Access-Token 对象的访问权限

除非应用程序有权更改对象访问控制列表，否则应用程序无法更改该列表。 这些权限由 对象的访问令牌中的安全描述符控制。 有关安全性的详细信息，请参阅访问控制模型。

若要获取或设置访问令牌的安全描述符，请调用 GetKernelObjectSecurity 和 SetKernelObjectSecurity 函数。

调用 OpenProcessToken 或 OpenThreadToken 函数以获取访问令牌的句柄时，系统会根据令牌的安全描述符中的 DACL 检查请求 的访问权限 。

以下是访问令牌对象的有效访问权限：

• DELETE、READ_CONTROL、WRITE_DAC和WRITE_OWNER 标准访问权限。 访问令牌不支持 SYNCHRONIZE 标准访问权限。

• ACCESS_SYSTEM_SECURITY获取或设置对象安全描述符中的 SACL 的权限 。

• 下表中列出了访问令牌的特定访问权限。

  值	含义
  TOKEN_ADJUST_DEFAULT	需要更改访问令牌的默认所有者、主组或 DACL。
  TOKEN_ADJUST_GROUPS	需要调整访问令牌中组的属性。
  TOKEN_ADJUST_PRIVILEGES	启用或禁用访问令牌中的特权所必需的。
  TOKEN_ADJUST_SESSIONID	调整访问令牌的会话 ID 所必需的。 需要SE_TCB_NAME特权。
  TOKEN_ASSIGN_PRIMARY	需要将 主令牌 附加到 进程。 完成此任务还需要SE_ASSIGNPRIMARYTOKEN_NAME特权。
  TOKEN_DUPLICATE	复制访问令牌所必需的。
  TOKEN_EXECUTE	与 STANDARD_RIGHTS_EXECUTE 相同。
  TOKEN_IMPERSONATE	需要将模拟访问令牌附加到进程。
  TOKEN_QUERY	查询访问令牌所必需的。
  TOKEN_QUERY_SOURCE	查询访问令牌的源所必需的。
  TOKEN_READ	合并STANDARD_RIGHTS_READ和TOKEN_QUERY。
  TOKEN_WRITE	合并STANDARD_RIGHTS_WRITE、TOKEN_ADJUST_PRIVILEGES、TOKEN_ADJUST_GROUPS和TOKEN_ADJUST_DEFAULT。
  TOKEN_ALL_ACCESS	合并令牌的所有可能的访问权限。