Поделиться через


Права доступа для объектов Access-Token

Приложение не может изменить список управления доступом объекта, если приложение не имеет прав на это. Эти права контролируются дескриптором безопасности в маркере доступа для объекта. Дополнительные сведения о безопасности см. в модели управления доступом.

Чтобы получить или задать дескриптора безопасности для маркера доступа, вызовите функции GetKernelObjectSecurity и SetKernelObjectSecurity.

При вызове функции OpenProcessToken или OpenThreadToken, чтобы получить дескриптор доступа, система проверяет запрошенные права доступа в дескрипторе безопасности маркера.

Ниже приведены допустимые права доступа для объектов маркера доступа:

  • Разрешения DELETE, READ_CONTROL, WRITE_DAC и WRITE_OWNER стандартные права доступа. Маркеры доступа не поддерживают стандартное право доступа SYNCHRONIZE.

  • ACCESS_SYSTEM_SECURITY право получить или задать SACL в дескрипторе безопасности объекта.

  • Определенные права доступа для маркеров доступа, перечисленные в следующей таблице.

    Ценность Значение
    TOKEN_ADJUST_DEFAULT Требуется изменить владельца по умолчанию, основной группы или DACL маркера доступа.
    TOKEN_ADJUST_GROUPS Требуется настроить атрибуты групп в маркере доступа.
    TOKEN_ADJUST_PRIVILEGES Требуется для включения или отключения привилегий в маркере доступа.
    TOKEN_ADJUST_SESSIONID Требуется изменить идентификатор сеанса маркера доступа. Требуется SE_TCB_NAME привилегии.
    TOKEN_ASSIGN_PRIMARY Требуется присоединить первичный маркер к процессу . Для выполнения этой задачи также требуется SE_ASSIGNPRIMARYTOKEN_NAME привилегии.
    TOKEN_DUPLICATE Требуется для дублирования маркера доступа.
    TOKEN_EXECUTE То же, что и STANDARD_RIGHTS_EXECUTE.
    TOKEN_IMPERSONATE Требуется для присоединения маркера доступа олицетворения к процессу.
    TOKEN_QUERY Требуется для запроса маркера доступа.
    TOKEN_QUERY_SOURCE Требуется для запроса источника маркера доступа.
    TOKEN_READ Объединяет STANDARD_RIGHTS_READ и TOKEN_QUERY.
    TOKEN_WRITE Объединяет STANDARD_RIGHTS_WRITE, TOKEN_ADJUST_PRIVILEGES, TOKEN_ADJUST_GROUPS и TOKEN_ADJUST_DEFAULT.
    TOKEN_ALL_ACCESS Объединяет все возможные права доступа для маркера.