Alterando privilégios em um token
Você pode alterar os privilégios em um token primário ou de representação de duas maneiras:
- Habilite ou desabilite privilégios usando a função AdjustTokenPrivileges .
- Restrinja ou remova privilégios usando a função CreateRestrictedToken .
AdjustTokenPrivileges não pode adicionar ou remover privilégios do token. Ele só pode habilitar privilégios existentes que estão desabilitados no momento ou desabilitar privilégios existentes que estão habilitados no momento. Para obter exemplos, consulte Habilitando e desabilitando privilégios em C++.
Para atribuir privilégios a uma conta de usuário, consulte Atribuindo privilégios a uma conta.
CreateRestrictedToken tem funcionalidades mais extensas da seguinte maneira:
- Removendo um privilégio. Observe que remover um privilégio não é o mesmo que desabilitar um. Depois que um privilégio é removido de um token, ele não pode ser colocado novamente.
- Anexando o atributo somente negação a SIDs no token. Isso tem o efeito de não permitir grupos ou contas específicos, por exemplo, negar que o grupo Todos exclua o acesso a um arquivo específico. Para obter mais informações sobre como restringir SIDs, consulte Atributos sid em um token de acesso.
- Especificando uma lista de SIDs de restrição no token. Para obter informações sobre como restringir SIDs, consulte Tokens restritos.