Condividi tramite

Diritti di accesso per gli oggetti Access-Token

Un'applicazione non può modificare l'elenco di controllo di accesso di un oggetto a meno che l'applicazione non disponga dei diritti necessari. Questi diritti sono controllati da un descrittore di sicurezza nel token di accesso per l'oggetto . Per altre informazioni sulla sicurezza, vedere Access Control Model.

Per ottenere o impostare il descrittore di sicurezza per un token di accesso , chiamare le funzioni di GetKernelObjectSecurity e SetKernelObjectSecurity.

Quando si chiama ilOpenProcessTokeno funzione OpenThreadToken per ottenere un handle a un token di accesso, il sistema controlla i diritti di accesso richiesti rispetto all'elenco di controllo di accesso nel descrittore di sicurezza del token.

Di seguito sono riportati i diritti di accesso validi per gli oggetti token di accesso:

  • I diritti di accesso standard DELETE, READ_CONTROL, WRITE_DAC e WRITE_OWNER. I token di accesso non supportano il diritto di accesso standard SYNCHRONIZE.

  • Il ACCESS_SYSTEM_SECURITY giusto per ottenere o impostare sacl nel descrittore di sicurezza dell'oggetto.

  • I diritti di accesso specifici per i token di accesso, elencati nella tabella seguente.

    Valore Significato
    TOKEN_ADJUST_DEFAULT Obbligatorio per modificare il proprietario predefinito, il gruppo primario o DACL di un token di accesso.
    TOKEN_ADJUST_GROUPS Necessario per modificare gli attributi dei gruppi in un token di accesso.
    TOKEN_ADJUST_PRIVILEGES Obbligatorio per abilitare o disabilitare i privilegi in un token di accesso.
    TOKEN_ADJUST_SESSIONID Obbligatorio per modificare l'ID sessione di un token di accesso. È necessario il privilegio SE_TCB_NAME.
    TOKEN_ASSIGN_PRIMARY Necessario per associare un token primario a un processo di . Per eseguire questa attività è necessario anche il privilegio SE_ASSIGNPRIMARYTOKEN_NAME.
    TOKEN_DUPLICATE Obbligatorio per duplicare un token di accesso.
    TOKEN_EXECUTE Uguale a STANDARD_RIGHTS_EXECUTE.
    TOKEN_IMPERSONATE Obbligatorio per associare un token di accesso di rappresentazione a un processo.
    TOKEN_QUERY Obbligatorio per eseguire query su un token di accesso.
    TOKEN_QUERY_SOURCE Obbligatorio per eseguire una query sull'origine di un token di accesso.
    TOKEN_READ Combina STANDARD_RIGHTS_READ e TOKEN_QUERY.
    TOKEN_WRITE Combina STANDARD_RIGHTS_WRITE, TOKEN_ADJUST_PRIVILEGES, TOKEN_ADJUST_GROUPS e TOKEN_ADJUST_DEFAULT.
    TOKEN_ALL_ACCESS Combina tutti i diritti di accesso possibili per un token.