Поделиться через


Права доступа к объектам Access-Token

Приложение не может изменить список управления доступом к объекту, если приложение не имеет на это права. Эти права управляются дескриптором безопасности в маркере доступа для объекта . Дополнительные сведения о безопасности см. в разделе Модель контроль доступа.

Чтобы получить или задать дескриптор безопасности для маркера доступа, вызовите функции GetKernelObjectSecurity и SetKernelObjectSecurity .

При вызове функции OpenProcessToken или OpenThreadToken для получения дескриптора маркера доступа система проверяет запрошенные права доступа по daCL в дескрипторе безопасности маркера.

Ниже приведены допустимые права доступа для объектов маркера доступа.

  • Стандартные права доступа DELETE, READ_CONTROL, WRITE_DAC и WRITE_OWNER. Маркеры доступа не поддерживают стандартное право доступа SYNCHRONIZE.

  • ACCESS_SYSTEM_SECURITY право на получение или настройку saCL в дескрипторе безопасности объекта.

  • Конкретные права доступа для маркеров доступа, перечисленные в следующей таблице.

    Значение Значение
    TOKEN_ADJUST_DEFAULT Требуется для изменения владельца по умолчанию, основной группы или DACL маркера доступа.
    TOKEN_ADJUST_GROUPS Требуется для настройки атрибутов групп в маркере доступа.
    TOKEN_ADJUST_PRIVILEGES Требуется для включения или отключения привилегий в маркере доступа.
    TOKEN_ADJUST_SESSIONID Требуется для настройки идентификатора сеанса маркера доступа. Требуется SE_TCB_NAME привилегия.
    TOKEN_ASSIGN_PRIMARY Требуется для присоединения основного маркера к процессу. Для выполнения этой задачи также требуется привилегия SE_ASSIGNPRIMARYTOKEN_NAME.
    TOKEN_DUPLICATE Требуется для дублирования маркера доступа.
    TOKEN_EXECUTE То же, что и STANDARD_RIGHTS_EXECUTE.
    TOKEN_IMPERSONATE Требуется для присоединения маркера доступа олицетворения к процессу.
    TOKEN_QUERY Требуется для запроса маркера доступа.
    TOKEN_QUERY_SOURCE Требуется для запроса источника маркера доступа.
    TOKEN_READ Объединяет STANDARD_RIGHTS_READ и TOKEN_QUERY.
    TOKEN_WRITE Объединяет STANDARD_RIGHTS_WRITE, TOKEN_ADJUST_PRIVILEGES, TOKEN_ADJUST_GROUPS и TOKEN_ADJUST_DEFAULT.
    TOKEN_ALL_ACCESS Объединяет все возможные права доступа для маркера.