Droits d’accès pour les objets Access-Token
Une application ne peut pas modifier la liste de contrôle d’accès d’un objet, sauf si l’application dispose des droits nécessaires. Ces droits sont contrôlés par un descripteur de sécurité dans le jeton d’accès de l’objet. Pour plus d’informations sur la sécurité, consultez modèle Access Control.
Pour obtenir ou définir le descripteur de sécurité d’un jeton d’accès, appelez les fonctions GetKernelObjectSecurity et SetKernelObjectSecurity .
Lorsque vous appelez la fonction OpenProcessToken ou OpenThreadToken pour obtenir un handle sur un jeton d’accès, le système vérifie les droits d’accès demandés par rapport à la liste de contrôle d’accès dans le descripteur de sécurité du jeton.
Voici des droits d’accès valides pour les objets de jeton d’accès :
Les droits d’accès DELETE, READ_CONTROL, WRITE_DAC et WRITE_OWNER standard. Les jetons d’accès ne prennent pas en charge le droit d’accès standard SYNCHRONIZE.
L’ACCESS_SYSTEM_SECURITY droit d’obtenir ou de définir la liste SACL dans le descripteur de sécurité de l’objet.
Droits d’accès spécifiques pour les jetons d’accès, qui sont répertoriés dans le tableau suivant.
Valeur Signification TOKEN_ADJUST_DEFAULT Obligatoire pour modifier le propriétaire par défaut, le groupe principal ou la liste de contrôle d’accès d’un jeton d’accès. TOKEN_ADJUST_GROUPS Obligatoire pour ajuster les attributs des groupes dans un jeton d’accès. TOKEN_ADJUST_PRIVILEGES Obligatoire pour activer ou désactiver les privilèges dans un jeton d’accès. TOKEN_ADJUST_SESSIONID Obligatoire pour ajuster l’ID de session d’un jeton d’accès. Le privilège SE_TCB_NAME est requis. TOKEN_ASSIGN_PRIMARY Obligatoire pour attacher un jeton principal à un processus. Le privilège SE_ASSIGNPRIMARYTOKEN_NAME est également requis pour accomplir cette tâche. TOKEN_DUPLICATE Obligatoire pour dupliquer un jeton d’accès. TOKEN_EXECUTE Identique à STANDARD_RIGHTS_EXECUTE. TOKEN_IMPERSONATE Obligatoire pour attacher un jeton d’accès d’emprunt d’identité à un processus. TOKEN_QUERY Obligatoire pour interroger un jeton d’accès. TOKEN_QUERY_SOURCE Obligatoire pour interroger la source d’un jeton d’accès. TOKEN_READ Combine STANDARD_RIGHTS_READ et TOKEN_QUERY. TOKEN_WRITE Combine STANDARD_RIGHTS_WRITE, TOKEN_ADJUST_PRIVILEGES, TOKEN_ADJUST_GROUPS et TOKEN_ADJUST_DEFAULT. TOKEN_ALL_ACCESS Combine tous les droits d’accès possibles pour un jeton.