Права доступа для объектов Access-Token
Приложение не может изменить список управления доступом объекта, если приложение не имеет прав на это. Эти права контролируются дескриптором безопасности в маркере доступа для объекта. Дополнительные сведения о безопасности см. в модели управления доступом.
Чтобы получить или задать дескриптора безопасности для маркера доступа, вызовите функции GetKernelObjectSecurity и SetKernelObjectSecurity.
При вызове функции OpenProcessToken или OpenThreadToken, чтобы получить дескриптор доступа, система проверяет запрошенные права доступа в дескрипторе безопасности маркера.
Ниже приведены допустимые права доступа для объектов маркера доступа:
Разрешения DELETE, READ_CONTROL, WRITE_DAC и WRITE_OWNER стандартные права доступа. Маркеры доступа не поддерживают стандартное право доступа SYNCHRONIZE.
ACCESS_SYSTEM_SECURITY право получить или задать SACL в дескрипторе безопасности объекта.
Определенные права доступа для маркеров доступа, перечисленные в следующей таблице.
Ценность Значение TOKEN_ADJUST_DEFAULT Требуется изменить владельца по умолчанию, основной группы или DACL маркера доступа. TOKEN_ADJUST_GROUPS Требуется настроить атрибуты групп в маркере доступа. TOKEN_ADJUST_PRIVILEGES Требуется для включения или отключения привилегий в маркере доступа. TOKEN_ADJUST_SESSIONID Требуется изменить идентификатор сеанса маркера доступа. Требуется SE_TCB_NAME привилегии. TOKEN_ASSIGN_PRIMARY Требуется присоединить первичный маркер к процессу . Для выполнения этой задачи также требуется SE_ASSIGNPRIMARYTOKEN_NAME привилегии. TOKEN_DUPLICATE Требуется для дублирования маркера доступа. TOKEN_EXECUTE То же, что и STANDARD_RIGHTS_EXECUTE. TOKEN_IMPERSONATE Требуется для присоединения маркера доступа олицетворения к процессу. TOKEN_QUERY Требуется для запроса маркера доступа. TOKEN_QUERY_SOURCE Требуется для запроса источника маркера доступа. TOKEN_READ Объединяет STANDARD_RIGHTS_READ и TOKEN_QUERY. TOKEN_WRITE Объединяет STANDARD_RIGHTS_WRITE, TOKEN_ADJUST_PRIVILEGES, TOKEN_ADJUST_GROUPS и TOKEN_ADJUST_DEFAULT. TOKEN_ALL_ACCESS Объединяет все возможные права доступа для маркера.