Access-Token 개체에 대한 액세스 권한

  • 아티클

애플리케이션에 권한이 없는 경우 개체의 액세스 제어 목록을 변경할 수 없습니다. 이러한 권한은 개체에 대한 액세스 토큰의 보안 설명자에 의해 제어됩니다. 보안에 대한 자세한 내용은 Access Control 모델을 참조하세요.

액세스 토큰에 대한 보안 설명자를 얻거나 설정하려면 GetKernelObjectSecuritySetKernelObjectSecurity 함수를 호출합니다.

OpenProcessToken 또는 OpenThreadToken 함수를 호출하여 액세스 토큰에 대한 핸들을 가져오는 경우 시스템은 토큰의 보안 설명자에서 DACL에 대해 요청된 액세스 권한을 확인합니다.

다음은 액세스 토큰 개체에 대한 유효한 액세스 권한입니다.

  • DELETE, READ_CONTROL, WRITE_DAC 및 WRITE_OWNER 표준 액세스 권한입니다. 액세스 토큰은 SYNCHRONIZE 표준 액세스 권한을 지원하지 않습니다.

  • 개체의 보안 설명자에서 SACL을 얻거나 설정할 수 있는 ACCESS_SYSTEM_SECURITY 권한 입니다.

  • 다음 표에 나열된 액세스 토큰에 대한 특정 액세스 권한입니다.

    의미
    TOKEN_ADJUST_DEFAULT 액세스 토큰의 기본 소유자, 기본 그룹 또는 DACL을 변경하는 데 필요합니다.
    TOKEN_ADJUST_GROUPS 액세스 토큰에서 그룹의 특성을 조정하는 데 필요합니다.
    TOKEN_ADJUST_PRIVILEGES 액세스 토큰에서 권한을 사용하거나 사용하지 않도록 설정하는 데 필요합니다.
    TOKEN_ADJUST_SESSIONID 액세스 토큰의 세션 ID를 조정하는 데 필요합니다. SE_TCB_NAME 권한이 필요합니다.
    TOKEN_ASSIGN_PRIMARY 프로세스기본 토큰을 연결하는 데 필요합니다. 이 작업을 수행하려면 SE_ASSIGNPRIMARYTOKEN_NAME 권한도 필요합니다.
    TOKEN_DUPLICATE 액세스 토큰을 복제하는 데 필요합니다.
    TOKEN_EXECUTE STANDARD_RIGHTS_EXECUTE 동일합니다.
    TOKEN_IMPERSONATE 프로세스에 가장 액세스 토큰을 연결하는 데 필요합니다.
    TOKEN_QUERY 액세스 토큰을 쿼리하는 데 필요합니다.
    TOKEN_QUERY_SOURCE 액세스 토큰의 원본을 쿼리하는 데 필요합니다.
    TOKEN_READ STANDARD_RIGHTS_READ 및 TOKEN_QUERY 결합합니다.
    TOKEN_WRITE STANDARD_RIGHTS_WRITE, TOKEN_ADJUST_PRIVILEGES, TOKEN_ADJUST_GROUPS 및 TOKEN_ADJUST_DEFAULT 결합합니다.
    TOKEN_ALL_ACCESS 토큰에 대해 가능한 모든 액세스 권한을 결합합니다.