Права доступа к объектам Access-Token
Приложение не может изменить список управления доступом к объекту, если приложение не имеет на это права. Эти права управляются дескриптором безопасности в маркере доступа для объекта . Дополнительные сведения о безопасности см. в разделе Модель контроль доступа.
Чтобы получить или задать дескриптор безопасности для маркера доступа, вызовите функции GetKernelObjectSecurity и SetKernelObjectSecurity .
При вызове функции OpenProcessToken или OpenThreadToken для получения дескриптора маркера доступа система проверяет запрошенные права доступа по daCL в дескрипторе безопасности маркера.
Ниже приведены допустимые права доступа для объектов маркера доступа.
Стандартные права доступа DELETE, READ_CONTROL, WRITE_DAC и WRITE_OWNER. Маркеры доступа не поддерживают стандартное право доступа SYNCHRONIZE.
ACCESS_SYSTEM_SECURITY право на получение или настройку saCL в дескрипторе безопасности объекта.
Конкретные права доступа для маркеров доступа, перечисленные в следующей таблице.
Значение Значение TOKEN_ADJUST_DEFAULT Требуется для изменения владельца по умолчанию, основной группы или DACL маркера доступа. TOKEN_ADJUST_GROUPS Требуется для настройки атрибутов групп в маркере доступа. TOKEN_ADJUST_PRIVILEGES Требуется для включения или отключения привилегий в маркере доступа. TOKEN_ADJUST_SESSIONID Требуется для настройки идентификатора сеанса маркера доступа. Требуется SE_TCB_NAME привилегия. TOKEN_ASSIGN_PRIMARY Требуется для присоединения основного маркера к процессу. Для выполнения этой задачи также требуется привилегия SE_ASSIGNPRIMARYTOKEN_NAME. TOKEN_DUPLICATE Требуется для дублирования маркера доступа. TOKEN_EXECUTE То же, что и STANDARD_RIGHTS_EXECUTE. TOKEN_IMPERSONATE Требуется для присоединения маркера доступа олицетворения к процессу. TOKEN_QUERY Требуется для запроса маркера доступа. TOKEN_QUERY_SOURCE Требуется для запроса источника маркера доступа. TOKEN_READ Объединяет STANDARD_RIGHTS_READ и TOKEN_QUERY. TOKEN_WRITE Объединяет STANDARD_RIGHTS_WRITE, TOKEN_ADJUST_PRIVILEGES, TOKEN_ADJUST_GROUPS и TOKEN_ADJUST_DEFAULT. TOKEN_ALL_ACCESS Объединяет все возможные права доступа для маркера.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по