Compartir a través de

Derechos de acceso para objetos de Access-Token

  • Artículo

Una aplicación no puede cambiar la lista de control de acceso de un objeto a menos que la aplicación tenga los derechos para hacerlo. Estos derechos se controlan mediante un descriptor de seguridad en el token de acceso para el objeto . Para obtener más información sobre la seguridad, vea Modelo de control de acceso.

Para obtener o establecer el de descriptor de seguridad de para un token de acceso de , llame a las funciones deGetKernelObjectSecurityGetKernelObjectSecurity ySetKernelObjectSecurity.

Al llamar a la función OpenProcessToken o OpenThreadToken para obtener un identificador de un token de acceso, el sistema comprueba los derechos de acceso solicitados en la DACL en el descriptor de seguridad del token.

Los siguientes son derechos de acceso válidos para objetos de token de acceso:

  • Los derechos de acceso estándar DELETE, READ_CONTROL, WRITE_DAC y WRITE_OWNER. Los tokens de acceso no admiten el derecho de acceso estándar SYNCHRONIZE.

  • La ACCESS_SYSTEM_SECURITY derecha para obtener o establecer la SACL en el descriptor de seguridad del objeto.

  • Los derechos de acceso específicos para los tokens de acceso, que se enumeran en la tabla siguiente.

    Valor Significado
    TOKEN_ADJUST_DEFAULT Necesario para cambiar el propietario predeterminado, el grupo principal o DACL de un token de acceso.
    TOKEN_ADJUST_GROUPS Necesario para ajustar los atributos de los grupos en un token de acceso.
    TOKEN_ADJUST_PRIVILEGES Necesario para habilitar o deshabilitar los privilegios en un token de acceso.
    TOKEN_ADJUST_SESSIONID Necesario para ajustar el identificador de sesión de un token de acceso. Se requiere el privilegio SE_TCB_NAME.
    TOKEN_ASSIGN_PRIMARY Necesario para adjuntar un token principal de a un proceso de . También se requiere el privilegio SE_ASSIGNPRIMARYTOKEN_NAME para realizar esta tarea.
    TOKEN_DUPLICATE Necesario para duplicar un token de acceso.
    TOKEN_EXECUTE Igual que STANDARD_RIGHTS_EXECUTE.
    TOKEN_IMPERSONATE Necesario para adjuntar un token de acceso de suplantación a un proceso.
    TOKEN_QUERY Necesario para consultar un token de acceso.
    TOKEN_QUERY_SOURCE Necesario para consultar el origen de un token de acceso.
    TOKEN_READ Combina STANDARD_RIGHTS_READ y TOKEN_QUERY.
    TOKEN_WRITE Combina STANDARD_RIGHTS_WRITE, TOKEN_ADJUST_PRIVILEGES, TOKEN_ADJUST_GROUPS y TOKEN_ADJUST_DEFAULT.
    TOKEN_ALL_ACCESS Combina todos los derechos de acceso posibles para un token.