Freigeben über

Zugriffsrechte für Access-Token-Objekte

  • Artikel

Eine Anwendung kann die Zugriffssteuerungsliste eines Objekts nicht ändern, es sei denn, die Anwendung hat die Rechte, dies zu tun. Diese Rechte werden durch einen Sicherheitsdeskriptor im Zugriffstoken für das Objekt gesteuert. Weitere Informationen zur Sicherheit finden Sie unter Access Control Model.

Rufen Sie zum Abrufen oder Festlegen des Sicherheitsdeskriptors für ein Zugriffstokendie GetKernelObjectSecurity und SetKernelObjectSecurity--Funktionen auf.

Wenn Sie die OpenProcessToken oder OpenThreadToken--Funktion aufrufen, um ein Handle für ein Zugriffstoken zu erhalten, überprüft das System die angeforderten Zugriffsberechtigungen anhand der DACL im Sicherheitsdeskriptor des Tokens.

Nachfolgend sind gültige Zugriffsrechte für Zugriffstokenobjekte aufgeführt:

  • Die DELETE-, READ_CONTROL-, WRITE_DAC- und WRITE_OWNER Standardzugriffsrechte. Zugriffstoken unterstützen das SYNCHRONIZE-Standardzugriffsrecht nicht.

  • Die ACCESS_SYSTEM_SECURITY rechten, um die SACL im Sicherheitsdeskriptor des Objekts abzurufen oder festzulegen.

  • Die spezifischen Zugriffsrechte für Zugriffstoken, die in der folgenden Tabelle aufgeführt sind.

    Wert Bedeutung
    TOKEN_ADJUST_DEFAULT Erforderlich, um den Standardbesitzer, die primäre Gruppe oder die DACL eines Zugriffstokens zu ändern.
    TOKEN_ADJUST_GROUPS Erforderlich, um die Attribute der Gruppen in einem Zugriffstoken anzupassen.
    TOKEN_ADJUST_PRIVILEGES Erforderlich, um die Berechtigungen in einem Zugriffstoken zu aktivieren oder zu deaktivieren.
    TOKEN_ADJUST_SESSIONID Erforderlich, um die Sitzungs-ID eines Zugriffstokens anzupassen. Die SE_TCB_NAME Berechtigung ist erforderlich.
    TOKEN_ASSIGN_PRIMARY Erforderlich, um ein primäres Token an einen Prozessanzufügen. Die SE_ASSIGNPRIMARYTOKEN_NAME Berechtigung ist auch erforderlich, um diese Aufgabe auszuführen.
    TOKEN_DUPLICATE Erforderlich, um ein Zugriffstoken zu duplizieren.
    TOKEN_EXECUTE Identisch mit STANDARD_RIGHTS_EXECUTE.
    TOKEN_IMPERSONATE Erforderlich zum Anfügen eines Identitätswechselzugriffstokens an einen Prozess.
    TOKEN_QUERY Erforderlich, um ein Zugriffstoken abzufragen.
    TOKEN_QUERY_SOURCE Erforderlich, um die Quelle eines Zugriffstokens abzufragen.
    TOKEN_READ Kombiniert STANDARD_RIGHTS_READ und TOKEN_QUERY.
    TOKEN_WRITE Kombiniert STANDARD_RIGHTS_WRITE, TOKEN_ADJUST_PRIVILEGES, TOKEN_ADJUST_GROUPS und TOKEN_ADJUST_DEFAULT.
    TOKEN_ALL_ACCESS Kombiniert alle möglichen Zugriffsrechte für ein Token.