用户访问对象的访问权限
 
应用程序不能更改的对象的访问控制列表,除非应用程序有这样做的权利。这些权利是一个安全描述符控制对象的访问令牌。如需有关安全性的详细信息,请参阅访问控制模型。
 
获取或设置一个访问令牌的安全描述符,调用的GetKernelObjectSecurity和SetKernelObjectSecurity功能。
 
当您调用OpenProcessToken或OpenThreadToken函数来获得一个句柄到一个访问令牌,系统将检查对请求的访问权限的DACL令牌的安全描述符。
 
以下是访问令牌对象的有效访问权限:
 
DELETE,READ_CONTROL,WRITE_DAC,WRITE_OWNER的标准访问权限。访问令牌不支持同步标准访问权。
在ACCESS_SYSTEM_SECURITY有权获得或设置对象的安全描述符中的SACL。
 
访问令牌的特定的访问权限,这是下表中列出。
 
TOKEN_ADJUST_DEFAULT需要改变默认的所有者,组,或一个访问令牌DACL。
 
TOKEN_ADJUST_GROUPS需要调整访问令牌组的属性。
 
TOKEN_ADJUST_PRIVILEGES需要启用或禁用在一个访问令牌的特权。
 
TOKEN_ADJUST_SESSIONID需要调整的一个访问令牌的会话ID。 SE_TCB_NAME权限是必需的。
 
TOKEN_ASSIGN_PRIMARY要求附加一个主令牌进程SE_ASSIGNPRIMARYTOKEN_NAME特权还需要完成这项任务。
 
TOKEN_DUPLICATE所需的重复访问令牌。 TOKEN_EXECUTE相等于STANDARD_RIGHTS_EXECUTE和TOKEN_IMPERSONATE。
 
TOKEN_IMPERSONATE必须附上一个模拟进程访问令牌。
 
TOKEN_QUERY必需的查询访问​​令牌。
 
TOKEN_QUERY_SOURCE要求查询一个访问令牌源。
 
TOKEN_READ相等于STANDARD_RIGHTS_READ和TOKEN_QUERY。
 
TOKEN_WRITE相等于STANDARD_RIGHTS_WRITE,TOKEN_ADJUST_PRIVILEGES,TOKEN_ADJUST_GROUPS和
TOKEN_ADJUST_DEFAULT。
 
TOKEN_ALL_ACCESS结合了所有可能的访问权限令牌。