“已过滤”令牌中缺少特权

Question

“已过滤”令牌中缺少特权

禁用 UAC。或者启用 UAC：启用后SECreateSymbolicLinkPrivilege尝试使用非管理员帐户。

解释
这是第 17 条军规。根据我所读的 MS 文档。

如果您的用户帐户中有一个列入黑名单的知名管理组，那么就会创建第二个未提升的令牌。

SeCreateSymbolicLinkPrivilege当从提升令牌生成非提升令牌时，相关内容会被过滤掉。

如果以下任一情况为真，Windows 将为用户创建两个访问令牌：用户的帐户包含以下任何 RID。DOMAIN_GROUP_RID_ADMINS
[
...]
过滤后的令牌包含哪些权限取决于原始令牌是否包含上面列出的任何受限 RIDS。如果令牌中包含任何受限 RID，则所有权限都将被删除，但以下权限除外：
SeChangeNotifyPrivilege
SeShutdownPrivilege
SeUndockPrivilege
SeReserveProcessorPrivilege
SeTimeZonePrivilege

因此，解决方案是完全禁用第二次令牌生成。要么从您的帐户中删除所有提到的组，要么完全禁用 UAC。

（免责声明：Paul Betts 完成了这项工作。我只是添加了一些细节。请在此处查看他的回答：https://stackoverflow.com/questions/15320550/secreatesymboliclinkprivilege-ignored-on-windows-8）

Answer 1

“已过滤”令牌中缺少特权

禁用 UAC。或者启用 UAC：启用后SECreateSymbolicLinkPrivilege尝试使用非管理员帐户。

解释
这是第 17 条军规。根据我所读的 MS 文档。

如果您的用户帐户中有一个列入黑名单的知名管理组，那么就会创建第二个未提升的令牌。

SeCreateSymbolicLinkPrivilege当从提升令牌生成非提升令牌时，相关内容会被过滤掉。

来自MSDN：用户界面权限隔离 (UIPI)：

如果以下任一情况为真，Windows 将为用户创建两个访问令牌：用户的帐户包含以下任何 RID。DOMAIN_GROUP_RID_ADMINS
[
...]
过滤后的令牌包含哪些权限取决于原始令牌是否包含上面列出的任何受限 RIDS。如果令牌中包含任何受限 RID，则所有权限都将被删除，但以下权限除外：
SeChangeNotifyPrivilege
SeShutdownPrivilege
SeUndockPrivilege
SeReserveProcessorPrivilege
SeTimeZonePrivilege

因此，解决方案是完全禁用第二次令牌生成。要么从您的帐户中删除所有提到的组，要么完全禁用 UAC。

（免责声明：Paul Betts 完成了这项工作。我只是添加了一些细节。请在此处查看他的回答：https://stackoverflow.com/questions/15320550/secreatesymboliclinkprivilege-ignored-on-windows-8）

答案1

“已过滤”令牌中缺少特权

相关内容