Zugriffsrechte für Access-Token-Objekte
Eine Anwendung kann die Zugriffssteuerungsliste eines Objekts nicht ändern, es sei denn, die Anwendung verfügt über die berechtigungen dazu. Diese Rechte werden von einem Sicherheitsdeskriptor im Zugriffstoken für das -Objekt gesteuert. Weitere Informationen zur Sicherheit finden Sie unter Access Control Modell.
Um die Sicherheitsbeschreibung für ein Zugriffstoken abzurufen oder festzulegen, rufen Sie die Funktionen GetKernelObjectSecurity und SetKernelObjectSecurity auf.
Wenn Sie die Funktion OpenProcessToken oder OpenThreadToken aufrufen, um ein Handle für ein Zugriffstoken abzurufen, überprüft das System die angeforderten Zugriffsrechte mit der DACL im Sicherheitsdeskriptor des Tokens.
Im Folgenden sind gültige Zugriffsrechte für Zugriffstokenobjekte aufgeführt:
Die STANDARDZUGRIFFSRECHTE DELETE, READ_CONTROL, WRITE_DAC und WRITE_OWNER. Zugriffstoken unterstützen das Standardzugriffsrecht SYNCHRONIZE nicht.
Das ACCESS_SYSTEM_SECURITY recht , die SACL im Sicherheitsdeskriptor des Objekts abzurufen oder festzulegen.
Die spezifischen Zugriffsrechte für Zugriffstoken, die in der folgenden Tabelle aufgeführt sind.
Wert Bedeutung TOKEN_ADJUST_DEFAULT Erforderlich, um den Standardbesitzer, die primäre Gruppe oder die DACL eines Zugriffstokens zu ändern. TOKEN_ADJUST_GROUPS Erforderlich, um die Attribute der Gruppen in einem Zugriffstoken anzupassen. TOKEN_ADJUST_PRIVILEGES Erforderlich, um die Berechtigungen in einem Zugriffstoken zu aktivieren oder zu deaktivieren. TOKEN_ADJUST_SESSIONID Erforderlich, um die Sitzungs-ID eines Zugriffstokens anzupassen. Das SE_TCB_NAME-Recht ist erforderlich. TOKEN_ASSIGN_PRIMARY Erforderlich, um ein primäres Token an einen Prozess anzufügen. Die SE_ASSIGNPRIMARYTOKEN_NAME-Berechtigung ist ebenfalls erforderlich, um diese Aufgabe auszuführen. TOKEN_DUPLICATE Erforderlich, um ein Zugriffstoken zu duplizieren. TOKEN_EXECUTE Identisch mit STANDARD_RIGHTS_EXECUTE. TOKEN_IMPERSONATE Erforderlich, um einem Prozess ein Identitätswechsel-Zugriffstoken anzufügen. TOKEN_QUERY Erforderlich, um ein Zugriffstoken abzufragen. TOKEN_QUERY_SOURCE Erforderlich, um die Quelle eines Zugriffstokens abzufragen. TOKEN_READ Kombiniert STANDARD_RIGHTS_READ und TOKEN_QUERY. TOKEN_WRITE Kombiniert STANDARD_RIGHTS_WRITE, TOKEN_ADJUST_PRIVILEGES, TOKEN_ADJUST_GROUPS und TOKEN_ADJUST_DEFAULT. TOKEN_ALL_ACCESS Kombiniert alle möglichen Zugriffsrechte für ein Token.