Derechos de acceso para objetos de Access-Token

Una aplicación no puede cambiar la lista de control de acceso de un objeto a menos que la aplicación tenga los derechos para hacerlo. Estos derechos se controlan mediante un descriptor de seguridad en el token de acceso del objeto . Para obtener más información sobre la seguridad, consulte Access Control Modelo.

Para obtener o establecer el descriptor de seguridad de un token de acceso, llame a las funciones GetKernelObjectSecurity y SetKernelObjectSecurity .

Al llamar a la función OpenProcessToken o OpenThreadToken para obtener un identificador de un token de acceso, el sistema comprueba los derechos de acceso solicitados con la DACL en el descriptor de seguridad del token.

Estos son los derechos de acceso válidos para los objetos de token de acceso:

  • Los derechos de acceso estándar DELETE, READ_CONTROL, WRITE_DAC y WRITE_OWNER estándar. Los tokens de acceso no admiten el derecho de acceso estándar SYNCHRONIZE.

  • El ACCESS_SYSTEM_SECURITY derecho a obtener o establecer la SACL en el descriptor de seguridad del objeto.

  • Los derechos de acceso específicos para los tokens de acceso, que se enumeran en la tabla siguiente.

    Valor Significado
    TOKEN_ADJUST_DEFAULT Necesario para cambiar el propietario predeterminado, el grupo principal o la DACL de un token de acceso.
    TOKEN_ADJUST_GROUPS Se requiere para ajustar los atributos de los grupos en un token de acceso.
    TOKEN_ADJUST_PRIVILEGES Se requiere para habilitar o deshabilitar los privilegios en un token de acceso.
    TOKEN_ADJUST_SESSIONID Necesario para ajustar el identificador de sesión de un token de acceso. Se requiere el privilegio SE_TCB_NAME.
    TOKEN_ASSIGN_PRIMARY Necesario para adjuntar un token principal a un proceso. El privilegio SE_ASSIGNPRIMARYTOKEN_NAME también es necesario para realizar esta tarea.
    TOKEN_DUPLICATE Necesario para duplicar un token de acceso.
    TOKEN_EXECUTE Igual que STANDARD_RIGHTS_EXECUTE.
    TOKEN_IMPERSONATE Necesario para adjuntar un token de acceso de suplantación a un proceso.
    TOKEN_QUERY Necesario para consultar un token de acceso.
    TOKEN_QUERY_SOURCE Necesario para consultar el origen de un token de acceso.
    TOKEN_READ Combina STANDARD_RIGHTS_READ y TOKEN_QUERY.
    TOKEN_WRITE Combina STANDARD_RIGHTS_WRITE, TOKEN_ADJUST_PRIVILEGES, TOKEN_ADJUST_GROUPS y TOKEN_ADJUST_DEFAULT.
    TOKEN_ALL_ACCESS Combina todos los derechos de acceso posibles para un token.