Dela via


Skrivbordssäkerhet och åtkomsträttigheter

Med säkerhet kan du styra åtkomsten till skrivbordsobjekt. Mer information om säkerhet finns i Access-Control Model.

Du kan ange en säkerhetsbeskrivning för ett skrivbordsobjekt när du anropar funktionen CreateDesktop eller CreateDesktopEx. Om du anger NULL hämtar skrivbordet en standardsäkerhetsbeskrivning. ACL:erna i standardsäkerhetsbeskrivningen för ett skrivbord kommer från den överordnade fönsterstationen.

Om du vill hämta eller ange säkerhetsbeskrivningen för ett fönsterstationsobjekt anropar du funktionerna GetSecurityInfo och SetSecurityInfo.

När du anropar funktionen OpenDesktop eller OpenInputDesktop kontrollerar systemet de begärda åtkomsträttigheterna mot objektets säkerhetsbeskrivning.

De giltiga åtkomsträttigheterna för skrivbordsobjekt omfattar standardåtkomsträttigheter och vissa objektspecifika åtkomsträttigheter. I följande tabell visas de standardåtkomsträttigheter som används av alla objekt.

Värde Betydelse
DELETE (0x00010000L) Krävs för att ta bort objektet.
READ_CONTROL (0x00020000L) Krävs för att läsa information i säkerhetsbeskrivningen för objektet, inte inklusive informationen i SACL. Om du vill läsa eller skriva SACL:en måste du begära ACCESS_SYSTEM_SECURITY åtkomsträtt. Mer information finns i SACL-åtkomsträtt.
SYNKRONISERA (0x00100000L) Stöds inte för skrivbordsobjekt.
WRITE_DAC (0x00040000L) Krävs för att ändra DACL i säkerhetsbeskrivningen för objektet.
WRITE_OWNER (0x00080000L) Krävs för att ändra ägaren i säkerhetsbeskrivningen för objektet.

 

I följande tabell visas de objektspecifika åtkomsträttigheterna.

Åtkomsträtt Beskrivning
DESKTOP_CREATEMENU (0x0004L) Krävs för att skapa en meny på skrivbordet.
DESKTOP_CREATEWINDOW (0x0002L) Krävs för att skapa ett fönster på skrivbordet.
DESKTOP_ENUMERATE (0x0040L) Krävs för att skrivbordet ska räknas upp.
DESKTOP_HOOKCONTROL (0x0008L) Krävs för att upprätta någon av fönsterkrokar.
DESKTOP_JOURNALPLAYBACK (0x0020L) Krävs för att utföra journaluppspelning på ett skrivbord.
DESKTOP_JOURNALRECORD (0x0010L) Krävs för att utföra journalinspelning på ett skrivbord.
DESKTOP_READOBJECTS (0x0001L) Krävs för att läsa objekt på skrivbordet.
DESKTOP_SWITCHDESKTOP (0x0100L) Krävs för att aktivera skrivbordet med hjälp av funktionen SwitchDesktop.
DESKTOP_WRITEOBJECTS (0x0080L) Krävs för att skriva objekt på skrivbordet.

 

Följande är allmänna åtkomsträttigheter för ett skrivbordsobjekt som finns i den interaktiva fönsterstationen för användarens inloggningssession.

Åtkomsträtt Beskrivning
GENERIC_READ
DESKTOP_ENUMERATE
DESKTOP_READOBJECTS
STANDARD_RIGHTS_READ
GENERIC_WRITE
DESKTOP_CREATEMENU
DESKTOP_CREATEWINDOW
DESKTOP_HOOKCONTROL
DESKTOP_JOURNALPLAYBACK
DESKTOP_JOURNALRECORD
DESKTOP_WRITEOBJECTS
STANDARD_RIGHTS_WRITE
GENERIC_EXECUTE
DESKTOP_SWITCHDESKTOP
STANDARD_RIGHTS_EXECUTE
GENERIC_ALL
DESKTOP_CREATEMENU
DESKTOP_CREATEWINDOW
DESKTOP_ENUMERATE
DESKTOP_HOOKCONTROL
DESKTOP_JOURNALPLAYBACK
DESKTOP_JOURNALRECORD
DESKTOP_READOBJECTS
DESKTOP_SWITCHDESKTOP
DESKTOP_WRITEOBJECTS
STANDARD_RIGHTS_REQUIRED

 

Du kan begära ACCESS_SYSTEM_SECURITY åtkomst till ett skrivbordsobjekt om du vill läsa eller skriva objektets SACL. Mer information finns i Access-Control listor (ACL: er) och SACL-åtkomsträtt.