Права Windows (Примеры) назначаются учетным записям и группам, и по умолчанию встроенный принципал «СЕРВИС» имеет несколько назначенных привилегий, например привилегию «олицетворять пользователя».
Я хочу создать ограниченную учетную запись для службы, у которой нет этой привилегии. Могу ли я каким-то образом установить правило «запретить» для этой привилегии, как это можно использовать с файловыми ACL? Или мне нужно удалить "СЕРВИС" из списка получателей привилегий SeImpersonatePrivilege, чтобы добиться этого? (то, чего я бы предпочел избежать, если смогу, поскольку это может нарушить работу других служб)
Отредактировано, чтобы исправить вызванное облаком мозга слияние двух совершенно не связанных между собой вещей в один чудовищный вопрос.
Нет, права доступа Windows полностью отличаются от ACL файловой системы.
Вы используете Windows API для программной настройки привилегий Windows. Нет графического интерфейса. Они бинарны; привилегии можно добавлять или отнимать, но нет механизма «Запретить», как в списках контроля доступа NTFS и т. д.
Например, мне нужно было импортировать advapi32.dll в свой код для доступа к функции GetTokenInformation (), которая, помимо прочего, содержит привилегии для учетной записи с заданным SID.
Я не уверен, что согласен с вашим утверждением, что группа domain \ Users по умолчанию имеет SeImpersonatePrivilege. Это противоречит любой попытке защитить среду Windows.
Проверьте свою локальную политику безопасности и политики своего домена, разверните «Конфигурация компьютера» -> «Политики» -> «Параметры Windows» -> «Параметры безопасности» -> «Локальные политики» -> «Назначение прав пользователя» и установите флажок «Выдавать себя за клиента после аутентификации». Я нигде не вижу группу "Пользователи".