Access-Token 对象的访问权限
除非应用程序有权更改对象访问控制列表,否则应用程序无法更改该列表。 这些权限由 对象的访问令牌中的安全描述符控制。 有关安全性的详细信息,请参阅访问控制模型。
若要获取或设置访问令牌的安全描述符,请调用 GetKernelObjectSecurity 和 SetKernelObjectSecurity 函数。
调用 OpenProcessToken 或 OpenThreadToken 函数以获取访问令牌的句柄时,系统会根据令牌的安全描述符中的 DACL 检查请求 的访问权限 。
以下是访问令牌对象的有效访问权限:
DELETE、READ_CONTROL、WRITE_DAC和WRITE_OWNER 标准访问权限。 访问令牌不支持 SYNCHRONIZE 标准访问权限。
ACCESS_SYSTEM_SECURITY获取或设置对象安全描述符中的 SACL 的权限 。
下表中列出了访问令牌的特定访问权限。
值 含义 TOKEN_ADJUST_DEFAULT 需要更改访问令牌的默认所有者、主组或 DACL。 TOKEN_ADJUST_GROUPS 需要调整访问令牌中组的属性。 TOKEN_ADJUST_PRIVILEGES 启用或禁用访问令牌中的特权所必需的。 TOKEN_ADJUST_SESSIONID 调整访问令牌的会话 ID 所必需的。 需要SE_TCB_NAME特权。 TOKEN_ASSIGN_PRIMARY 需要将 主令牌 附加到 进程。 完成此任务还需要SE_ASSIGNPRIMARYTOKEN_NAME特权。 TOKEN_DUPLICATE 复制访问令牌所必需的。 TOKEN_EXECUTE 与 STANDARD_RIGHTS_EXECUTE 相同。 TOKEN_IMPERSONATE 需要将模拟访问令牌附加到进程。 TOKEN_QUERY 查询访问令牌所必需的。 TOKEN_QUERY_SOURCE 查询访问令牌的源所必需的。 TOKEN_READ 合并STANDARD_RIGHTS_READ和TOKEN_QUERY。 TOKEN_WRITE 合并STANDARD_RIGHTS_WRITE、TOKEN_ADJUST_PRIVILEGES、TOKEN_ADJUST_GROUPS和TOKEN_ADJUST_DEFAULT。 TOKEN_ALL_ACCESS 合并令牌的所有可能的访问权限。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈