Condividi tramite

Diritti di accesso per gli oggetti Access-Token

  • Articolo

Un'applicazione non può modificare l'elenco di controllo di accesso di un oggetto a meno che l'applicazione disponga dei diritti a tale scopo. Questi diritti sono controllati da un descrittore di sicurezza nel token di accesso per l'oggetto. Per altre informazioni sulla sicurezza, vedere modello di Controllo di accesso.

Per ottenere o impostare il descrittore di sicurezza per un token di accesso, chiamare le funzioni GetKernelObjectSecurity e SetKernelObjectSecurity.

Quando si chiama la funzione OpenProcessToken o OpenThreadToken per ottenere un handle a un token di accesso, il sistema controlla i diritti di accesso richiesti rispetto all'elenco di controllo livello dati nel descrittore di sicurezza del token.

Di seguito sono riportati i diritti di accesso validi per gli oggetti token di accesso:

  • Delete, READ_CONTROL, WRITE_DAC e WRITE_OWNER diritti di accesso standard. I token di accesso non supportano il diritto di accesso standard SYNC.

  • ACCESS_SYSTEM_SECURITY diritto di ottenere o impostare SACL nel descrittore di sicurezza dell'oggetto.

  • Diritti di accesso specifici per i token di accesso elencati nella tabella seguente.

    Valore Significato
    TOKEN_ADJUST_DEFAULT Obbligatorio per modificare il proprietario predefinito, il gruppo primario o l'elenco dati daCL di un token di accesso.
    TOKEN_ADJUST_GROUPS Necessario per modificare gli attributi dei gruppi in un token di accesso.
    TOKEN_ADJUST_PRIVILEGES Obbligatorio per abilitare o disabilitare i privilegi in un token di accesso.
    TOKEN_ADJUST_SESSIONID Obbligatorio per modificare l'ID sessione di un token di accesso. È necessario il privilegio SE_TCB_NAME.
    TOKEN_ASSIGN_PRIMARY Obbligatorio per collegare un token primario a un processo. Il privilegio SE_ASSIGNPRIMARYTOKEN_NAME è necessario anche per eseguire questa attività.
    TOKEN_DUPLICATE Necessario per duplicare un token di accesso.
    TOKEN_EXECUTE Uguale a STANDARD_RIGHTS_EXECUTE.
    TOKEN_IMPERSONATE Obbligatorio per collegare un token di accesso di rappresentazione a un processo.
    TOKEN_QUERY Obbligatorio per eseguire query su un token di accesso.
    TOKEN_QUERY_SOURCE Obbligatorio per eseguire query sull'origine di un token di accesso.
    TOKEN_READ Combina STANDARD_RIGHTS_READ e TOKEN_QUERY.
    TOKEN_WRITE Combina STANDARD_RIGHTS_WRITE, TOKEN_ADJUST_PRIVILEGES, TOKEN_ADJUST_GROUPS e TOKEN_ADJUST_DEFAULT.
    TOKEN_ALL_ACCESS Combina tutti i diritti di accesso possibili per un token.