更改令牌中的特权

可以通过两种方式更改主要令牌或模拟令牌中的特权:

AdjustTokenPrivileges 无法添加或删除令牌中的特权。 它只能启用当前已禁用的现有特权或禁用当前启用的现有特权。 有关示例,请参阅 在 C++ 中启用和禁用特权

若要向用户帐户分配权限,请参阅 向帐户分配特权

CreateRestrictedToken 具有更广泛的功能,如下所示:

  • 删除权限。 请注意,删除权限与禁用权限不同。 从令牌中删除权限后,无法将其放回。
  • 将仅拒绝属性附加到令牌中的 SID。 这具有禁止特定组或帐户的效果,例如,拒绝“每个人”组删除对特定文件的访问权限。 有关限制 SID 的详细信息,请参阅 访问令牌中的 SID 属性
  • 指定令牌中限制 SID 的列表。 有关限制 SID 的信息,请参阅 受限令牌