token obterá um descritor de segurança padrão, e o identificador não poderá ser herdado.
Valor de retorno
Retorna TRUE em caso de êxito. FALSE, em caso de falha.
Comentários
CreatePrimaryToken chama o DuplicateTokenEx para criar um novo token primário.
CAccessToken::CreateProcessAsUser
Chame esse método para criar um novo processo em execução no contexto de segurança do usuário representado pelo objeto CAccessToken.
bool CreateProcessAsUser(
LPCTSTR pApplicationName,
LPTSTR pCommandLine,
LPPROCESS_INFORMATION pProcessInformation,
LPSTARTUPINFO pStartupInfo,
DWORD dwCreationFlags = NORMAL_PRIORITY_CLASS,
bool bLoadProfile = false,
const CSecurityAttributes* pProcessAttributes = NULL,
const CSecurityAttributes* pThreadAttributes = NULL,
bool bInherit = false,
LPCTSTR pCurrentDirectory = NULL) throw();
Parâmetros
pApplicationName
Ponteiro para uma cadeia de caracteres terminada em nulo que especifica o módulo a ser executado. Esse parâmetro pode não ser NULL.
pCommandLine
Ponteiro para uma cadeia de caracteres terminada em nulo que especifica a linha de comando a ser executada.
pProcessInformation
Ponteiro para uma estrutura PROCESS_INFORMATION que recebe informações de identificação sobre o novo processo.
pStartupInfo
Ponteiro para uma estrutura STARTUPINFO que especifica como a janela principal do novo processo deve aparecer.
dwCreationFlags
Especifica sinalizadores adicionais que controlam a classe de prioridade e a criação do processo. Confira a função CreateProcessAsUser do Win32 para obter uma lista de sinalizadores.
bLoadProfile
Se for TRUE, o perfil do usuário será carregado com LoadUserProfile.
pProcessAttributes
Ponteiro para uma estrutura SECURITY_ATTRIBUTES que especifica um descritor de segurança para o novo processo e determina se os processos filho podem herdar o identificador retornado. Se o pProcessAttributes for NULL, o processo obterá um descritor de segurança padrão, e o identificador não poderá ser herdado.
pThreadAttributes
Ponteiro para uma estrutura SECURITY_ATTRIBUTES que especifica um descritor de segurança para o novo thread e determina se os processos filho podem herdar o identificador retornado. Se o pThreadAttributes for NULL, o thread obterá um descritor de segurança padrão, e o identificador não poderá ser herdado.
bInherit
Indica se o novo processo herda identificadores do processo de chamada. Se for TRUE, cada identificador aberto herdável no processo de chamada será herdado pelo novo processo. Os identificadores herdados têm o mesmo valor e privilégios de acesso que os identificadores originais.
pCurrentDirectory
Ponteiro para uma cadeia de caracteres terminada em nulo que especifica a unidade e o diretório atuais do novo processo. A cadeia de caracteres deve ser um caminho completo que inclui uma letra da unidade. Se este parâmetro for NULL, o novo processo terá a mesma unidade e diretório atual que o processo de chamada.
Valor de retorno
Retorna TRUE em caso de êxito. FALSE, em caso de falha.
Comentários
CreateProcessAsUser usa a função CreateProcessAsUser do Win32 para criar um novo processo que é executado no contexto de segurança do usuário representado pelo objeto CAccessToken. Confira a descrição da função CreateProcessAsUser para ver uma discussão completa sobre os parâmetros necessários.
Para que esse método tenha êxito, o objeto CAccessToken deve manter o AssignPrimaryToken (a menos que seja um token restrito) e os privilégios IncreaseQuota.
CAccessToken::CreateRestrictedToken
Chame esse método para criar um objeto CAccessToken novo e restrito.
bool CreateRestrictedToken(
CAccessToken* pRestrictedToken,
const CTokenGroups& SidsToDisable,
const CTokenGroups& SidsToRestrict,
const CTokenPrivileges& PrivilegesToDelete = CTokenPrivileges()) const throw(...);
Parâmetros
pRestrictedToken
O novo objeto restrito CAccessToken.
SidsToDisable
Um objeto CTokenGroups que especifica os SIDs somente negação.
SidsToRestrict
Um objeto CTokenGroups que especifica os SIDs restritivos.
PrivilegesToDelete
Um objeto CTokenPrivileges que especifica os privilégios a serem excluídos no token restrito. O padrão cria um objeto vazio.
Valor de retorno
Retorna TRUE em caso de êxito. FALSE, em caso de falha.
Comentários
CreateRestrictedToken usa a função CreateRestrictedToken do Win32 para criar um novo objeto CAccessToken, com restrições.
Importante
Ao usar CreateRestrictedToken, garanta o seguinte: o token existente é válido (e não inserido pelo usuário) e tanto o SidsToDisable e quanto o PrivilegesToDelete são válidos (e não inseridos pelo usuário). Se o método retornar FALSE, negue a funcionalidade.
CAccessToken::Detach
Chame esse método para revogar a propriedade do token de acesso.
HANDLE Detach() throw();
Valor de retorno
Retorna o identificador para CAccessToken, o qual foi desanexado.
Comentários
Esse método revoga a propriedade de CAccessToken do token de acesso.
CAccessToken::DisablePrivilege
Chame esse método para desabilitar um privilégio no objeto CAccessToken.
bool DisablePrivilege(
LPCTSTR pszPrivilege,
CTokenPrivileges* pPreviousState = NULL) throw(...);
Parâmetros
pszPrivilege
Ponteiro para uma cadeia de caracteres que contém o privilégio de desabilitar no objeto CAccessToken.
pPreviousState
Ponteiro para um objeto CTokenPrivileges que conterá o estado anterior dos privilégios.
Valor de retorno
Retorna TRUE em caso de êxito. FALSE, em caso de falha.
CAccessToken::DisablePrivileges
Chame esse método para desabilitar um ou mais privilégios no objeto CAccessToken.
bool DisablePrivileges(
const CAtlArray<LPCTSTR>& rPrivileges,
CTokenPrivileges* pPreviousState = NULL) throw(...);
Parâmetros
rPrivileges
Ponteiro para uma matriz de cadeias de caracteres que contêm os privilégios a serem desabilitados no objeto CAccessToken.
pPreviousState
Ponteiro para um objeto CTokenPrivileges que conterá o estado anterior dos privilégios.
Valor de retorno
Retorna TRUE em caso de êxito. FALSE, em caso de falha.
CAccessToken::EnablePrivilege
Chame esse método para habilitar um privilégio no objeto CAccessToken.
bool EnablePrivilege(
LPCTSTR pszPrivilege,
CTokenPrivileges* pPreviousState = NULL) throw(...);
Parâmetros
pszPrivilege
Ponteiro para uma cadeia de caracteres que contém o privilégio de habilitar no objeto CAccessToken.
pPreviousState
Ponteiro para um objeto CTokenPrivileges que conterá o estado anterior dos privilégios.
Valor de retorno
Retorna TRUE em caso de êxito. FALSE, em caso de falha.
CAccessToken::EnablePrivileges
Chame esse método para habilitar um ou mais privilégios no objeto CAccessToken.
bool EnablePrivileges(
const CAtlArray<LPCTSTR>& rPrivileges,
CTokenPrivileges* pPreviousState = NULL) throw(...);
Parâmetros
rPrivileges
Ponteiro para uma matriz de cadeias de caracteres que contêm os privilégios a serem habilitados no objeto CAccessToken.
pPreviousState
Ponteiro para um objeto CTokenPrivileges que conterá o estado anterior dos privilégios.
Valor de retorno
Retorna TRUE em caso de êxito. FALSE, em caso de falha.
CAccessToken::GetDefaultDacl
Chame esse método para retornar a DACL padrão do objeto CAccessToken.
bool GetDefaultDacl(CDacl* pDacl) const throw(...);
Parâmetros
pDacl
Ponteiro para o objeto Classe CDacl que receberá a DACL padrão do objeto CAccessToken.
Valor de retorno
Retornará TRUE se a DACL padrão tiver sido recuperada; caso contrário, FALSE.
CAccessToken::GetEffectiveToken
Chame esse método para obter o objeto CAccessToken igual ao token de acesso em vigor para o thread atual.
bool GetEffectiveToken(DWORD dwDesiredAccess) throw();
Parâmetros
dwDesiredAccess
Especifica uma máscara de acesso que define os tipos de acesso solicitados ao token de acesso. Esses tipos de acesso solicitados são comparados com a DACL do token para determinar quais acessos são concedidos ou negados.
Valor de retorno
Retorna TRUE em caso de êxito. FALSE, em caso de falha.
CAccessToken::GetGroups
Chame esse método para retornar os grupos de tokens do objeto CAccessToken.
bool GetGroups(CTokenGroups* pGroups) const throw(...);
Parâmetros
pGroups
Ponteiro para o objeto Classe CTokenGroups que receberá as informações do grupo.
Valor de retorno
Retorna TRUE em caso de êxito. FALSE, em caso de falha.
CAccessToken::GetHandle
Chame esse método para recuperar um identificador para o token de acesso.
HANDLE GetHandle() const throw();
Valor de retorno
Retorna um identificador para o token de acesso do objeto CAccessToken.
CAccessToken::GetImpersonationLevel
Chame esse método para obter o nível de representação do token de acesso.
bool GetImpersonationLevel(
SECURITY_IMPERSONATION_LEVEL* pImpersonationLevel) const throw(...);
Parâmetros
pImpersonationLevel
Ponteiro para um tipo de enumeração SECURITY_IMPERSONATION_LEVEL que receberá as informações de nível de representação.
Valor de retorno
Retorna TRUE em caso de êxito. FALSE, em caso de falha.
CAccessToken::GetLogonSessionId
Chame esse método para obter a ID da sessão de logon associada ao objeto CAccessToken.
bool GetLogonSessionId(LUID* pluid) const throw(...);
Parâmetros
pluid
Ponteiro para um LUID que receberá a ID da sessão de logon.
Valor de retorno
Retorna TRUE em caso de êxito. FALSE, em caso de falha.
Comentários
Em builds de depuração, ocorrerá um erro de declaração caso o pluid seja um valor inválido.
CAccessToken::GetLogonSid
Chame esse método para obter o SID de logon associado ao objeto CAccessToken.
bool GetLogonSid(CSid* pSid) const throw(...);
Parâmetros
pSid
Ponteiro para um objeto Classe CSid.
Valor de retorno
Retorna TRUE em caso de êxito. FALSE, em caso de falha.
Comentários
Em builds de depuração, ocorrerá um erro de declaração caso pSid seja um valor inválido.
CAccessToken::GetOwner
Chame esse método para obter o proprietário associado ao objeto CAccessToken.
bool GetOwner(CSid* pSid) const throw(...);
Parâmetros
pSid
Ponteiro para um objeto Classe CSid.
Valor de retorno
Retorna TRUE em caso de êxito. FALSE, em caso de falha.
Comentários
O proprietário é definido por padrão em todos os objetos criados enquanto esse token de acesso estiver em vigor.
CAccessToken::GetPrimaryGroup
Chame esse método para obter o grupo primário associado ao objeto CAccessToken.
bool GetPrimaryGroup(CSid* pSid) const throw(...);
Parâmetros
pSid
Ponteiro para um objeto Classe CSid.
Valor de retorno
Retorna TRUE em caso de êxito. FALSE, em caso de falha.
Comentários
O grupo é definido por padrão em todos os objetos criados enquanto esse token de acesso estiver em vigor.
CAccessToken::GetPrivileges
Chame esse método para obter os privilégios associados ao objeto CAccessToken.
bool GetPrivileges(CTokenPrivileges* pPrivileges) const throw(...);
Parâmetros
pPrivileges
Ponteiro para um objeto Classe CTokenPrivileges que receberá os privilégios.
Valor de retorno
Retorna TRUE em caso de êxito. FALSE, em caso de falha.
CAccessToken::GetProcessToken
Chame esse método para inicializar o CAccessToken com o token de acesso do processo fornecido.
bool GetProcessToken(DWORD dwDesiredAccess, HANDLE hProcess = NULL) throw();
Parâmetros
dwDesiredAccess
Especifica uma máscara de acesso que define os tipos de acesso solicitados ao token de acesso. Esses tipos de acesso solicitados são comparados com a DACL do token para determinar quais acessos são concedidos ou negados.
hProcess
Identificador para o processo cujo token de acesso está aberto. Se o valor padrão de NULL for usado, o processo atual será usado.
Valor de retorno
Retorna TRUE em caso de êxito. FALSE, em caso de falha.
Comentários
Chama a função OpenProcessToken do Win32.
CAccessToken::GetProfile
Chame esse método para obter o identificador apontando para o perfil de usuário associado ao objeto CAccessToken.
HANDLE GetProfile() const throw();
Valor de retorno
Retorna um identificador apontando para o perfil de usuário ou retorna NULL se nenhum perfil existir.
CAccessToken::GetSource
Chame esse método para obter a origem do objeto CAccessToken.
bool GetSource(TOKEN_SOURCE* pSource) const throw(...);
Parâmetros
pSource
Ponteiro para uma estrutura TOKEN_SOURCE.
Valor de retorno
Retorna TRUE em caso de êxito. FALSE, em caso de falha.
CAccessToken::GetStatistics
Chame esse método para obter informações associadas ao objeto CAccessToken.
bool GetStatistics(TOKEN_STATISTICS* pStatistics) const throw(...);
Parâmetros
pStatistics
Ponteiro para uma estrutura TOKEN_STATISTICS.
Valor de retorno
Retorna TRUE em caso de êxito. FALSE, em caso de falha.
CAccessToken::GetTerminalServicesSessionId
Chame esse método para obter a ID de sessão dos serviços de terminal associada ao objeto CAccessToken.
bool GetTerminalServicesSessionId(DWORD* pdwSessionId) const throw(...);
Parâmetros
pdwSessionId
A ID da sessão dos serviços de terminal.
Valor de retorno
Retorna TRUE em caso de êxito. FALSE, em caso de falha.
CAccessToken::GetThreadToken
Chame esse método para inicializar o CAccessToken com o token do thread fornecido.
bool GetThreadToken(
DWORD dwDesiredAccess,
HANDLE hThread = NULL,
bool bOpenAsSelf = true) throw();
Parâmetros
dwDesiredAccess
Especifica uma máscara de acesso que define os tipos de acesso solicitados ao token de acesso. Esses tipos de acesso solicitados são comparados com a DACL do token para determinar quais acessos são concedidos ou negados.
hThread
Identificador para o thread cujo token de acesso está aberto.
bOpenAsSelf
Indica se a verificação de acesso deve ser feita no contexto de segurança do thread que chama o método GetThreadToken ou no contexto de segurança do processo para o thread de chamada.
Se esse parâmetro for FALSE, a verificação de acesso será executada usando o contexto de segurança do thread de chamada. Se o thread estiver representando um cliente, esse contexto de segurança poderá ser o de um processo do cliente. Se esse parâmetro for TRUE, a verificação de acesso será feita usando o contexto de segurança do processo para o thread de chamada.
Valor de retorno
Retorna TRUE em caso de êxito. FALSE, em caso de falha.
CAccessToken::GetTokenId
Chame esse método para obter a ID do token associada ao objeto CAccessToken.
bool GetTokenId(LUID* pluid) const throw(...);
Parâmetros
pluid
Ponteiro para um LUID, o qual receberá a ID do token.
Valor de retorno
Retorna TRUE em caso de êxito. FALSE, em caso de falha.
CAccessToken::GetType
Chame esse método para obter o tipo de token do objeto CAccessToken.
bool GetType(TOKEN_TYPE* pType) const throw(...);
Parâmetros
pType
Endereço da variável TOKEN_TYPE que, se tiver êxito, recebe o tipo do token.
Valor de retorno
Retorna TRUE em caso de êxito. FALSE, em caso de falha.
Comentários
O tipo de enumeração TOKEN_TYPE contém valores que diferenciam entre um token primário e um token de representação.
CAccessToken::GetUser
Chame esse método para identificar o usuário associado ao objeto CAccessToken.
bool GetUser(CSid* pSid) const throw(...);
Parâmetros
pSid
Ponteiro para um objeto Classe CSid.
Valor de retorno
Retorna TRUE em caso de êxito. FALSE, em caso de falha.
CAccessToken::HKeyCurrentUser
Chame esse método para obter o identificador apontando para o perfil de usuário associado ao objeto CAccessToken.
HKEY HKeyCurrentUser() const throw();
Valor de retorno
Retorna um identificador apontando para o perfil de usuário ou retorna NULL se nenhum perfil existir.
CAccessToken::Impersonate
Chame esse método para atribuir uma representação CAccessToken a um thread.
bool Impersonate(HANDLE hThread = NULL) const throw(...);
Parâmetros
hThread
Identificador para o thread ao qual atribuir o token de representação. Esse identificador deve ter sido aberto com direitos de acesso TOKEN_IMPERSONATE. Se hThread for NULL, o método fará com que o thread pare de usar um token de representação.
Valor de retorno
Retorna TRUE em caso de êxito. FALSE, em caso de falha.
Comentários
Em builds de depuração, ocorrerá um erro de declaração caso CAccessToken não tenha um ponteiro válido para um token.
A Classe CAutoRevertImpersonation pode ser usada para reverter automaticamente os tokens de acesso representados.
CAccessToken::ImpersonateLoggedOnUser
Chame esse método para permitir que o thread de chamada represente o contexto de segurança de um usuário conectado.
bool ImpersonateLoggedOnUser() const throw(...);
Valor de retorno
Retorna TRUE em caso de êxito. FALSE, em caso de falha.
Comentários
Importante
Se uma chamada para uma função de representação falhar por qualquer motivo, o cliente não será representado, e a solicitação do cliente será feita no contexto de segurança do processo do qual a chamada foi feita. Se o processo estiver em execução como uma conta altamente privilegiada ou como membro de um grupo administrativo, o usuário poderá executar ações que, de outra forma, não seriam permitidas. Portanto, o valor retornado para essa função deverá ser sempre confirmado.
CAccessToken::IsTokenRestricted
Chame esse método para testar se o objeto CAccessToken contém uma lista de SIDs restritos.
bool IsTokenRestricted() const throw();
Valor de retorno
Retornará TRUE se o objeto contiver uma lista de SIDs restritivos e FALSE se não houver SIDs restritivos ou se o método falhar.
CAccessToken::LoadUserProfile
Chame esse método para carregar o perfil de usuário associado ao objeto CAccessToken.
bool LoadUserProfile() throw(...);
Valor de retorno
Retorna TRUE em caso de êxito. FALSE, em caso de falha.
Comentários
Em builds de depuração, ocorrerá um erro de declaração caso o token CAccessToken não contenha um token válido ou caso já exista um perfil de usuário.
CAccessToken::LogonUser
Chame esse método para criar uma sessão de logon para o usuário associado às credenciais fornecidas.
bool LogonUser(
LPCTSTR pszUserName,
LPCTSTR pszDomain,
LPCTSTR pszPassword,
DWORD dwLogonType = LOGON32_LOGON_INTERACTIVE,
DWORD dwLogonProvider = LOGON32_PROVIDER_DEFAULT) throw();
Parâmetros
pszUserName
Ponteiro para uma cadeia de caracteres terminada em nulo que especifica o nome do usuário. Esse é o nome da conta de usuário na qual fazer logon.
pszDomain
Ponteiro para uma cadeia de caracteres terminada em nulo que especifica o nome do domínio ou servidor cujo banco de dados da conta contém a conta pszUserName.
pszPassword
Ponteiro para uma cadeia de caracteres terminada em nulo que especifica a senha de texto limpo para a conta de usuário especificada por pszUserName.
dwLogonType
Especifica o tipo de operação de logon a ser executada. Confira LogonUser para obter mais detalhes.
dwLogonProvider
Especifica o provedor de logon. Confira LogonUser para obter mais detalhes.
Valor de retorno
Retorna TRUE em caso de êxito. FALSE, em caso de falha.
Comentários
O token de acesso resultante do logon será associado ao CAccessToken. Para que esse método tenha êxito, o objeto CAccessToken deve conter privilégios SE_TCB_NAME, identificando o titular como parte da base do computador confiável. Confira LogonUser para obter mais informações sobre os privilégios necessários.
CAccessToken::OpenCOMClientToken
Chame esse método de dentro de um servidor COM que está tratando uma chamada de um cliente para inicializar o CAccessToken com o token de acesso do cliente COM.
bool OpenCOMClientToken(
DWORD dwDesiredAccess,
bool bImpersonate = false,
bool bOpenAsSelf = true) throw(...);
Parâmetros
dwDesiredAccess
Especifica uma máscara de acesso que define os tipos de acesso solicitados ao token de acesso. Esses tipos de acesso solicitados são comparados com a DACL do token para determinar quais acessos são concedidos ou negados.
bImpersonate
Se for TRUE, o thread atual representará o cliente COM de chamada se essa chamada for concluída com êxito. Se for FALSE, o token de acesso será aberto, mas o thread não terá um token de representação quando essa chamada for concluída.
bOpenAsSelf
Indica se a verificação de acesso deve ser feita no contexto de segurança do thread que chama o método GetThreadToken ou no contexto de segurança do processo para o thread de chamada.
Se esse parâmetro for FALSE, a verificação de acesso será executada usando o contexto de segurança do thread de chamada. Se o thread estiver representando um cliente, esse contexto de segurança poderá ser o de um processo do cliente. Se esse parâmetro for TRUE, a verificação de acesso será feita usando o contexto de segurança do processo para o thread de chamada.
Valor de retorno
Retorna TRUE em caso de êxito. FALSE, em caso de falha.
Comentários
A Classe CAutoRevertImpersonation pode ser usada para reverter automaticamente tokens de acesso representados criados ao definir o sinalizador bImpersonate como TRUE.
CAccessToken::OpenNamedPipeClientToken
Chame esse método de dentro de um servidor que recebe solicitações em um pipe nomeado para inicializar o CAccessToken com o token de acesso do cliente.
bool OpenNamedPipeClientToken(
HANDLE hPipe,
DWORD dwDesiredAccess,
bool bImpersonate = false,
bool bOpenAsSelf = true) throw(...);
Parâmetros
hPipe
Identificador para um pipe nomeado.
dwDesiredAccess
Especifica uma máscara de acesso que define os tipos de acesso solicitados ao token de acesso. Esses tipos de acesso solicitados são comparados com a DACL do token para determinar quais acessos são concedidos ou negados.
bImpersonate
Se for TRUE, o thread atual representará o cliente do pipe de chamada se essa chamada for concluída com êxito. Se for FALSE, o token de acesso será aberto, mas o thread não terá um token de representação quando essa chamada for concluída.
bOpenAsSelf
Indica se a verificação de acesso deve ser feita no contexto de segurança do thread que chama o método GetThreadToken ou no contexto de segurança do processo para o thread de chamada.
Se esse parâmetro for FALSE, a verificação de acesso será executada usando o contexto de segurança do thread de chamada. Se o thread estiver representando um cliente, esse contexto de segurança poderá ser o de um processo do cliente. Se esse parâmetro for TRUE, a verificação de acesso será feita usando o contexto de segurança do processo para o thread de chamada.
Valor de retorno
Retorna TRUE em caso de êxito. FALSE, em caso de falha.
Comentários
A Classe CAutoRevertImpersonation pode ser usada para reverter automaticamente tokens de acesso representados criados ao definir o sinalizador bImpersonate como TRUE.
CAccessToken::OpenRPCClientToken
Chame esse método de dentro de um servidor que está tratando uma chamada de um cliente RPC para inicializar o CAccessToken com o token de acesso do cliente.
bool OpenRPCClientToken(
RPC_BINDING_HANDLE BindingHandle,
DWORD dwDesiredAccess,
bool bImpersonate = false,
bool bOpenAsSelf = true) throw(...);
Parâmetros
BindingHandle
Identificador de associação no servidor que representa uma associação a um cliente.
dwDesiredAccess
Especifica uma máscara de acesso que define os tipos de acesso solicitados ao token de acesso. Esses tipos de acesso solicitados são comparados com a DACL do token para determinar quais acessos são concedidos ou negados.
bImpersonate
Se for TRUE, o thread atual representará o cliente RPC de chamada se essa chamada for concluída com êxito. Se for FALSE, o token de acesso será aberto, mas o thread não terá um token de representação quando essa chamada for concluída.
bOpenAsSelf
Indica se a verificação de acesso deve ser feita no contexto de segurança do thread que chama o método GetThreadToken ou no contexto de segurança do processo para o thread de chamada.
Se esse parâmetro for FALSE, a verificação de acesso será executada usando o contexto de segurança do thread de chamada. Se o thread estiver representando um cliente, esse contexto de segurança poderá ser o de um processo do cliente. Se esse parâmetro for TRUE, a verificação de acesso será feita usando o contexto de segurança do processo para o thread de chamada.
Valor de retorno
Retorna TRUE em caso de êxito. FALSE, em caso de falha.
Comentários
A Classe CAutoRevertImpersonation pode ser usada para reverter automaticamente tokens de acesso representados criados ao definir o sinalizador bImpersonate como TRUE.
CAccessToken::OpenThreadToken
Chame esse método para definir o nível de representação e, em seguida, inicialize o CAccessToken com o token do thread fornecido.
bool OpenThreadToken(
DWORD dwDesiredAccess,
bool bImpersonate = false,
bool bOpenAsSelf = true,
SECURITY_IMPERSONATION_LEVEL sil = SecurityImpersonation) throw(...);
Parâmetros
dwDesiredAccess
Especifica uma máscara de acesso que define os tipos de acesso solicitados ao token de acesso. Esses tipos de acesso solicitados são comparados com a DACL do token para determinar quais acessos são concedidos ou negados.
bImpersonate
Se for TRUE, o thread será deixado no nível de representação solicitado após a conclusão desse método. Se for FALSE, o thread será revertido para seu nível de representação original.
bOpenAsSelf
Indica se a verificação de acesso deve ser feita no contexto de segurança do thread que chama o método GetThreadToken ou no contexto de segurança do processo para o thread de chamada.
Se esse parâmetro for FALSE, a verificação de acesso será executada usando o contexto de segurança do thread de chamada. Se o thread estiver representando um cliente, esse contexto de segurança poderá ser o de um processo do cliente. Se esse parâmetro for TRUE, a verificação de acesso será feita usando o contexto de segurança do processo para o thread de chamada.
sil
Especifica um tipo enumerado SECURITY_IMPERSONATION_LEVEL que fornece o nível de representação do token.
Valor de retorno
Retorna TRUE em caso de êxito. FALSE, em caso de falha.
Comentários
OpenThreadToken é semelhante a CAccessToken::GetThreadToken, mas define o nível de representação antes de inicializar o CAccessToken do token de acesso do thread.
A Classe CAutoRevertImpersonation pode ser usada para reverter automaticamente tokens de acesso representados criados ao definir o sinalizador bImpersonate como TRUE.
CAccessToken::PrivilegeCheck
Chame esse método para determinar se um conjunto especificado de privilégios está habilitado no objeto CAccessToken.
bool PrivilegeCheck(
PPRIVILEGE_SET RequiredPrivileges,
bool* pbResult) const throw();
Parâmetros
RequiredPrivileges
Ponteiro para uma estrutura PRIVILEGE_SET.
pbResult
Ponteiro para um valor que o método define para indicar se qualquer um ou todos os privilégios especificados estão habilitados no objeto CAccessToken.
Valor de retorno
Retorna TRUE em caso de êxito. FALSE, em caso de falha.
Comentários
Quando PrivilegeCheck é retornado, o membro Attributes de cada estrutura LUID_AND_ATTRIBUTES será definido como SE_PRIVILEGE_USED_FOR_ACCESS se o privilégio correspondente estiver habilitado. Esse método chama a função PrivilegeCheck do Win32.
CAccessToken::Revert
Chame esse método para interromper o uso de um token de representação por um thread.
bool Revert(HANDLE hThread = NULL) const throw();
Parâmetros
hThread
Identificador para o thread para reverter da representação. Se o hThread for NULL, assume-se o thread atual.
Valor de retorno
Retorna TRUE em caso de êxito. FALSE, em caso de falha.
Comentários
A reversão de tokens de representação pode ser executada automaticamente com a Classe CAutoRevertImpersonation.
CAccessToken::SetDefaultDacl
Chame esse método para definir a DACL padrão do objeto CAccessToken.
bool SetDefaultDacl(const CDacl& rDacl) throw(...);
Parâmetros
rDacl
As novas informações padrão da Classe CDacl.
Valor de retorno
Retorna TRUE em caso de êxito. FALSE, em caso de falha.
Comentários
A DACL padrão é aquela usada por padrão quando novos objetos são criados com esse token de acesso em vigor.
CAccessToken::SetOwner
Chame esse método para definir o proprietário do objeto CAccessToken.
bool SetOwner(const CSid& rSid) throw(...);
Parâmetros
rSid
O objeto Classe CSid que contém as informações do proprietário.
Valor de retorno
Retorna TRUE em caso de êxito. FALSE, em caso de falha.
Comentários
O proprietário é o proprietário padrão usado para os novos objetos criados enquanto esse token de acesso estiver em vigor.
CAccessToken::SetPrimaryGroup
Chame esse método para definir o grupo primário do objeto CAccessToken.
bool SetPrimaryGroup(const CSid& rSid) throw(...);
Parâmetros
rSid
O objeto Classe CSid que contém as informações do grupo primário.
Valor de retorno
Retorna TRUE em caso de êxito. FALSE, em caso de falha.
Comentários
O grupo primário é o grupo padrão para novos objetos criados enquanto esse token de acesso estiver em vigor.