Derechos de acceso para objetos de Access-Token
Artículo 03/13/2025
8 colaboradores
Comentarios
En este artículo
Una aplicación no puede cambiar la lista de control de acceso de un objeto a menos que la aplicación tenga los derechos para hacerlo. Estos derechos se controlan mediante un descriptor de seguridad en el token de acceso para el objeto . Para obtener más información sobre la seguridad, vea Modelo de control de acceso .
Para obtener o establecer el de descriptor de seguridad de para un token de acceso de , llame a las funciones deGetKernelObjectSecurity GetKernelObjectSecurity y SetKernelObjectSecurity.
Al llamar a la función OpenProcessToken o OpenThreadToken para obtener un identificador de un token de acceso, el sistema comprueba los derechos de acceso solicitados en la DACL en el descriptor de seguridad del token.
Los siguientes son derechos de acceso válidos para objetos de token de acceso:
Los derechos de acceso estándar DELETE, READ_CONTROL, WRITE_DAC y WRITE_OWNER . Los tokens de acceso no admiten el derecho de acceso estándar SYNCHRONIZE.
La ACCESS_SYSTEM_SECURITY derecha para obtener o establecer la SACL en el descriptor de seguridad del objeto.
Los derechos de acceso específicos para los tokens de acceso, que se enumeran en la tabla siguiente.
Valor
Significado
TOKEN_ADJUST_DEFAULT
Necesario para cambiar el propietario predeterminado, el grupo principal o DACL de un token de acceso.
TOKEN_ADJUST_GROUPS
Necesario para ajustar los atributos de los grupos en un token de acceso.
TOKEN_ADJUST_PRIVILEGES
Necesario para habilitar o deshabilitar los privilegios en un token de acceso.
TOKEN_ADJUST_SESSIONID
Necesario para ajustar el identificador de sesión de un token de acceso. Se requiere el privilegio SE_TCB_NAME.
TOKEN_ASSIGN_PRIMARY
Necesario para adjuntar un token principal de a un proceso de . También se requiere el privilegio SE_ASSIGNPRIMARYTOKEN_NAME para realizar esta tarea.
TOKEN_DUPLICATE
Necesario para duplicar un token de acceso.
TOKEN_EXECUTE
Igual que STANDARD_RIGHTS_EXECUTE.
TOKEN_IMPERSONATE
Necesario para adjuntar un token de acceso de suplantación a un proceso.
TOKEN_QUERY
Necesario para consultar un token de acceso.
TOKEN_QUERY_SOURCE
Necesario para consultar el origen de un token de acceso.
TOKEN_READ
Combina STANDARD_RIGHTS_READ y TOKEN_QUERY.
TOKEN_WRITE
Combina STANDARD_RIGHTS_WRITE, TOKEN_ADJUST_PRIVILEGES, TOKEN_ADJUST_GROUPS y TOKEN_ADJUST_DEFAULT.
TOKEN_ALL_ACCESS
Combina todos los derechos de acceso posibles para un token.