何时使用 SeTcbPrivilege？ （“作为操作系统的一部分。）

Question

Windows 中的 SeTcbPrivilege 权限用于什么目的？例如，它可以用来在 SYSTEM 帐户下运行程序吗？

Answer 1

作为操作系统的一部分，您可以执行创建登录令牌等操作。除非您正在编写身份验证提供程序，否则您不太可能需要编写使用此权限的服务。

由于您可以创建访问令牌，因此您可以充当任何用户。当然，这意味着您可以在 SYSTEM 帐户下运行程序，但是还有更简单的方法可以以 SYSTEM 身份运行某些程序。

Answer 2

为了补充加布的答案，这是MS所说的，

允许进程假设任何用户的身份，从而获得
访问用户有权访问的资源。
通常，只有低级身份验证服务需要此功能
特权。

默认设置：未分配。

请注意，潜在的访问权限并不限于与以下内容相关的内容：
默认用户；调用进程可能会请求任意
额外的权限被添加到访问令牌中。召唤
进程还可能构建一个不提供访问令牌的访问令牌
用于跟踪审核日志中的事件的主要身份。

当服务需要此权限时，将服务配置为记录
使用本地系统帐户，它具有固有的权限。
不要创建单独的帐户并向其分配权限。

来源：Microsoft TechNet

Answer 3

SeTcbPrivilege 对于调试目的非常有用。例如，如果您正在开发必须在系统帐户下运行并执行模拟操作的 Windows 服务，则可以方便地将此服务作为独立的 exe 运行。 SeTcbPrivilege 将允许执行此操作。