winnt.h) (TOKEN_GROUPS_AND_PRIVILEGES 结构
TOKEN_GROUPS_AND_PRIVILEGES结构包含有关访问令牌中的组安全标识符 (SID) 和特权的信息。
语法
typedef struct _TOKEN_GROUPS_AND_PRIVILEGES {
DWORD SidCount;
DWORD SidLength;
PSID_AND_ATTRIBUTES Sids;
DWORD RestrictedSidCount;
DWORD RestrictedSidLength;
PSID_AND_ATTRIBUTES RestrictedSids;
DWORD PrivilegeCount;
DWORD PrivilegeLength;
PLUID_AND_ATTRIBUTES Privileges;
LUID AuthenticationId;
} TOKEN_GROUPS_AND_PRIVILEGES, *PTOKEN_GROUPS_AND_PRIVILEGES;
成员
SidCount
访问令牌中的 SID 数。
SidLength
保存组的所有用户 SID 和帐户 SID 所需的长度(以字节为单位)。
Sids
指向包含一组 SID 和相应属性的 SID_AND_ATTRIBUTES 结构的数组的指针。
SID_AND_ATTRIBUTES结构的 Attributes 成员可以具有以下值。
| 值 | 含义 |
|---|---|
|
为访问检查启用 SID。 当系统执行访问检查时,它会检查适用于 SID 的 ACE (ACE) 允许访问和拒绝访问的访问控制条目。
除非设置了 SE_GROUP_USE_FOR_DENY_ONLY 属性,否则在访问检查期间将忽略没有此属性的 SID。 |
|
默认情况下,SID 处于启用状态。 |
|
SID 是强制性完整性 SID。
Windows Server 2008、Windows Vista、Windows Server 2003 和 Windows XP: 不支持此值。 |
|
在访问检查期间评估强制完整性 SID。
Windows Server 2008、Windows Vista、Windows Server 2003 和 Windows XP: 不支持此值。 |
|
SID 是标识与访问令牌关联的 登录会话的登录 SID。 |
|
SID 无法通过调用 AdjustTokenGroups 函数清除 SE_GROUP_ENABLED 属性。 但是,可以使用 CreateRestrictedToken 函数将强制 SID 转换为仅拒绝的 SID。 |
|
SID 标识一个组帐户,令牌的用户是组的所有者,或者可以将 SID 分配为令牌或对象的所有者。 |
|
SID 标识域本地组。 |
|
SID 是 受限令牌中的仅拒绝 SID。 当系统执行访问检查时,它会检查是否适用于 SID 的拒绝访问 ACE;它会忽略 SID 允许访问的 ACE。
如果设置了此属性,则不会设置SE_GROUP_ENABLED,并且无法重新启用 SID。 |
RestrictedSidCount
受限制的 SID 数。
RestrictedSidLength
保存所有受限 SID 所需的长度(以字节为单位)。
RestrictedSids
指向包含一组受限 SID 和相应属性的 SID_AND_ATTRIBUTES 结构的数组的指针。
SID_AND_ATTRIBUTES 结构的 Attributes 成员可以具有与前面 Sids 成员列出的相同值。
PrivilegeCount
特权数。
PrivilegeLength
保存特权数组所需的长度(以字节为单位)。
Privileges
特权数组。
AuthenticationId
本地唯一标识符 (令牌验证器的 LUID) 。
要求
| 要求 | 值 |
|---|---|
| 最低受支持的客户端 | Windows XP [仅限桌面应用] |
| 最低受支持的服务器 | Windows Server 2003 [仅限桌面应用] |
| 标头 | winnt.h (包括 Windows.h) |
另请参阅
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈