用户文件夹中的CreateFile上的访问被拒绝

时间:2013-06-14 13:11:11

标签: security token createfile

从一个运行USER1帐户的应用程序,我想访问位于C:\ Users \ ADMIN

下的文件

USER1是受限制的,ADMIN是管理员帐户。

该进程具有从LogonUser api获取的管理令牌,并尝试使用ImpersonateLoggedOnUser和SetThreadToken(使用DuplicateToken / SecurityImpersonation),但在这两种情况下,当我调用CreateFile时,我都会收到ERROR_BAD_IMPERSONATION_LEVEL错误。

我几乎可以肯定我必须处理安全问题,但不知道如何处理。

1 个答案:

答案 0 :(得分:0)

问题是目标进程需要具有SeImpersonateUser权限,默认情况下仅在SYSTEM进程中可用。

当线程被模拟时,因为该过程没有所需的权限,api将成功但实际级别将是委托而不是模拟和{ {1}}因此而失败。