Sicherheit und Zugriffsrechte für Window Station
Mit der Sicherheit können Sie den Zugriff auf Fensterstationsobjekte steuern. Weitere Informationen zur Sicherheit finden Sie unter Access-Control Model.
Sie können einen Sicherheitsdeskriptor für ein Fensterstationsobjekt angeben, wenn Sie die CreateWindowStation--Funktion aufrufen. Wenn Sie NULL angeben, erhält die Fensterstation einen Standardsicherheitsdeskriptor. Die ACLs im Standardsicherheitsdeskriptor für eine Fensterstation stammen aus dem primären oder Identitätswechseltoken des Erstellers.
Rufen Sie zum Abrufen oder Festlegen der Sicherheitsbeschreibung eines Fensterstationsobjekts die GetSecurityInfo- und SetSecurityInfo--Funktionen auf.
Wenn Sie die OpenWindowStation--Funktion aufrufen, überprüft das System die angeforderten Zugriffsrechte auf den Sicherheitsdeskriptor des Objekts.
Zu den gültigen Zugriffsrechten für Fensterstationsobjekte gehören die Standardzugriffsrechte und einige objektspezifische Zugriffsrechte. In der folgenden Tabelle sind die Standardzugriffsrechte aufgeführt, die von allen Objekten verwendet werden.
| Wert | Bedeutung |
|---|---|
| DELETE (0x00010000L) | Erforderlich, um das Objekt zu löschen. |
| READ_CONTROL (0x00020000L) | Erforderlich zum Lesen von Informationen im Sicherheitsdeskriptor für das Objekt, nicht einschließlich der Informationen in der SACL. Um die SACL zu lesen oder zu schreiben, müssen Sie das ACCESS_SYSTEM_SECURITY Zugriffsrecht anfordern. Weitere Informationen finden Sie unter SACL Access Right. |
| SYNCHRONIZE (0x00100000L) | Wird für Fensterstationsobjekte nicht unterstützt. |
| WRITE_DAC (0x00040000L) | Erforderlich, um die DACL im Sicherheitsdeskriptor für das Objekt zu ändern. |
| WRITE_OWNER (0x000800000L) | Erforderlich, um den Besitzer im Sicherheitsdeskriptor für das Objekt zu ändern. |
In der folgenden Tabelle sind die objektspezifischen Zugriffsrechte aufgeführt.
| Zugriffsrecht | Beschreibung |
|---|---|
| WINSTA_ALL_ACCESS (0x37F) | Alle möglichen Zugriffsrechte für die Fensterstation. |
| WINSTA_ACCESSCLIPBOARD (0x0004L) | Erforderlich, um die Zwischenablage zu verwenden. |
| WINSTA_ACCESSGLOBALATOMS (0x0020L) | Erforderlich, um globale Atome zu bearbeiten. |
| WINSTA_CREATEDESKTOP (0x0008L) | Erforderlich, um neue Desktopobjekte auf der Fensterstation zu erstellen. |
| WINSTA_ENUMDESKTOPS (0x0001L) | Erforderlich zum Aufzählen vorhandener Desktopobjekte. |
| WINSTA_ENUMERATE (0x0100L) | Erforderlich, damit die Fensterstation aufgezählt werden kann. |
| WINSTA_EXITWINDOWS (0x0040L) | Erforderlich, um die ExitWindows oder ExitWindowsEx--Funktion erfolgreich aufzurufen. Fensterstationen können von Benutzern geteilt werden, und dieser Zugriffstyp kann verhindern, dass andere Benutzer einer Fensterstation den Besitzer der Fensterstation abmelden. |
| WINSTA_READATTRIBUTES (0x0002L) | Erforderlich, um die Attribute eines Fensterstationsobjekts zu lesen. Dieses Attribut enthält Farbeinstellungen und andere globale Fensterstationseigenschaften. |
| WINSTA_READSCREEN (0x0200L) | Erforderlich für den Zugriff auf Bildschirminhalte. |
| WINSTA_WRITEATTRIBUTES (0x0010L) | Erforderlich, um die Attribute eines Fensterstationsobjekts zu ändern. Zu den Attributen gehören Farbeinstellungen und andere globale Fensterstationseigenschaften. |
Im Folgenden sind die generischen Zugriffsrechte für das interaktive Fensterstationsobjekt aufgeführt. Dabei handelt es sich um die Fensterstation, die der Anmeldesitzung des interaktiven Benutzers zugewiesen ist.
| Zugriffsrecht | Beschreibung |
|---|---|
| GENERIC_READ |
WINSTA_ENUMDESKTOPS WINSTA_ENUMERATE WINSTA_READATTRIBUTES WINSTA_READSCREEN |
| GENERIC_WRITE |
WINSTA_ACCESSCLIPBOARD WINSTA_CREATEDESKTOP WINSTA_WRITEATTRIBUTES |
| GENERIC_EXECUTE |
WINSTA_ACCESSGLOBALATOMS WINSTA_EXITWINDOWS |
| GENERIC_ALL |
WINSTA_ACCESSCLIPBOARD WINSTA_ACCESSGLOBALATOMS WINSTA_CREATEDESKTOP WINSTA_ENUMDESKTOPS WINSTA_ENUMERATE WINSTA_EXITWINDOWS WINSTA_READATTRIBUTES WINSTA_READSCREEN WINSTA_WRITEATTRIBUTES |
Im Folgenden sind die generischen Zugriffsrechte für ein nichtinteraktives Fensterstationsobjekt aufgeführt. Das System weist allen anderen Anmeldesitzungen als dem interaktiven Benutzer nichtinteraktive Fensterstationen zu.
| Zugriffsrecht | Beschreibung |
|---|---|
| GENERIC_READ |
WINSTA_ENUMDESKTOPS WINSTA_ENUMERATE WINSTA_READATTRIBUTES |
| GENERIC_WRITE |
WINSTA_ACCESSCLIPBOARD WINSTA_CREATEDESKTOP |
| GENERIC_EXECUTE |
WINSTA_ACCESSGLOBALATOMS WINSTA_EXITWINDOWS |
| GENERIC_ALL |
WINSTA_ACCESSCLIPBOARD WINSTA_ACCESSGLOBALATOMS WINSTA_CREATEDESKTOP WINSTA_ENUMDESKTOPS WINSTA_ENUMERATE WINSTA_EXITWINDOWS WINSTA_READATTRIBUTES |
Sie können den ACCESS_SYSTEM_SECURITY Zugriff auf ein Fensterstationsobjekt anfordern, wenn Sie die SACL des Objekts lesen oder schreiben möchten. Weitere Informationen finden Sie unter Access-Control Listen (ACLs) und SACL Access Right.