Partager via

Droits d’accès pour les objets Access-Token

  • Article

Une application ne peut pas modifier la liste de contrôle d’accès d’un objet, sauf si l’application a les droits nécessaires. Ces droits sont contrôlés par un descripteur de sécurité dans le jeton d’accès de l’objet. Pour plus d’informations sur la sécurité, consultez modèle de contrôle d’accès.

Pour obtenir ou définir le descripteur de sécurité pour un jeton d’accès , appelez les fonctionsGetKernelObjectSecurityet SetKernelObjectSecurity.

Lorsque vous appelez la fonction OpenProcessToken ou OpenThreadToken pour obtenir un handle vers un jeton d’accès, le système vérifie les droits d’accès demandés par rapport à la liste de contrôle d’accès du jeton dans le descripteur de sécurité du jeton.

Voici les droits d’accès valides pour les objets de jeton d’accès :

  • Les droits d’accès standard DELETE, READ_CONTROL, WRITE_DAC et WRITE_OWNER standard. Les jetons d’accès ne prennent pas en charge le droit d’accès standard SYNCHRONIZE.

  • Le ACCESS_SYSTEM_SECURITY droit pour obtenir ou définir la liste de contrôle d’accès partagé dans le descripteur de sécurité de l’objet.

  • Droits d’accès spécifiques pour les jetons d’accès, répertoriés dans le tableau suivant.

    Valeur Signification
    TOKEN_ADJUST_DEFAULT Requis pour modifier le propriétaire, le groupe principal ou daCL par défaut d’un jeton d’accès.
    TOKEN_ADJUST_GROUPS Obligatoire pour ajuster les attributs des groupes dans un jeton d’accès.
    TOKEN_ADJUST_PRIVILEGES Obligatoire pour activer ou désactiver les privilèges dans un jeton d’accès.
    TOKEN_ADJUST_SESSIONID Requis pour ajuster l’ID de session d’un jeton d’accès. Le privilège SE_TCB_NAME est requis.
    TOKEN_ASSIGN_PRIMARY Obligatoire pour attacher unde jeton principalà un processus . Le privilège SE_ASSIGNPRIMARYTOKEN_NAME est également nécessaire pour accomplir cette tâche.
    TOKEN_DUPLICATE Requis pour dupliquer un jeton d’accès.
    TOKEN_EXECUTE Identique à STANDARD_RIGHTS_EXECUTE.
    TOKEN_IMPERSONATE Requis pour attacher un jeton d’accès d’emprunt d’identité à un processus.
    TOKEN_QUERY Requis pour interroger un jeton d’accès.
    TOKEN_QUERY_SOURCE Requis pour interroger la source d’un jeton d’accès.
    TOKEN_READ Combine STANDARD_RIGHTS_READ et TOKEN_QUERY.
    TOKEN_WRITE Combine STANDARD_RIGHTS_WRITE, TOKEN_ADJUST_PRIVILEGES, TOKEN_ADJUST_GROUPS et TOKEN_ADJUST_DEFAULT.
    TOKEN_ALL_ACCESS Combine tous les droits d’accès possibles pour un jeton.