Access-Token物件的存取權限

除非應用程式有權這麼做,否則應用程式無法變更物件的存取控制清單。 這些許可權是由 物件存取權杖中的安全性描述元所控制。 如需安全性的詳細資訊,請參閱存取控制模型

若要取得或設定存取權杖的安全性描述元,請呼叫GetKernelObjectSecurity 和 SetKernelObjectSecurity函式。

當您呼叫 OpenProcessTokenOpenThreadToken 函式以取得存取權杖的控制碼時,系統會針對權杖安全性描述元中的 DACL 檢查所要求的 存取權限

以下是存取權杖物件的有效存取權限:

  • DELETE、READ_CONTROL、WRITE_DAC和WRITE_OWNER 標準存取權限。 存取權杖不支援 SYNCHRONIZE 標準存取權。

  • 在物件的安全性描述元中取得或設定 SACL 的ACCESS_SYSTEM_SECURITY許可權

  • 下表所列之存取權杖的特定存取權限。

    意義
    TOKEN_ADJUST_DEFAULT 需要變更存取權杖的預設擁有者、主要群組或 DACL。
    TOKEN_ADJUST_GROUPS 需要調整存取權杖中群組的屬性。
    TOKEN_ADJUST_PRIVILEGES 啟用或停用存取權杖中許可權的必要專案。
    TOKEN_ADJUST_SESSIONID 需要調整存取權杖的會話識別碼。 需要SE_TCB_NAME許可權。
    TOKEN_ASSIGN_PRIMARY 主要權杖 附加至 進程的必要專案。 完成這項工作也需要SE_ASSIGNPRIMARYTOKEN_NAME許可權。
    TOKEN_DUPLICATE 需要複製存取權杖。
    TOKEN_EXECUTE 與STANDARD_RIGHTS_EXECUTE相同。
    TOKEN_IMPERSONATE 將模擬存取權杖附加至進程的必要專案。
    TOKEN_QUERY 查詢存取權杖的必要專案。
    TOKEN_QUERY_SOURCE 需要查詢存取權杖的來源。
    TOKEN_READ 結合STANDARD_RIGHTS_READ和TOKEN_QUERY。
    TOKEN_WRITE 結合STANDARD_RIGHTS_WRITE、TOKEN_ADJUST_PRIVILEGES、TOKEN_ADJUST_GROUPS和TOKEN_ADJUST_DEFAULT。
    TOKEN_ALL_ACCESS 結合權杖的所有可能存取權限。