Meine Frage bezieht sich auf WinAPI CreateRestrictedToken( ) function.
Wie kann ich ein Token erstellen, das es dem Prozess ermöglicht, sich selbst zu initialisieren und zu starten, aber den Zugriff auf alle Dateien auf dem Computer beschränken, mit Ausnahme einiger bestimmter Dateien?
Offensichtlich sollten wir die Anmelde-SID in diesem Token aktivieren (damit der Prozess die Fensterstation verwenden kann). Aber ich bin ein bisschen verwirrt mit SidsToDisable und SidsToRestrict von dieser Funktion. Ihre Verwendung ist mir nicht klar.
Der Plan bestand darin, den Prozess mit nur angemeldeter SID zu starten und dann die Berechtigung zum Anmelden von SID für einige Dateien zu erteilen. Aber es scheint, dass es nicht funktioniert. Also stecke ich fest und brauche wirklich Hilfe.