Здравствуйте, ononim, Вы писали:

O>Я не копался как они этот токен делают. Но думаю не обязательно CreateRestrictedToken (aka NtFilterToken). Скорее всего создают готовый токен в NtCreateToken, там привилегии указываются. А учетками, оснастками etc занимается сам lsass, — все это лишь абстракции над NtCreateToken. С помощью NtCreateToken мона нафантазировать абсолютно любой токен — с любыми группами, привилегиями etc причем совершенно независимо от того, че там наконфигурено в настройках юзеров.

Согласен, я под ограниченным и не имел в виду фильтрованный, неудачно выразился. Просто специальный маркер с неполным набором прав.

Если SeCreateTokenPriviledge осталась в висте доступна через политики, то в принципе можно при инсталляции создать специальную учётку с нужными настройками, в том числе и SeCreateToken, и назначить запуск службы от неё. Другой вопрос, поможет ли это топикстартеру. Я вот как-то никогда не интересовался возможностью подмены Logon Sid, а сейчас попробовал поискать в сети — что-то глухо

JR>>MS может заначить нужный маркер, например. Или даже обратиться за помощью к lsass.
O>Врядли.

Да, я тоже сомневаюсь, откровенно говоря.