Freigeben über

LSA_TOKEN_INFORMATION_V3-Struktur (ntsecpkg.h)

  • Artikel

Die LSA_TOKEN_INFORMATION_V3-Struktur fügt dem LSA-Token Anspruchsunterstützung hinzu und enthält Informationen, die ein Authentifizierungspaket in einem Windows-Tokenobjekt der Version 3 platzieren kann und LSA_TOKEN_INFORMATION_V1 ersetzt hat.

Ein Windows-Tokenobjekt der Version 3 speichert alle Informationen, die zum Erstellen eines Tokens aus dem Authentifizierungspaket an die lokale Sicherheitsautorität (Local Security Authority , LSA) erforderlich sind. Der LSA übergibt diese Informationen an den Kernel, um ein Tokenobjekt zu erstellen und ein Handle an dieses Tokenobjekt an den Aufrufer von LsaLogonUser zurückzugeben. LSA geht davon aus, dass der erste Member dieser Struktur mit denen in der LSA_TOKEN_INFORMATION_V1-Struktur identisch ist.

Syntax

typedef struct _LSA_TOKEN_INFORMATION_V3 {
  LARGE_INTEGER       ExpirationTime;
  TOKEN_USER          User;
  PTOKEN_GROUPS       Groups;
  TOKEN_PRIMARY_GROUP PrimaryGroup;
  PTOKEN_PRIVILEGES   Privileges;
  TOKEN_OWNER         Owner;
  TOKEN_DEFAULT_DACL  DefaultDacl;
  TOKEN_USER_CLAIMS   UserClaims;
  TOKEN_DEVICE_CLAIMS DeviceClaims;
  PTOKEN_GROUPS       DeviceGroups;
} LSA_TOKEN_INFORMATION_V3, *PLSA_TOKEN_INFORMATION_V3;

Members

ExpirationTime

Zeitpunkt, zu dem der Sicherheitskontext ungültig wird. Verwenden Sie einen Wert in ferner Zukunft, wenn der Kontext nie abläuft. Die aktuelle Version des Betriebssystemkernels erzwingt diese Ablaufzeit nicht.

User

TOKEN_USER Struktur, die die SID des angemeldeten Benutzers enthält. Der Wert der Sicherheits-ID-SID befindet sich in einem separat zugeordneten Speicherblock.

Groups

TOKEN_GROUPS Struktur, die die SIDs von Gruppen enthält, in denen der Benutzer Mitglied ist. Dies sollte nicht world oder andere systemdefinierte und systemseitig zugewiesene SIDs enthalten. Diese werden automatisch von der LSA hinzugefügt.

Es wird erwartet, dass sich jede SID in einem separat zugeordneten Speicherblock befindet. Es wird auch erwartet, dass sich die TOKEN_GROUPS-Struktur in einem separat zugeordneten Speicherblock befindet. Alle diese Speicherblöcke sollten durch Aufrufen der AllocatePrivateHeap-Funktion zugeordnet werden.

PrimaryGroup

TOKEN_PRIMARY_GROUP Struktur, die zum Einrichten der primären Gruppe des Benutzers verwendet wird. Dieser Wert muss nicht einer der SIDs entsprechen, die dem Benutzer zugewiesen sind.

Die SID, auf die diese Struktur verweist, wird erwartet, dass sie sich in einem separat zugeordneten Speicherblock befindet.

Dieses Mitglied ist obligatorisch und muss ausgefüllt werden.

Privileges

TOKEN_PRIVILEGES Struktur, die die dem Benutzer zugewiesenen Berechtigungen enthält. Diese Liste der Berechtigungen wird durch alle lokalen Sicherheitsrichtlinien zugewiesenen Berechtigungen erweitert oder überschrieben.

Es wird erwartet, dass sich jede Berechtigung in einem separat zugeordneten Speicherblock befindet. Es wird auch erwartet, dass sich die TOKEN_PRIVILEGES-Struktur in einem separat zugeordneten Speicherblock befindet.

Wenn dem Benutzer keine Berechtigungen zugewiesen werden können, kann dieser Member auf NULL festgelegt werden.

Owner

TOKEN_OWNER-Struktur . Dieser Member kann verwendet werden, um einen expliziten Standardbesitzer festzulegen. Normalerweise wird die Benutzer-ID als Standardbesitzer verwendet. Wenn ein anderer Wert gewünscht wird, muss er hier angegeben werden.

Der Owner.Sid-Member kann auf NULL festgelegt werden, um anzugeben, dass kein alternativer Standardbesitzerwert vorhanden ist.

DefaultDacl

TOKEN_DEFAULT_DACL Struktur. Dieses Mitglied kann verwendet werden, um einen Standardschutz für den Benutzer einzurichten. Wenn kein Wert angegeben wird, wird ein Standardschutz eingerichtet, der allen Zugriff gewährt.

Der DefaultDacl.DefaultDacl-Member kann auf NULL festgelegt werden, um anzugeben, dass kein Standardschutz vorhanden ist.

UserClaims

TOKEN_USER_CLAIMS Struktur. Dieses Mitglied speichert das undurchsichtige Benutzeranspruchsblob für das Token. Das UserClaims-Element kann auf NULL festgelegt werden, um anzugeben, dass im Token keine zusätzlichen Benutzeransprüche vorhanden sind. Ansprüche sind nur zulässige Entitäten, sodass das Weglassen von Ansprüchen den Zugriff einschränken kann.

DeviceClaims

TOKEN_DEVICE_CLAIMS Struktur. Dieses Mitglied speichert das undurchsichtige Geräteanspruchsblob für das Token. Das DeviceClaims-Element kann auf NULL festgelegt werden, um anzugeben, dass das Token keine zusätzlichen Geräteansprüche enthält. Ansprüche sind nur zulässige Entitäten, sodass das Weglassen von Ansprüchen den Zugriff einschränken kann.

DeviceGroups

TOKEN_GROUPS Struktur, die die SIDs der Gruppen für den authentifizierenden Gerätemember enthält. Wie bei Benutzergruppen sollte dies nicht world oder andere systemdefinierte oder zugewiesene SIDs enthalten. Das DeviceGroups-Element kann auf NULL festgelegt werden, um anzugeben, dass keine Compoundierung erfolgen soll. Wenn DeviceGroups vorhanden sind, fügt LSA WORLD und andere zugewiesene SIDs hinzu.

Im Gegensatz zu Benutzergruppen gibt es keine Vorstellung von einer primären Gerätegruppe.

Es wird erwartet, dass sich jede SID in einem separat zugeordneten Speicherblock befindet. Es wird auch erwartet, dass sich die TOKEN_GROUPS-Struktur in einem separat zugeordneten Speicherblock befindet.

Anforderungen

   
Unterstützte Mindestversion (Client) Windows 8 [nur Desktop-Apps]
Unterstützte Mindestversion (Server) Windows Server 2012 [nur Desktop-Apps]
Kopfzeile ntsecpkg.h