Sicherheit und Zugriffsrechte für Window Station
Mit der Sicherheit können Sie den Zugriff auf Fensterstationsobjekte steuern. Weitere Informationen zur Sicherheit finden Sie unter Access-Control Model.
Sie können eine Sicherheitsbeschreibung für ein Fensterstationsobjekt angeben, wenn Sie die CreateWindowStation-Funktion aufrufen. Wenn Sie NULL angeben, erhält die Fensterstation einen Standardsicherheitsdeskriptor. Die ACLs in der Standardsicherheitsbeschreibung für eine Fensterstation stammen aus dem primären Token oder Identitätswechseltoken des Erstellers.
Um die Sicherheitsbeschreibung eines Fensterstationsobjekts abzurufen oder festzulegen, rufen Sie die Funktionen GetSecurityInfo und SetSecurityInfo auf.
Wenn Sie die OpenWindowStation-Funktion aufrufen, überprüft das System die angeforderten Zugriffsrechte anhand des Sicherheitsdeskriptors des Objekts.
Die gültigen Zugriffsrechte für Fensterstationsobjekte umfassen die Standardzugriffsrechte und einige objektspezifische Zugriffsrechte. In der folgenden Tabelle sind die Standardzugriffsrechte aufgeführt, die von allen -Objekten verwendet werden.
| Wert | Bedeutung |
|---|---|
| DELETE (0x00010000L) | Erforderlich, um das Objekt zu löschen. |
| READ _ CONTROL (0x00020000L) | Erforderlich, um Informationen in der Sicherheitsbeschreibung für das Objekt zu lesen, ohne die Informationen in der SACL einzulesen. Zum Lesen oder Schreiben der SACL müssen Sie das Zugriffsrecht ACCESS _ SYSTEM _ SECURITY anfordern. Weitere Informationen finden Sie unter SACL-Zugriffsrecht. |
| SYNCHRONIZE (0x00100000L) | Wird für Fensterstationsobjekte nicht unterstützt. |
| WRITE _ DAC (0x00040000L) | Erforderlich, um die DACL in der Sicherheitsbeschreibung für das Objekt zu ändern. |
| WRITE _ OWNER (0x00080000L) | Erforderlich, um den Besitzer in der Sicherheitsbeschreibung für das Objekt zu ändern. |
In der folgenden Tabelle sind die objektspezifischen Zugriffsrechte aufgeführt.
| Zugriffsrecht | BESCHREIBUNG |
|---|---|
| WINSTA _ ALL _ ACCESS (0x37F) | Alle möglichen Zugriffsrechte für die Fensterstation. |
| WINSTA _ ACCESSCLIPBOARD (0x0004L) | Erforderlich, um die Zwischenablage zu verwenden. |
| WINSTA _ ACCESSGLOBALATOMS (0x0020L) | Erforderlich, um globale Atome zu bearbeiten. |
| WINSTA _ CREATEDESKTOP (0x0008L) | Erforderlich, um neue Desktopobjekte auf der Fensterstation zu erstellen. |
| WINSTA _ ENUMDESKTOPS (0x0001L) | Erforderlich, um vorhandene Desktopobjekte aufzuzählen. |
| WINSTA _ ENUMERATE (0x0100L) | Erforderlich, damit die Fensterstation aufzählt wird. |
| WINSTA _ EXITWINDOWS (0x0040L) | Erforderlich, um die Funktion ExitWindows oder ExitWindowsEx erfolgreich aufzurufen. Fensterstationen können von Benutzern gemeinsam genutzt werden, und dieser Zugriffstyp kann verhindern, dass sich andere Benutzer einer Fensterstation vom Besitzer der Fensterstation abmelden. |
| WINSTA _ READATTRIBUTES (0x0002L) | Erforderlich, um die Attribute eines Fensterstationsobjekts zu lesen. Dieses Attribut enthält Farbeinstellungen und andere Globale Fensterstationseigenschaften. |
| WINSTA _ READSCREEN (0x0200L) | Erforderlich für den Zugriff auf Bildschirminhalte. |
| WINSTA _ WRITEATTRIBUTES (0x0010L) | Erforderlich, um die Attribute eines Fensterstationsobjekts zu ändern. Zu den Attributen gehören Farbeinstellungen und andere Globale Fensterstationseigenschaften. |
Im Folgenden sind die generischen Zugriffsrechte für das interaktive Fensterstationsobjekt aufgeführt, bei dem es sich um die Fensterstation handelt, die der Anmeldesitzung des interaktiven Benutzers zugewiesen ist.
| Zugriffsrecht | BESCHREIBUNG |
|---|---|
| GENERIC_READ |
WINSTA_ENUMDESKTOPS WINSTA_ENUMERATE WINSTA_READATTRIBUTES WINSTA_READSCREEN |
| GENERIC_WRITE |
WINSTA_ACCESSCLIPBOARD WINSTA_CREATEDESKTOP WINSTA_WRITEATTRIBUTES |
| GENERIC_EXECUTE |
WINSTA_ACCESSGLOBALATOMS WINSTA_EXITWINDOWS |
| GENERIC_ALL |
WINSTA_ACCESSCLIPBOARD WINSTA_ACCESSGLOBALATOMS WINSTA_CREATEDESKTOP WINSTA_ENUMDESKTOPS WINSTA_ENUMERATE WINSTA_EXITWINDOWS WINSTA_READATTRIBUTES WINSTA_READSCREEN WINSTA_WRITEATTRIBUTES |
Im Folgenden sind die generischen Zugriffsrechte für ein nicht interaktives Fensterstationsobjekt aufgeführt. Das System weist allen Anmeldesitzungen außer dem interaktiven Benutzer nicht interaktive Fensterstationen zu.
| Zugriffsrecht | BESCHREIBUNG |
|---|---|
| GENERIC_READ |
WINSTA_ENUMDESKTOPS WINSTA_ENUMERATE WINSTA_READATTRIBUTES |
| GENERIC_WRITE |
WINSTA_ACCESSCLIPBOARD WINSTA_CREATEDESKTOP |
| GENERIC_EXECUTE |
WINSTA_ACCESSGLOBALATOMS WINSTA_EXITWINDOWS |
| GENERIC_ALL |
WINSTA_ACCESSCLIPBOARD WINSTA_ACCESSGLOBALATOMS WINSTA_CREATEDESKTOP WINSTA_ENUMDESKTOPS WINSTA_ENUMERATE WINSTA_EXITWINDOWS WINSTA_READATTRIBUTES |
Sie können das Zugriffsrecht ACCESS _ SYSTEM SECURITY auf ein _ Fensterstationsobjekt anfordern, wenn Sie die SACL des Objekts lesen oder schreiben möchten. Weitere Informationen finden Sie unter Zugriffssteuerungslisten (ACLs) und SACL-Zugriffsrecht.