Dela via

Åtkomsträttigheter för Access-Token-objekt

  • Artikel

Ett program kan inte ändra åtkomstkontrollistan för ett objekt om inte programmet har behörighet att göra det. Dessa rättigheter styrs av en säkerhetsbeskrivning i åtkomsttoken för objektet. Mer information om säkerhet finns i Access Control Model.

Om du vill hämta eller ange säkerhetsbeskrivning för en åtkomsttokenanropar du funktionerna GetKernelObjectSecurity och SetKernelObjectSecurity.

När du anropar funktionen OpenProcessToken eller OpenThreadToken för att hämta en referens till en åtkomsttoken kontrollerar systemet den begärda åtkomstbehörigheter mot DACL i tokens säkerhetsbeskrivning.

Följande är giltiga åtkomsträttigheter för åtkomsttokenobjekt:

  • Delete, READ_CONTROL, WRITE_DAC och WRITE_OWNER standardåtkomsträttigheter. Åtkomsttoken stöder inte standardåtkomstbehörigheten SYNKRONISERA.

  • ACCESS_SYSTEM_SECURITY rätt för att hämta eller ange SACL i objektets säkerhetsbeskrivning.

  • De specifika åtkomsträttigheterna för åtkomsttoken, som visas i följande tabell.

    Värde Betydelse
    TOKEN_ADJUST_DEFAULT Krävs för att ändra standardägare, primär grupp eller DACL för en åtkomsttoken.
    TOKEN_ADJUST_GROUPS Krävs för att justera attributen för grupperna i en åtkomsttoken.
    TOKEN_ADJUST_PRIVILEGES Krävs för att aktivera eller inaktivera behörigheterna i en åtkomsttoken.
    TOKEN_ADJUST_SESSIONID Krävs för att justera sessions-ID för en åtkomsttoken. Behörigheten SE_TCB_NAME krävs.
    TOKEN_ASSIGN_PRIMARY Krävs för att koppla en primär token till en process. Den SE_ASSIGNPRIMARYTOKEN_NAME behörigheten krävs också för att utföra den här uppgiften.
    TOKEN_DUPLICATE Krävs för att duplicera en åtkomsttoken.
    TOKEN_EXECUTE Samma som STANDARD_RIGHTS_EXECUTE.
    TOKEN_IMPERSONATE Krävs för att koppla en personifieringsåtkomsttoken till en process.
    TOKEN_QUERY Krävs för att köra frågor mot en åtkomsttoken.
    TOKEN_QUERY_SOURCE Krävs för att fråga källan till en åtkomsttoken.
    TOKEN_READ Kombinerar STANDARD_RIGHTS_READ och TOKEN_QUERY.
    TOKEN_WRITE Kombinerar STANDARD_RIGHTS_WRITE, TOKEN_ADJUST_PRIVILEGES, TOKEN_ADJUST_GROUPS och TOKEN_ADJUST_DEFAULT.
    TOKEN_ALL_ACCESS Kombinerar alla möjliga åtkomsträttigheter för en token.