winnt.h) (JOBOBJECT_SECURITY_LIMIT_INFORMATION 结构
[JOBOBJECT_SECURITY_LIMIT_INFORMATION可用于“要求”部分中指定的操作系统。 从 Windows Vista 开始,已删除对此结构的支持。 有关信息,请参阅备注。]
包含作业对象的安全限制。
语法
typedef struct _JOBOBJECT_SECURITY_LIMIT_INFORMATION {
DWORD SecurityLimitFlags;
HANDLE JobToken;
PTOKEN_GROUPS SidsToDisable;
PTOKEN_PRIVILEGES PrivilegesToDelete;
PTOKEN_GROUPS RestrictedSids;
} JOBOBJECT_SECURITY_LIMIT_INFORMATION, *PJOBOBJECT_SECURITY_LIMIT_INFORMATION;
成员
SecurityLimitFlags
作业的安全限制。 此成员可以是以下一个或多个值。
| 值 | 含义 |
|---|---|
|
当进程模拟客户端时,将筛选器应用于令牌。 需要至少设置以下成员之一: SidsToDisable、 PrivilegesToDelete 或 RestrictedSids。 |
|
防止作业中的任何进程使用指定本地管理员组的令牌。 |
|
强制作业中的进程在特定令牌下运行。 需要 JobToken 成员中的令牌句柄。 |
|
防止作业中的任何进程使用不是使用 CreateRestrictedToken 函数创建的令牌。 |
JobToken
表示用户的主令牌的句柄。 句柄必须具有TOKEN_ASSIGN_PRIMARY访问权限。
如果令牌是使用 CreateRestrictedToken 创建的,则作业中的所有进程都限制为该令牌或进一步受限的令牌。 否则,调用方必须具有SE_ASSIGNPRIMARYTOKEN_NAME特权。
SidsToDisable
指向 TOKEN_GROUPS 结构的指针,该结构指定要禁用用于访问检查的 SID(如果 SecurityLimitFlags 为JOB_OBJECT_SECURITY_FILTER_TOKENS)。
如果不想禁用任何 SID,则此成员可以为 NULL。
PrivilegesToDelete
指向 TOKEN_PRIVILEGES 结构的指针,该结构指定要从令牌中删除的权限(如果 SecurityLimitFlags 是JOB_OBJECT_SECURITY_FILTER_TOKENS)。
如果不想删除任何特权,则此成员可以为 NULL。
RestrictedSids
指向 TOKEN_GROUPS 结构的指针,该结构指定将添加到访问令牌的仅拒绝 SID(如果 SecurityLimitFlags 为JOB_OBJECT_SECURITY_FILTER_TOKENS)。
如果不想指定任何仅拒绝的 SID,则此成员可以为 NULL。
注解
对作业中的进程施加安全限制后,无法撤消这些限制。
从 Windows Vista 开始,必须单独为与作业对象关联的每个进程设置安全限制,而不是使用 SetInformationJobObject 为作业对象设置安全限制。 有关信息,请参阅 处理安全性和访问权限。
要求
| 要求 | 值 |
|---|---|
| 最低受支持的客户端 | Windows XP [仅限桌面应用] |
| 最低受支持的服务器 | Windows Server 2003 [仅限桌面应用] |
| 标头 | winnt.h (包括 Windows.h) |
另请参阅
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈