Diritti di accesso per gli oggetti Access-Token
Un'applicazione non può modificare l'elenco di controllo di accesso di un oggetto a meno che l'applicazione disponga dei diritti a tale scopo. Questi diritti sono controllati da un descrittore di sicurezza nel token di accesso per l'oggetto. Per altre informazioni sulla sicurezza, vedere modello di Controllo di accesso.
Per ottenere o impostare il descrittore di sicurezza per un token di accesso, chiamare le funzioni GetKernelObjectSecurity e SetKernelObjectSecurity.
Quando si chiama la funzione OpenProcessToken o OpenThreadToken per ottenere un handle a un token di accesso, il sistema controlla i diritti di accesso richiesti rispetto all'elenco di controllo livello dati nel descrittore di sicurezza del token.
Di seguito sono riportati i diritti di accesso validi per gli oggetti token di accesso:
Delete, READ_CONTROL, WRITE_DAC e WRITE_OWNER diritti di accesso standard. I token di accesso non supportano il diritto di accesso standard SYNC.
ACCESS_SYSTEM_SECURITY diritto di ottenere o impostare SACL nel descrittore di sicurezza dell'oggetto.
Diritti di accesso specifici per i token di accesso elencati nella tabella seguente.
Valore Significato TOKEN_ADJUST_DEFAULT Obbligatorio per modificare il proprietario predefinito, il gruppo primario o l'elenco dati daCL di un token di accesso. TOKEN_ADJUST_GROUPS Necessario per modificare gli attributi dei gruppi in un token di accesso. TOKEN_ADJUST_PRIVILEGES Obbligatorio per abilitare o disabilitare i privilegi in un token di accesso. TOKEN_ADJUST_SESSIONID Obbligatorio per modificare l'ID sessione di un token di accesso. È necessario il privilegio SE_TCB_NAME. TOKEN_ASSIGN_PRIMARY Obbligatorio per collegare un token primario a un processo. Il privilegio SE_ASSIGNPRIMARYTOKEN_NAME è necessario anche per eseguire questa attività. TOKEN_DUPLICATE Necessario per duplicare un token di accesso. TOKEN_EXECUTE Uguale a STANDARD_RIGHTS_EXECUTE. TOKEN_IMPERSONATE Obbligatorio per collegare un token di accesso di rappresentazione a un processo. TOKEN_QUERY Obbligatorio per eseguire query su un token di accesso. TOKEN_QUERY_SOURCE Obbligatorio per eseguire query sull'origine di un token di accesso. TOKEN_READ Combina STANDARD_RIGHTS_READ e TOKEN_QUERY. TOKEN_WRITE Combina STANDARD_RIGHTS_WRITE, TOKEN_ADJUST_PRIVILEGES, TOKEN_ADJUST_GROUPS e TOKEN_ADJUST_DEFAULT. TOKEN_ALL_ACCESS Combina tutti i diritti di accesso possibili per un token.