Sécurité et droits d’accès de window Station
La sécurité vous permet de contrôler l’accès aux objets de station de fenêtre. Pour plus d’informations sur la sécurité, consultez Access-Control Modèle.
Vous pouvez spécifier un descripteur de sécurité pour un objet de station de fenêtre lorsque vous appelez la fonction CreateWindowStation. Si vous spécifiez NULL, la station de fenêtre obtient un descripteur de sécurité par défaut. Les listes de contrôle d’accès dans le descripteur de sécurité par défaut pour une station de fenêtre proviennent du jeton principal ou d’emprunt d’identité du créateur.
Pour obtenir ou définir le descripteur de sécurité d’un objet de station de fenêtre, appelez les fonctions GetSecurityInfo et SetSecurityInfo.
Lorsque vous appelez la fonction OpenWindowStation, le système vérifie les droits d’accès demandés par rapport au descripteur de sécurité de l’objet.
Les droits d’accès valides pour les objets de la station de fenêtre incluent les droits d’accès standard et certains droits d’accès spécifiques à l’objet. Le tableau suivant répertorie les droits d’accès standard utilisés par tous les objets.
| Valeur | Signification |
|---|---|
| DELETE (0x00010000L) | Obligatoire pour supprimer l’objet. |
| READ_CONTROL (0x00020000L) | Requis pour lire les informations dans le descripteur de sécurité de l’objet, sans inclure les informations dans la liste de contrôle d’accès partagé. Pour lire ou écrire la liste de contrôle d’accès partagé, vous devez demander le droit d’accès ACCESS_SYSTEM_SECURITY. Pour plus d’informations, consultez accès SACL Right. |
| SYNCHRONIZE (0x00100000L) | Non pris en charge pour les objets de station de fenêtre. |
| WRITE_DAC (0x00040000L) | Obligatoire pour modifier la liste dacl dans le descripteur de sécurité de l’objet. |
| WRITE_OWNER (0x00080000L) | Requis pour modifier le propriétaire dans le descripteur de sécurité de l’objet. |
Le tableau suivant répertorie les droits d’accès spécifiques à l’objet.
| Droit d’accès | Description |
|---|---|
| WINSTA_ALL_ACCESS (0x37F) | Tous les droits d’accès possibles pour la station de fenêtre. |
| WINSTA_ACCESSCLIPBOARD (0x0004L) | Obligatoire pour utiliser le Presse-papiers. |
| WINSTA_ACCESSGLOBALATOMS (0x0020L) | Nécessaire pour manipuler des atomes globaux. |
| WINSTA_CREATEDESKTOP (0x0008L) | Obligatoire pour créer de nouveaux objets de bureau sur la station de fenêtre. |
| WINSTA_ENUMDESKTOPS (0x0001L) | Requis pour énumérer les objets de bureau existants. |
| WINSTA_ENUMERATE (0x0100L) | Obligatoire pour que la station de fenêtre soit énumérée. |
| WINSTA_EXITWINDOWS (0x0040L) | Obligatoire pour appeler correctement la fonction ExitWindows ou ExitWindowsEx. Les stations de fenêtre peuvent être partagées par les utilisateurs et ce type d’accès peut empêcher d’autres utilisateurs d’une station de fenêtre de se déconnecter du propriétaire de la station de fenêtre. |
| WINSTA_READATTRIBUTES (0x0002L) | Obligatoire pour lire les attributs d’un objet de station de fenêtre. Cet attribut inclut les paramètres de couleur et d’autres propriétés globales de la station de fenêtre. |
| WINSTA_READSCREEN (0x0200L) | Obligatoire pour accéder au contenu de l’écran. |
| WINSTA_WRITEATTRIBUTES (0x0010L) | Obligatoire pour modifier les attributs d’un objet de station de fenêtre. Les attributs incluent les paramètres de couleur et d’autres propriétés de station de fenêtre globale. |
Voici les droits d’accès génériques pour l’objet de station de fenêtre interactive, qui est la station de fenêtre affectée à la session d’ouverture de session de l’utilisateur interactif.
| Droit d’accès | Description |
|---|---|
| GENERIC_READ |
WINSTA_ENUMDESKTOPS WINSTA_ENUMERATE WINSTA_READATTRIBUTES WINSTA_READSCREEN |
| GENERIC_WRITE |
WINSTA_ACCESSCLIPBOARD WINSTA_CREATEDESKTOP WINSTA_WRITEATTRIBUTES |
| GENERIC_EXECUTE |
WINSTA_ACCESSGLOBALATOMS WINSTA_EXITWINDOWS |
| GENERIC_ALL |
WINSTA_ACCESSCLIPBOARD WINSTA_ACCESSGLOBALATOMS WINSTA_CREATEDESKTOP WINSTA_ENUMDESKTOPS WINSTA_ENUMERATE WINSTA_EXITWINDOWS WINSTA_READATTRIBUTES WINSTA_READSCREEN WINSTA_WRITEATTRIBUTES |
Voici les droits d’accès génériques pour un objet de station de fenêtre noninteractive. Le système affecte des stations de fenêtre non interactives à toutes les sessions d’ouverture de session autres que celles de l’utilisateur interactif.
| Droit d’accès | Description |
|---|---|
| GENERIC_READ |
WINSTA_ENUMDESKTOPS WINSTA_ENUMERATE WINSTA_READATTRIBUTES |
| GENERIC_WRITE |
WINSTA_ACCESSCLIPBOARD WINSTA_CREATEDESKTOP |
| GENERIC_EXECUTE |
WINSTA_ACCESSGLOBALATOMS WINSTA_EXITWINDOWS |
| GENERIC_ALL |
WINSTA_ACCESSCLIPBOARD WINSTA_ACCESSGLOBALATOMS WINSTA_CREATEDESKTOP WINSTA_ENUMDESKTOPS WINSTA_ENUMERATE WINSTA_EXITWINDOWS WINSTA_READATTRIBUTES |
Vous pouvez demander l’accès ACCESS_SYSTEM_SECURITY droit à un objet de station de fenêtre si vous souhaitez lire ou écrire la liste de contrôle d’accès de l’objet. Pour plus d’informations, consultez Access-Control listes de contrôle d’accès (ACL) et accès SACL Right.