Desktopsicherheit und Zugriffsrechte
Mit der Sicherheit können Sie den Zugriff auf Desktopobjekte steuern. Weitere Informationen zur Sicherheit finden Sie unter Access-Control Model.
Sie können einen Sicherheitsdeskriptor für ein Desktopobjekt angeben, wenn Sie die CreateDesktop oder CreateDesktopEx--Funktion aufrufen. Wenn Sie NULL angeben, erhält der Desktop einen Standardsicherheitsdeskriptor. Die ACLs im Standardsicherheitsdeskriptor für einen Desktop stammen von der übergeordneten Fensterstation.
Rufen Sie zum Abrufen oder Festlegen der Sicherheitsbeschreibung eines Fensterstationsobjekts die GetSecurityInfo- und SetSecurityInfo--Funktionen auf.
Wenn Sie die OpenDesktop- oder OpenInputDesktop--Funktion aufrufen, überprüft das System die angeforderten Zugriffsrechte auf den Sicherheitsdeskriptor des Objekts.
Zu den gültigen Zugriffsrechten für Desktopobjekte gehören die Standardzugriffsrechte und einige objektspezifische Zugriffsrechte. In der folgenden Tabelle sind die Standardzugriffsrechte aufgeführt, die von allen Objekten verwendet werden.
| Wert | Bedeutung |
|---|---|
| DELETE (0x00010000L) | Erforderlich, um das Objekt zu löschen. |
| READ_CONTROL (0x00020000L) | Erforderlich zum Lesen von Informationen im Sicherheitsdeskriptor für das Objekt, nicht einschließlich der Informationen in der SACL. Um die SACL zu lesen oder zu schreiben, müssen Sie das ACCESS_SYSTEM_SECURITY Zugriffsrecht anfordern. Weitere Informationen finden Sie unter SACL Access Right. |
| SYNCHRONIZE (0x00100000L) | Wird für Desktopobjekte nicht unterstützt. |
| WRITE_DAC (0x00040000L) | Erforderlich, um die DACL im Sicherheitsdeskriptor für das Objekt zu ändern. |
| WRITE_OWNER (0x000800000L) | Erforderlich, um den Besitzer im Sicherheitsdeskriptor für das Objekt zu ändern. |
In der folgenden Tabelle sind die objektspezifischen Zugriffsrechte aufgeführt.
| Zugriffsrecht | Beschreibung |
|---|---|
| DESKTOP_CREATEMENU (0x0004L) | Erforderlich zum Erstellen eines Menüs auf dem Desktop. |
| DESKTOP_CREATEWINDOW (0x0002L) | Erforderlich zum Erstellen eines Fensters auf dem Desktop. |
| DESKTOP_ENUMERATE (0x0040L) | Erforderlich, damit der Desktop aufgezählt werden kann. |
| DESKTOP_HOOKCONTROL (0x0008L) | Erforderlich, um einen der Fensterhaken einzurichten. |
| DESKTOP_JOURNALPLAYBACK (0x0020L) | Erforderlich zum Ausführen der Journalwiedergabe auf einem Desktop. |
| DESKTOP_JOURNALRECORD (0x0010L) | Erforderlich zum Ausführen der Journalaufzeichnung auf einem Desktop. |
| DESKTOP_READOBJECTS (0x0001L) | Zum Lesen von Objekten auf dem Desktop erforderlich. |
| DESKTOP_SWITCHDESKTOP (0x0100L) | Erforderlich zum Aktivieren des Desktops mithilfe der SwitchDesktop--Funktion. |
| DESKTOP_WRITEOBJECTS (0x0080L) | Erforderlich zum Schreiben von Objekten auf dem Desktop. |
Im Folgenden finden Sie die generischen Zugriffsrechte für ein Desktopobjekt, das in der interaktiven Fensterstation der Anmeldesitzung des Benutzers enthalten ist.
| Zugriffsrecht | Beschreibung |
|---|---|
| GENERIC_READ |
DESKTOP_READOBJECTS STANDARD_RIGHTS_READ |
| GENERIC_WRITE |
DESKTOP_CREATEWINDOW DESKTOP_HOOKCONTROL DESKTOP_JOURNALPLAYBACK DESKTOP_JOURNALRECORD DESKTOP_WRITEOBJECTS STANDARD_RIGHTS_WRITE |
| GENERIC_EXECUTE |
STANDARD_RIGHTS_EXECUTE |
| GENERIC_ALL |
DESKTOP_CREATEWINDOW DESKTOP_ENUMERATE DESKTOP_HOOKCONTROL DESKTOP_JOURNALPLAYBACK DESKTOP_JOURNALRECORD DESKTOP_READOBJECTS DESKTOP_SWITCHDESKTOP DESKTOP_WRITEOBJECTS STANDARD_RIGHTS_REQUIRED |
Sie können den ACCESS_SYSTEM_SECURITY Zugriffsrecht auf ein Desktopobjekt anfordern, wenn Sie die SACL des Objekts lesen oder schreiben möchten. Weitere Informationen finden Sie unter Access-Control Listen (ACLs) und SACL Access Right.