SeImpersonatePrivilege和标准用户

Question

我给了Windows Server2008 R2上的标准用户"Joe“SeImpersonatePrivilege，这是网络上唯一的域控制器。Joe不是任何管理员组的成员；当Joe启动一个进程时，它以中等完整性级别运行。

当管理员在服务器上运行"gpresult /z“时，我看到以下部分清单：

    User Rights
    -----------
        GPO: Default Domain Controllers Policy
            Policy:            ImpersonatePrivilege
            Computer Setting:  Administrators
                               Joe
                               LOCAL SERVICE
                               NETWORK SERVICE
                               SERVICE

但是，当Joe运行一个使用GetTokenInformation和LookupPrivilegeName来显示Joe权限的程序时，它会在服务器上生成以下结果：

Integrity level : Medium Process

SeShutdownPrivilege
SeChangeNotifyPrivilege
SeUndockPrivilege
SeIncreaseWorkingSetPrivilege
SeTimeZonePrivilege

Press any key to continue

在工作站上执行以下操作：

Integrity level : Medium Process

SeChangeNotifyPrivilege
SeIncreaseWorkingSetPrivilege

Press any key to continue

我想知道在运行一个中等进程时，Joe是否可以使用SeImpersontatePrivilege，如果可以，如何实现它。我的目标是让Joe使用Get/AcceptSecurityContext在" impersonate“级别模拟其他用户，而不是"Identify"，而不是在工作站或服务器上运行。如果有任何关于这个主题的背景阅读建议，我将非常感激。

Answer 1

根据this article的说法，Joe正在获得一个经过过滤的令牌；由于Joe不是具有特殊特权的组的成员，因此该特权将从Joe的令牌中删除。由于您不能向令牌添加特权，因此我认为实现这一点的唯一方法是将程序作为服务运行(HT到Harry Johnston)，或者将Joe添加到具有特殊特权的组中。