AccessCheckByType

セキュリティ記述子が、アクセストークンによって識別されるクライアントに対して指定された一連のアクセス権を許可するかどうかを判定する。(AccessCheckByType)

AccessCheckByType pSecurityDescriptor, PrincipalSelfSid, ClientToken, DesiredAccess, ObjectTypeList, ObjectTypeListLength, GenericMapping, PrivilegeSet, PrivilegeSetLength, GrantedAccess, AccessStatus

pSecurityDescriptor : [int] アクセスチェック対象の SECURITY_DESCRIPTOR 構造体へのポインタ。
PrincipalSelfSid : [int] SID へのポインタ。セキュリティ記述子がプリンシパルを表すオブジェクト（ユーザーオブジェクトなど）に関連付けられている場合、PrincipalSelfSid パラメータにはそのオブジェクトの SID を指定する。アクセス評価時には、この SID は周知 SID PRINCIPAL_SELF (S-1-5-10) を含む任意のアクセス制御エントリ内の SID を論理的に置き換える。周知 SID の詳細は「Well-known SIDs」を参照のこと。
ClientToken : [intptr] アクセスを試みるクライアントを表す偽装トークンへのハンドル。このハンドルは対象のトークンに対する TOKEN_QUERY アクセス権を持っている必要がある。そうでない場合、関数は ERROR_ACCESS_DENIED で失敗する。
DesiredAccess : [int] チェックするアクセス権を指定するアクセスマスク。このマスクは MapGenericMask 関数によって汎用アクセス権を含まないようにマッピング済みでなければならない。
ObjectTypeList : [var] アクセスをチェックするオブジェクト型の階層を識別する OBJECT_TYPE_LIST 構造体の配列へのポインタ。配列の各要素には、オブジェクト型を識別する GUID と、オブジェクト型階層におけるレベルを示す値を指定する。配列内に同じ GUID を持つ要素が 2 つ存在してはならない。
ObjectTypeListLength : [int] ObjectTypeList 配列の要素数を指定する。
GenericMapping : [var] アクセスチェック対象のオブジェクトに関連付けられた GENERIC_MAPPING 構造体へのポインタ。GENERIC_MAPPING 構造体の GenericAll メンバには、STANDARD_RIGHTS_ALL および GenericRead、GenericWrite、GenericExecute メンバに設定されたすべての権限を含め、リソースマネージャが許可できるすべてのアクセス権が含まれている必要がある。
PrivilegeSet : [var] アクセス検証の実行に使用された特権を受け取る PRIVILEGE_SET 構造体へのポインタ。特権が一切使用されなかった場合、関数は PrivilegeCount メンバを 0 に設定する。
PrivilegeSetLength : [var] PrivilegeSet パラメータが指すバッファのサイズ（バイト単位）。
GrantedAccess : [var] 許可されたアクセス権を受け取るアクセスマスクへのポインタ。AccessStatus が FALSE に設定された場合、関数はアクセスマスクを 0 に設定する。関数が失敗した場合は、アクセスマスクを設定しない。
AccessStatus : [var] アクセスチェックの結果を受け取る変数へのポインタ。セキュリティ記述子がアクセストークンによって識別されるクライアントに対して要求されたアクセス権を許可する場合、AccessStatus には TRUE が設定される。そうでない場合は FALSE が設定され、GetLastError を呼び出すことで拡張エラー情報を取得できる。

(プラグイン / モジュール : advapi32.dll)

解説

セキュリティ記述子が、アクセストークンによって識別されるクライアントに対して指定された一連のアクセス権を許可するかどうかを判定する。(AccessCheckByType)

[戻り値]
関数が成功した場合、戻り値は 0 以外となる。関数が失敗した場合、戻り値は 0 となる。拡張エラー情報を取得するには
GetLastError を呼び出す。

[備考]
詳細は「How AccessCheck Works」概説を参照のこと。AccessCheckByType
関数は、指定されたセキュリティ記述子と指定されたアクセストークンを比較し、アクセスが許可されたか拒否されたかを AccessStatus
パラメータで返す。ObjectTypeList
配列は必ずしも定義済みオブジェクト全体を表すものではなく、アクセスをチェックしたいオブジェクトのサブセットを表す。たとえば、プロパティセット内の
2 つのプロパティへのアクセスをチェックするには、レベル 0 にオブジェクト自体、レベル 1 にプロパティセット、レベル 2 に 2
つのプロパティという 4 要素のオブジェクト型リストを指定する。AccessCheckByType 関数は、オブジェクト自体に適用される
ACE と、ObjectTypeList 配列に列挙されたオブジェクト型に対するオブジェクト固有の ACE
を評価する。配列に列挙されていないオブジェクト型に対するオブジェクト固有の ACE は無視される。したがって、AccessStatus
パラメータで返される結果は、オブジェクト全体ではなく ObjectTypeList
パラメータで定義されたオブジェクトのサブセットに対して許可されたアクセスを示す。ACE
の階層がオブジェクトおよびそのサブオブジェクトへのアクセスをどのように制御するかの詳細は「ACEs to Control Access
to an Object's Properties」を参照のこと。セキュリティ記述子の DACL が NULL
の場合、AccessStatus パラメータは TRUE
を返し、クライアントが要求されたアクセス権を持っていることを示す。セキュリティ記述子が所有者 SID とグループ SID
を含まない場合、AccessCheckByType は ERROR_INVALID_SECURITY_DESCR で失敗する。

情報