структура TOKEN_GROUPS (winnt.h)

Статья
08/27/2023

Структура TOKEN_GROUPS содержит сведения об идентификаторах безопасности группы (SID) в маркере доступа.

Синтаксис

typedef struct _TOKEN_GROUPS {
  DWORD              GroupCount;
#if ...
  SID_AND_ATTRIBUTES *Groups[];
#else
  SID_AND_ATTRIBUTES Groups[ANYSIZE_ARRAY];
#endif
} TOKEN_GROUPS, *PTOKEN_GROUPS;

Члены

GroupCount

Указывает количество групп в маркере доступа.

Groups[*]

Задает массив SID_AND_ATTRIBUTES структур, содержащих набор идентификаторов безопасности и соответствующих атрибутов.

Элементы Attributesструктур SID_AND_ATTRIBUTES могут иметь следующие значения.

Значение	Значение
SE_GROUP_ENABLED 0x00000004L	Идентификатор безопасности включен для проверок доступа. Когда система выполняет проверка доступа, она проверяет наличие разрешенных и запрещенных записей управления доступом (ACE), которые применяются к идентификатору безопасности. Идентификатор безопасности без этого атрибута игнорируется во время проверка доступа, если не задан атрибут SE_GROUP_USE_FOR_DENY_ONLY.
SE_GROUP_ENABLED_BY_DEFAULT 0x00000002L	Идентификатор безопасности включен по умолчанию.
SE_GROUP_INTEGRITY 0x00000020L	Идентификатор безопасности является обязательным идентификатором безопасности целостности.
SE_GROUP_INTEGRITY_ENABLED 0x00000040L	Sid включен для обязательной проверки целостности.
SE_GROUP_LOGON_ID 0xC0000000L	Идентификатор безопасности — это идентификатор безопасности входа, который идентифицирует сеанс входа , связанный с маркером доступа.
SE_GROUP_MANDATORY 0x00000001L	Идентификатор безопасности не может иметь атрибут SE_GROUP_ENABLED, очищаемый вызовом функции AdjustTokenGroups . Однако функцию CreateRestrictedToken можно использовать для преобразования обязательного идентификатора безопасности в идентификатор безопасности только для запрета.
SE_GROUP_OWNER 0x00000008L	Идентификатор безопасности идентифицирует учетную запись группы, для которой пользователь маркера является владельцем группы, или идентификатор безопасности может быть назначен владельцем маркера или объектов.
SE_GROUP_RESOURCE 0x20000000L	Sid определяет локальную группу домена.
SE_GROUP_USE_FOR_DENY_ONLY 0x00000010L	Идентификатор безопасности является идентификатором безопасности только для запрета в ограниченном маркере. Когда система выполняет проверка доступа, она проверяет наличие ACE с отказом в доступе, которые применяются к идентификатору безопасности безопасности; она игнорирует разрешенные доступом ACE для идентификатора безопасности. Если этот атрибут задан, SE_GROUP_ENABLED не задан, и идентификатор безопасности невозможно повторно включить.

Groups[ANYSIZE_ARRAY]

Элементы Attributesструктур SID_AND_ATTRIBUTES могут иметь следующие значения.

Значение	Значение
SE_GROUP_ENABLED 0x00000004L	Идентификатор безопасности включен для проверок доступа. Когда система выполняет проверка доступа, она проверяет наличие разрешенных и запрещенных записей управления доступом (ACE), которые применяются к идентификатору безопасности. Идентификатор безопасности без этого атрибута игнорируется во время проверка доступа, если не задан атрибут SE_GROUP_USE_FOR_DENY_ONLY.
SE_GROUP_ENABLED_BY_DEFAULT 0x00000002L	Идентификатор безопасности включен по умолчанию.
SE_GROUP_INTEGRITY 0x00000020L	Идентификатор безопасности является обязательным идентификатором безопасности целостности.
SE_GROUP_INTEGRITY_ENABLED 0x00000040L	Sid включен для обязательной проверки целостности.
SE_GROUP_LOGON_ID 0xC0000000L	Идентификатор безопасности — это идентификатор безопасности входа, который идентифицирует сеанс входа , связанный с маркером доступа.
SE_GROUP_MANDATORY 0x00000001L	Идентификатор безопасности не может иметь атрибут SE_GROUP_ENABLED, очищаемый вызовом функции AdjustTokenGroups . Однако функцию CreateRestrictedToken можно использовать для преобразования обязательного идентификатора безопасности в идентификатор безопасности только для запрета.
SE_GROUP_OWNER 0x00000008L	Идентификатор безопасности идентифицирует учетную запись группы, для которой пользователь маркера является владельцем группы, или идентификатор безопасности может быть назначен владельцем маркера или объектов.
SE_GROUP_RESOURCE 0x20000000L	Sid определяет локальную группу домена.
SE_GROUP_USE_FOR_DENY_ONLY 0x00000010L	Идентификатор безопасности является идентификатором безопасности только для запрета в ограниченном маркере. Когда система выполняет проверка доступа, она проверяет наличие ACE с отказом в доступе, которые применяются к идентификатору безопасности безопасности; она игнорирует разрешенные доступом ACE для идентификатора безопасности. Если этот атрибут задан, SE_GROUP_ENABLED не задан, и идентификатор безопасности невозможно повторно включить.

Требования


Минимальная версия клиента	Windows XP [только классические приложения]
Минимальная версия сервера	Windows Server 2003 [только классические приложения]
Верхняя часть	winnt.h (включая Windows.h)