Поделиться через

структура ACCESS_DENIED_CALLBACK_OBJECT_ACE (winnt.h)

  • Статья

Структура ACCESS_DENIED_CALLBACK_OBJECT_ACE определяет запись управления доступом (ACE), которая управляет запрещенным доступом к объекту, набору свойств или свойству. ACE содержит набор прав доступа, идентификатор GUID GUID, определяющий тип объекта, и идентификатор безопасности (SID), определяющий доверенного лица , которому система отклонит доступ. ACE также содержит GUID и набор флагов, которые управляют наследованием ACE дочерними объектами.

При вызове функции AuthzAccessCheck каждая ACCESS_DENIED_CALLBACK_OBJECT_ACE структура, содержащаяся в DACL SECURITY_DESCRIPTOR структуры, передаваемой через указатель на функцию AuthzAccessCheck вызывает вызов определяемой приложением функции AuthzAccessCheckCallback, в которой указатель на структуру ACCESS_DENIED_CALLBACK_OBJECT_ACE передается в параметре pAce.

Синтаксис

typedef struct _ACCESS_DENIED_CALLBACK_OBJECT_ACE {
  ACE_HEADER  Header;
  ACCESS_MASK Mask;
  DWORD       Flags;
  GUID        ObjectType;
  GUID        InheritedObjectType;
  DWORD       SidStart;
} ACCESS_DENIED_CALLBACK_OBJECT_ACE, *PACCESS_DENIED_CALLBACK_OBJECT_ACE;

Члены

Header

ACE_HEADER структура, указывающая размер и тип ACE. Он содержит флаги, управляющие наследованием ACE дочерними объектами. элемент AceType структуры ACE_HEADER должен иметь значение ACCESS_DENIED_CALLBACK_ACE_TYPE, а элемент AceSize должен иметь общее количество байтов, выделенных для структуры ACCESS_DENIED_CALLBACK_OBJECT_ACE.

Mask

ACCESS_MASK, указывающее права доступа, которые система отклонит доверенному лицу.

Flags

Набор битовых флагов, указывающих, присутствуют ли элементы ObjectType и InheritedObjectType. Этот параметр может быть одним или несколькими из следующих значений.

Ценность Значение
0
 Отсутствуют ни ObjectType, ни InheritedObjectType. Элемент SidStart следует сразу после элемента флагов .
ACE_OBJECT_TYPE_PRESENT
 ObjectType присутствует и содержит GUID.

Если это значение не указано, элемент InheritedObjectType следует сразу после элемента Flags.
ACE_INHERITED_OBJECT_TYPE_PRESENT
 InheritedObjectType присутствует и содержит GUID.

Если это значение не указано, все типы дочерних объектов могут наследовать ACE.

ObjectType

Этот элемент существует только в том случае, если ACE_OBJECT_TYPE_PRESENT бит установлен в элементе Flags. В противном случае элемент следуют InheritedObjectType сразу после флагов.

Если этот элемент существует, это структура guid , которая определяет набор свойств, свойство, расширенное право или тип дочернего объекта. Назначение этого GUID зависит от прав доступа, указанных в элементе Mask.

Ценность Значение
ADS_RIGHT_DS_CONTROL_ACCESS
 Идентификатор GUID ObjectTypeGUID определяет право расширенного доступа.
ADS_RIGHT_DS_CREATE_CHILD
 Идентификатор GUID ObjectTypeопределяет тип дочернего объекта. ACE контролирует право доверенного лица на создание этого типа дочернего объекта.
ADS_RIGHT_DS_READ_PROP
 Идентификатор GUID ObjectTypeGUID определяет набор свойств или свойство объекта. ACE контролирует право доверенного лица читать свойство или набор свойств.
ADS_RIGHT_DS_WRITE_PROP
 Идентификатор GUID ObjectTypeGUID определяет набор свойств или свойство объекта. ACE контролирует право доверенного лица на запись свойства или набора свойств.
ADS_RIGHT_DS_SELF
 ObjectTypeGUID определяет проверенную запись.

InheritedObjectType

Этот элемент существует только в том случае, если ACE_INHERITED_OBJECT_TYPE_PRESENT бит задан в элементе Flags.

Если этот элемент существует, это структура GUID GUID, которая определяет тип дочернего объекта, который может наследовать ACE. Наследование также контролируется флагами наследования в ACE_HEADER, а также любой защитой от наследования, размещенной на дочерних объектах.

Смещение этого элемента может отличаться. Если элемент флагов не содержит флаг ACE_OBJECT_TYPE_PRESENT, элемент InheritedObjectType начинается со смещения, указанного элементом ObjectType .

SidStart

Первый DWORD безопасности доверенного лица. Оставшиеся байты идентификатора безопасности хранятся в непрерывной памяти после члена SidStart. Этот идентификатор безопасности можно добавить с данными приложения.

Замечания

Если ни objectType , ни InheritedObjectTypeGUID, структура ACCESS_DENIED_CALLBACK_OBJECT_ACE имеет ту же семантику, что и структура ACCESS_DENIED_CALLBACK_ACE. В этом случае используйте ACCESS_DENIED_CALLBACK_ACE структуру, так как она меньше и эффективнее.

ACL, содержащий ACCESS_DENIED_CALLBACK_OBJECT_ACE, должен указать номер ACL_REVISION_DS редакции в заголовке ACL.

Права доступа, указанные членом маски , запрещены любому доверенному лицу , который имеет включенный идентификатор безопасности, соответствующий идентификатору безопасности, хранящейся в члене SidStart.

При создании структуры ACCESS_DENIED_CALLBACK_OBJECT_ACE необходимо выделить достаточную память для размещения структур GUID в ObjectType и членов InheritedObjectType, если один или оба из них существуют, а также для размещения полного идентификатора безопасности доверенного лица в члене SidStart и непрерывной памяти, следующей за ней.

Требования

Требование Ценность
минимальные поддерживаемые клиентские Windows XP [только классические приложения]
минимальный поддерживаемый сервер Windows Server 2003 [только классические приложения]
заголовка winnt.h (включая Windows.h)

См. также

ACE

ACL

AddAuditAccessObjectAce

GUID

SID