Поделиться через

структура SECURITY_OBJECT (aclui.h)

  • Статья

Структура SECURITY_OBJECT содержит сведения об объекте безопасности.

Синтаксис

typedef struct _SECURITY_OBJECT {
  PWSTR   pwszName;
  PVOID   pData;
  DWORD   cbData;
  PVOID   pData2;
  DWORD   cbData2;
  DWORD   Id;
  BOOLEAN fWellKnown;
} SECURITY_OBJECT, *PSECURITY_OBJECT;

Члены

pwszName

Указатель на имя.

pData

Указатель на данные безопасности.

cbData

Размер (в байтах) данных, на которые указывает элемент pData . Значение может быть равно нулю, если pData содержит данные, например, если данные являются указателем интерфейса IUnknown , дескриптором или данными, характерными для диспетчера ресурсов, которые могут храниться в pData напрямую без выделения памяти.

pData2

Указатель на дополнительные данные безопасности.

cbData2

Размер (в байтах) данных, на которые указывает элемент pData2 . Это значение может быть равно нулю, если pData2 содержит данные, например, если данные являются указателем интерфейса IUnknown , дескриптором или данными, характерными для диспетчера ресурсов, которые могут храниться в pData2 напрямую без выделения памяти.

Id

Идентификатор типа объекта безопасности. Если элемент fWellKnown имеет значение FALSE, то элемент Id не имеет особого значения, кроме как помочь диспетчерам ресурсов отличить его от других классов объектов безопасности. Если элемент fWellKnown имеет значение TRUE, то элемент Id является одним из следующих, а вся структура соответствует соответствующему представлению.

Значение Значение
SECURITY_OBJECT_ID_OBJECT_SD (1)
 Дескриптор безопасности ресурса.

Если для идентификатора задано это значение, то pData указывает на дескриптор безопасности, а cbData — количество байтов в pData.

pData2 имеет значение NULL , а cbData2 — 0.
SECURITY_OBJECT_ID_SHARE (2)
 Дескриптор безопасности сетевой папки.

Если для параметра Id задано это значение, pData указывает на интерфейс ISecurityInformation объекта, который представляет контекст безопасности общей папки.

Если дескриптор безопасности еще недоступен, то pData2 должен быть дескриптором для объекта с возможностью ожидания, который получает сигнал, когда дескриптор безопасности готов, когда метод GetSecondarySecurity возвращает S_FALSE. Объект, доступный для ожидания, должен быть создан функцией CreateEvent . В этом случае cbData2 имеет значение 0.

Этот идентификатор применим только к объектам файловой системы.
SECURITY_OBJECT_ID_CENTRAL_POLICY (3)
 Дескриптор безопасности центральной политики доступа.

Если для параметра Id задано это значение, pData указывает на дескриптор безопасности с пустыми записями управления доступом (ACE) владельца, группы и атрибута, которые соответствуют владельцу, группе и атрибутам ресурса, а также SCOPE_SECURITY_INFORMATION_ACE, содержащим идентификатор центральной политики. CbData устанавливается на количество байтов в pData.

pData2 имеет значение NULL , а cbData2 — 0.

Дескриптор безопасности создан таким образом, чтобы вычислить действующие разрешения, чтобы правильно определять, когда доступ ограничен центральной политикой, и невозможно определить более подробные сведения о центральном правиле доступа. Используется, когда централизованная политика доступа, применяемая к ресурсу, не может быть разрешена в его элементные централизованные правила доступа.
SECURITY_OBJECT_ID_CENTRAL_ACCESS_RULE (4)
 Дескриптор безопасности центрального правила доступа.

Если для параметра Id задано это значение, pData указывает на дескриптор безопасности с ACE владельца, группы и атрибута, которые соответствуют владельцу, группе и атрибутам ресурса, а также к списку управления доступом на усмотрение (DACL), соответствующему daCL центрального правила доступа. Для параметра cbData задано количество байтов в pData.

Кроме того, pData2 указывает на дескриптор безопасности с daCL, который содержит условное ACE, которое предоставляет 0x1 всем, если условие ресурса из центрального правила доступа имеет значение TRUE. Для параметра cbData2 задано число байтов в pData2.

Дескриптор безопасности создан, чтобы вычислить эффективные разрешения, чтобы определить, когда доступ ограничен централизованной политикой доступа с максимальной степенью детализации. То есть доступ ограничивается путем указания на централизованное правило политики.

fWellKnown

Значение TRUE , если объект безопасности представляет один из хорошо известных объектов безопасности, перечисленных в элементе Id .

Комментарии

Если для элемента Id , для структуры SECURITY_OBJECT задано значение SECURITY_OBJECT_ID_CENTRAL_ACCESS_RULE, метод ComputeEffectivePermissionWithSecondarySecurity должен сначала использовать элемент pData2 , а затем оценивать доступ с помощью элемента pData .

Требования

Требование Значение
Минимальная версия клиента Windows 8 [только классические приложения]
Минимальная версия сервера Windows Server 2012 [только классические приложения]
Верхняя часть aclui.h

См. также раздел

IEffectivePermission2::ComputeEffectivePermissionWithSecondarySecurity

ISecurityInformation4::GetSecondarySecurity