Zugriffsrechte für Access-Token-Objekte

Eine Anwendung kann die Zugriffssteuerungsliste eines Objekts nur ändern, wenn die Anwendung über die dafüren Rechte verfügt. Diese Rechte werden durch eine Sicherheitsbeschreibung im Zugriffstoken für das Objekt gesteuert. Weitere Informationen zur Sicherheit finden Sie unter Access Control Model.

Um die Sicherheitsbeschreibung für ein Zugriffstokenabzurufen oder festzulegen, rufen Sie die Funktionen GetKernelObjectSecurity und SetKernelObjectSecurity auf.

Wenn Sie die OpenProcessToken- oder OpenThreadToken-Funktion aufrufen, um ein Handle für ein Zugriffstoken abzurufen, überprüft das System die angeforderten Zugriffsrechte anhand der DACL im Sicherheitsdeskriptor des Tokens.

Im Folgenden sind gültige Zugriffsrechte für Zugriffstokenobjekte enthalten:

  • Die _ Standardzugriffsrechte DELETE, READ CONTROL, WRITE _ DAC und WRITE _ OWNER. Zugriffstoken unterstützen das SYNCHRONIZE-Standardzugriffsrecht nicht.

  • Das _ ACCESS SYSTEM _ SECURITY-Recht zum Abrufen oder Festlegen der SACL im Sicherheitsdeskriptor des Objekts.

  • Die spezifischen Zugriffsrechte für Zugriffstoken, die in der folgenden Tabelle aufgeführt sind.

    Wert Bedeutung
    _ _ TOKENANPASSUNGSSTANDARD Erforderlich, um den Standardbesitzer, die primäre Gruppe oder die DACL eines Zugriffstokens zu ändern.
    ANPASSEN _ VON _ TOKENGRUPPEN Erforderlich, um die Attribute der Gruppen in einem Zugriffstoken anzupassen.
    ANPASSEN _ VON BERECHTIGUNGEN FÜR TOKEN _ Erforderlich, um die Berechtigungen in einem Zugriffstoken zu aktivieren oder zu deaktivieren.
    _ _ TOKENANPASSUNGSSITZUNGS-ID Erforderlich, um die Sitzungs-ID eines Zugriffstokens anzupassen. Die SE _ TCB _ NAME-Berechtigung ist erforderlich.
    TOKEN _ ASSIGN _ PRIMARY Erforderlich, um ein primäres Token an einen Prozessanzufügen. Für diese Aufgabe ist auch die SE _ ASSIGNPRIMARYTOKEN _ NAME-Berechtigung erforderlich.
    _TOKENDUPLIKAT Erforderlich, um ein Zugriffstoken zu duplizieren.
    TOKEN _ EXECUTE Identisch mit STANDARD _ RIGHTS _ EXECUTE.
    TOKEN _ IMPERSONATE Erforderlich, um ein Identitätswechselzugriffstoken an einen Prozess anzufügen.
    _TOKENABFRAGE Erforderlich, um ein Zugriffstoken abzufragen.
    _ _ TOKENABFRAGEQUELLE Erforderlich, um die Quelle eines Zugriffstokens abzufragen.
    _TOKENLESE Kombiniert STANDARD _ RIGHTS READ und TOKEN _ _ QUERY.
    _TOKENSCHREIBVORGANG Kombiniert STANDARD _ RIGHTS _ WRITE, TOKEN _ ADJUST _ PRIVILEGES, TOKEN ADJUST GROUPS und TOKEN _ ADJUST _ _ _ DEFAULT.
    TOKEN _ ALL _ ACCESS Kombiniert alle möglichen Zugriffsrechte für ein Token.