是否可以在标准用户令牌(Windows 10)中拥有 SeCreateGlobalPrivilege 权限?

【问题标题】:Is it possible to have SeCreateGlobalPrivilege privilege in standard user token (Windows 10)?是否可以在标准用户令牌(Windows 10)中拥有 SeCreateGlobalPrivilege 权限?
【发布时间】:2017-07-21 18:39:45
【问题描述】:

在我的程序中,我想创建一个可以从任何会话访问的共享内存(带有global\ 前缀)。此外,它应该在标准用户令牌中工作。

到目前为止,AdjustTokenPrivileges() API 以 Error 1300 失败(并非所有引用的权限或组都分配给调用者)。

所以我只是想知道在标准用户令牌中有SeCreateGlobalPrivilege 的可能性。

你能帮忙吗?

【问题讨论】:

  • 你检查组策略了吗?有一个定义谁可以创建全局对象。
  • 是的。我的用户帐户具有管理员权限,并在策略中针对 SeCreateGlobalPrivilege 添加。亮点是我在默认 UAC 中运行应用程序而没有提升。仅供参考。
  • minimal reproducible example,我会考虑在我的机器上测试它。
  • 据我所知,没有办法让 UAC 在受限令牌中保留任何管理员权限。您只能获得通常授予所有用户的五项特权。您没有为我们提供太多背景信息,但在大多数情况下,此类问题的正确解决方案是将应用程序中需要管理员权限的部分移动到系统服务中。

标签: windows-7 windows-10


【解决方案1】:

Microsoft Windows Security 博客中提到,以下权限仅分配给提升的令牌

  • SeIncreaseQuotaPrivilege
  • SeSecurityPrivilege
  • SeTakeOwnershipPrivilege
  • SeLoadDriverPrivilege
  • SeSystemProfilePrivilege
  • SeSystemtimePrivilege
  • SeProfileSingleProcessPrivilege
  • SeIncreaseBasePriorityPrivilege
  • SeCreatePagefilePrivilege
  • SeBackupPrivilege
  • SeRestorePrivilege
  • SeDebugPrivilege
  • SeSystemEnvironmentPrivilege
  • SeRemoteShutdownPrivilege
  • SeManageVolumePrivilege
  • SeImpersonatePrivilege
  • SeCreateGlobalPrivilege
  • SeIncreaseWorkingSetPrivilege
  • SeCreateSymbolicLinkPrivilege

因此,在标准令牌中,不能在上述任何权限上使用AdjustTokenPrivileges

【讨论】:

    猜你喜欢
    • 2015-07-09
    • 2011-08-08
    • 2021-11-27
    • 2018-04-24
    • 2017-12-05
    • 1970-01-01
    • 2012-06-02
    • 2022-01-01
    • 2020-02-27
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode