структура JOBOBJECT_SECURITY_LIMIT_INFORMATION (winnt.h)
[JOBOBJECT_SECURITY_LIMIT_INFORMATION доступно для использования в операционных системах, указанных в разделе Требования. Поддержка этой структуры была удалена, начиная с Windows Vista. Дополнительные сведения см. в разделе Примечания.]
Содержит ограничения безопасности для объекта задания.
Синтаксис
typedef struct _JOBOBJECT_SECURITY_LIMIT_INFORMATION {
DWORD SecurityLimitFlags;
HANDLE JobToken;
PTOKEN_GROUPS SidsToDisable;
PTOKEN_PRIVILEGES PrivilegesToDelete;
PTOKEN_GROUPS RestrictedSids;
} JOBOBJECT_SECURITY_LIMIT_INFORMATION, *PJOBOBJECT_SECURITY_LIMIT_INFORMATION;
Члены
SecurityLimitFlags
Ограничения безопасности для задания. Этот элемент может быть одним или несколькими из следующих значений.
| Значение | Значение |
|---|---|
|
Применяет фильтр к маркеру, когда процесс олицетворяет клиента. Требуется задать по крайней мере один из следующих элементов: SidsToDisable, PrivilegesToDelete или RestrictedSids. |
|
Запрещает любому процессу в задании использовать маркер, указывающий группу локальных администраторов. |
|
Принудительное выполнение процессов в задании с использованием определенного маркера. Требует дескриптора маркера в члене JobToken . |
|
Запрещает любому процессу в задании использовать маркер, который не был создан с помощью функции CreateRestrictedToken . |
JobToken
Дескриптор первичного маркера, представляющего пользователя. Дескриптор должен иметь доступ TOKEN_ASSIGN_PRIMARY.
Если маркер был создан с помощью CreateRestrictedToken, все процессы в задании ограничиваются этим маркером или дополнительным ограниченным маркером. В противном случае вызывающий объект должен иметь привилегию SE_ASSIGNPRIMARYTOKEN_NAME.
SidsToDisable
Указатель на структуру TOKEN_GROUPS , указывающую идентификаторы безопасности, отключаемые для проверки доступа, если securityLimitFlags JOB_OBJECT_SECURITY_FILTER_TOKENS.
Этот элемент может иметь значение NULL, если вы не хотите отключать какие-либо идентификаторы безопасности.
PrivilegesToDelete
Указатель на структуру TOKEN_PRIVILEGES , указывающую права для удаления из маркера, если securityLimitFlags JOB_OBJECT_SECURITY_FILTER_TOKENS.
Этот член может иметь значение NULL, если вы не хотите удалять какие-либо привилегии.
RestrictedSids
Указатель на структуру TOKEN_GROUPS , указывающую идентификаторы безопасности только для запрета, которые будут добавлены в маркер доступа, если securityLimitFlags JOB_OBJECT_SECURITY_FILTER_TOKENS.
Этот элемент может иметь значение NULL, если вы не хотите указывать какие-либо идентификаторы БЕЗОПАСНОСТИ, доступные только для запрета.
Комментарии
После того как ограничения безопасности наложены на процессы в задании, они не могут быть отменены.
Начиная с Windows Vista, ограничения безопасности необходимо устанавливать отдельно для каждого процесса, связанного с объектом задания, а не задавать их для объекта задания с помощью SetInformationJobObject. Дополнительные сведения см. в разделе Управление правами на доступ и безопасность процесса.
Требования
| Требование | Значение |
|---|---|
| Минимальная версия клиента | Windows XP [только классические приложения] |
| Минимальная версия сервера | Windows Server 2003 [только классические приложения] |
| Верхняя часть | winnt.h (включая Windows.h) |