Freigeben über

SE_EXPORTS Struktur (ntifs.h)

  • Artikel

Die SeExports Struktur ist eine große externe statische SE_EXPORTS Struktur, die eine Reihe bekannter Sicherheitskonstanten für Berechtigungswerte und Sicherheitsbezeichner definiert.

Syntax

typedef struct _SE_EXPORTS {
  LUID SeCreateTokenPrivilege;
  LUID SeAssignPrimaryTokenPrivilege;
  LUID SeLockMemoryPrivilege;
  LUID SeIncreaseQuotaPrivilege;
  LUID SeUnsolicitedInputPrivilege;
  LUID SeTcbPrivilege;
  LUID SeSecurityPrivilege;
  LUID SeTakeOwnershipPrivilege;
  LUID SeLoadDriverPrivilege;
  LUID SeCreatePagefilePrivilege;
  LUID SeIncreaseBasePriorityPrivilege;
  LUID SeSystemProfilePrivilege;
  LUID SeSystemtimePrivilege;
  LUID SeProfileSingleProcessPrivilege;
  LUID SeCreatePermanentPrivilege;
  LUID SeBackupPrivilege;
  LUID SeRestorePrivilege;
  LUID SeShutdownPrivilege;
  LUID SeDebugPrivilege;
  LUID SeAuditPrivilege;
  LUID SeSystemEnvironmentPrivilege;
  LUID SeChangeNotifyPrivilege;
  LUID SeRemoteShutdownPrivilege;
  PSID SeNullSid;
  PSID SeWorldSid;
  PSID SeLocalSid;
  PSID SeCreatorOwnerSid;
  PSID SeCreatorGroupSid;
  PSID SeNtAuthoritySid;
  PSID SeDialupSid;
  PSID SeNetworkSid;
  PSID SeBatchSid;
  PSID SeInteractiveSid;
  PSID SeLocalSystemSid;
  PSID SeAliasAdminsSid;
  PSID SeAliasUsersSid;
  PSID SeAliasGuestsSid;
  PSID SeAliasPowerUsersSid;
  PSID SeAliasAccountOpsSid;
  PSID SeAliasSystemOpsSid;
  PSID SeAliasPrintOpsSid;
  PSID SeAliasBackupOpsSid;
  PSID SeAuthenticatedUsersSid;
  PSID SeRestrictedSid;
  PSID SeAnonymousLogonSid;
  LUID SeUndockPrivilege;
  LUID SeSyncAgentPrivilege;
  LUID SeEnableDelegationPrivilege;
  PSID SeLocalServiceSid;
  PSID SeNetworkServiceSid;
  LUID SeManageVolumePrivilege;
  LUID SeImpersonatePrivilege;
  LUID SeCreateGlobalPrivilege;
  LUID SeTrustedCredManAccessPrivilege;
  LUID SeRelabelPrivilege;
  LUID SeIncreaseWorkingSetPrivilege;
  LUID SeTimeZonePrivilege;
  LUID SeCreateSymbolicLinkPrivilege;
  PSID SeIUserSid;
  PSID SeUntrustedMandatorySid;
  PSID SeLowMandatorySid;
  PSID SeMediumMandatorySid;
  PSID SeHighMandatorySid;
  PSID SeSystemMandatorySid;
  PSID SeOwnerRightsSid;
  PSID SeAllAppPackagesSid;
  PSID SeUserModeDriversSid;
  PSID SeProcTrustWinTcbSid;
  PSID SeTrustedInstallerSid;
  LUID SeDelegateSessionUserImpersonatePrivilege;
  PSID SeAppSiloSid;
  PSID SeAppSiloVolumeRootMinimalCapabilitySid;
  PSID SeAppSiloProfilesRootMinimalCapabilitySid;
  PSID SeAppSiloPromptForAccessCapabilitySid;
  PSID SeAppSiloAccessToPublisherDirectoryCapabilitySid;
} SE_EXPORTS, *PSE_EXPORTS;

Angehörige

SeCreateTokenPrivilege

Die Berechtigung, die zum Erstellen eines primären Zugriffstokens erforderlich ist.

Benutzermodusanwendungen stellen diese Berechtigung als folgende benutzerrechten Zeichenfolge dar: "Erstellen eines Tokenobjekts".

SeAssignPrimaryTokenPrivilege

Die Berechtigung, die zum Zuweisen des primären Tokens eines Prozesses erforderlich ist. Mit den Berechtigungen kann ein übergeordneter Prozess das Zugriffstoken ersetzen, das einem untergeordneten Prozess zugeordnet ist.

Benutzermodusanwendungen stellen diese Berechtigung als folgende benutzerrechten Zeichenfolge dar: "Ersetzen eines Token auf Prozessebene".

SeLockMemoryPrivilege

Die Berechtigung, die zum Sperren physischer Seiten im Arbeitsspeicher erforderlich ist. Diese Berechtigung ermöglicht es einem Prozess, Daten im physischen Speicher zu speichern, wodurch verhindert wird, dass das System die Daten auf einen virtuellen Speicher auf einem Datenträger auslagerungt.

Benutzermodusanwendungen stellen diese Berechtigung als folgende benutzerrechten Zeichenfolge dar: "Erforderlich, um physische Seiten im Arbeitsspeicher zu sperren".

SeIncreaseQuotaPrivilege

Die Berechtigung, die zum Erhöhen des Kontingents erforderlich ist, das einem Prozess zugewiesen ist. Mit den Berechtigungen kann ein Prozess, der Zugriff auf einen zweiten Prozess hat, das dem zweiten Prozess zugewiesene Prozessorkontingent erhöhen. Diese Berechtigung ist nützlich für die Systemoptimierung, kann aber missbraucht werden.

Benutzermodusanwendungen stellen diese Berechtigung als folgende Zeichenfolge des Benutzers rechts dar: "Anpassen von Speicherkontingenten für einen Prozess".

SeUnsolicitedInputPrivilege

Die Berechtigung, die zum Lesen unerwünschter Eingaben von einem Terminalgerät erforderlich ist. Diese Berechtigung ist veraltet und nicht verwendet. Es hat keine Auswirkungen auf das System.

SeTcbPrivilege

Das Privileg, das seinen Inhaber als Teil der vertrauenswürdigen Computerbasis identifiziert. In der Regel benötigen nur Authentifizierungsdienste auf niedriger Ebene diese Berechtigung. Einigen vertrauenswürdigen geschützten Subsystemen wird diese Berechtigung gewährt.

Benutzermodusanwendungen stellen diese Berechtigung als folgende benutzerrechten Zeichenfolge dar: "Als Teil des Betriebssystems handeln".

SeSecurityPrivilege

Die Berechtigung, die zum Ausführen einer Reihe sicherheitsrelevanter Funktionen erforderlich ist, z. B. Steuern und Anzeigen von Überwachungsmeldungen. Dieses Privileg identifiziert seinen Inhaber als Sicherheitsoperator. Diese Berechtigung ermöglicht es einem Benutzer, Objektzugriffsüberwachungsoptionen für einzelne Ressourcen anzugeben, einschließlich Dateien, Active Directory-Objekte und Registrierungsschlüssel. Ein Benutzer, der über diese Berechtigung verfügt, kann auch das Sicherheitsprotokoll aus der Ereignisanzeige anzeigen und löschen.

Benutzermodusanwendungen stellen diese Berechtigung als folgende benutzerrechten Zeichenfolge dar: "Überwachung und Sicherheitsprotokoll verwalten".

SeTakeOwnershipPrivilege

Die Berechtigung, die erforderlich ist, um den Besitz eines Objekts zu übernehmen, ohne einem ermessensrechtlichen Zugriff zu gewähren. Diese Berechtigung ermöglicht es dem Benutzer, den Besitz aller sicherungsfähigen Objekte im System zu übernehmen, einschließlich Active Directory-Objekte, Dateien und Ordner, Drucker, Registrierungsschlüssel, Prozesse und Threads. Mit diesen Berechtigungen kann der Besitzerwert nur auf die Werte festgelegt werden, die der Inhaber berechtigterweise als Besitzer eines Objekts zuweisen kann.

Benutzermodusanwendungen stellen diese Berechtigung als folgende benutzerrechten Zeichenfolge dar: "Besitz von Dateien oder anderen Objekten übernehmen".

SeLoadDriverPrivilege

Die Berechtigung, die zum Laden oder Entladen eines Gerätetreibers erforderlich ist. Mit diesem Recht kann ein Benutzer Treiber für Plug- und Play-Geräte installieren und entfernen. Diese Berechtigung ist nicht erforderlich, wenn bereits ein signierter Treiber für die neue Hardware in der datei Driver.cab auf dem Computer vorhanden ist.

Benutzermodusanwendungen stellen diese Berechtigung als folgende benutzerrechten Zeichenfolge dar: "Laden und Entladen von Gerätetreibern".

SeCreatePagefilePrivilege

Die Berechtigung, die zum Erstellen und Ändern der Größe einer Auslagerungsdatei erforderlich ist.

Benutzermodusanwendungen stellen diese Berechtigung als folgende benutzerrechten Zeichenfolge dar: "Erstellen einer Seitendatei".

SeIncreaseBasePriorityPrivilege

Die Berechtigung, die erforderlich ist, um die Basispriorität eines Prozesses zu erhöhen. Diese Berechtigung ermöglicht es einem Benutzer, die Basisprioritätsklasse eines Prozesses zu erhöhen. Das Erhöhen der relativen Priorität innerhalb einer Prioritätsklasse ist kein privilegierter Vorgang und benötigt diese Berechtigung nicht.

Benutzermodusanwendungen stellen diese Berechtigung als folgende benutzerrechten Zeichenfolge dar: "Höhere Terminplanungspriorität".

SeSystemProfilePrivilege

Die Berechtigung, die zum Sammeln von Profilerstellungsinformationen für das gesamte System erforderlich ist. Die Berechtigung ermöglicht es einem Benutzer, die Leistung von Systemprozessen zu probieren.

Benutzermodusanwendungen stellen diese Berechtigung als folgende benutzerrechten Zeichenfolge dar: "Profilsystemleistung".

SeSystemtimePrivilege

Die Berechtigung, die zum Ändern der Systemzeit erforderlich ist. Diese Berechtigung ermöglicht es dem Benutzer, die Zeit auf der internen Uhr des Computers anzupassen. Diese Berechtigung ist nicht erforderlich, um die Zeitzone oder andere Anzeigemerkmale der Systemzeit zu ändern.

Benutzermodusanwendungen stellen diese Berechtigung als folgende benutzerrechten Zeichenfolge dar: "Ändern der Systemzeit".

SeProfileSingleProcessPrivilege

Die Berechtigung, die zum Sammeln von Profilerstellungsinformationen für einen einzelnen Prozess erforderlich ist. Die Berechtigung ermöglicht es einem Benutzer, die Leistung eines Anwendungsprozesses zu beispielen.

Benutzermodusanwendungen stellen diese Berechtigung als folgende Benutzer-rechte Zeichenfolge dar: "Profil einzelner Prozess".

SeCreatePermanentPrivilege

Die Berechtigung, die zum Erstellen eines dauerhaften Objekts erforderlich ist. Diese Berechtigung ermöglicht es einem Prozess, ein Verzeichnisobjekt im Objekt-Manager zu erstellen. Diese Berechtigung ist nützlich für Kernelmoduskomponenten, die den Objektnamespace erweitern. Komponenten, die im Kernelmodus ausgeführt werden, weisen diese Berechtigung inhärent auf.

Benutzermodusanwendungen stellen diese Berechtigung als folgende benutzerrechten Zeichenfolge dar: "Dauerhafte freigegebene Objekte erstellen".

SeBackupPrivilege

Die Berechtigung, die zum Ausführen von Sicherungsvorgängen erforderlich ist. Mit diesen Berechtigungen kann der Benutzer Datei- und Verzeichnisberechtigungen umgehen, um das System zu sichern. Diese Berechtigung bewirkt, dass das System allen Lesezugriffssteuerungen für jede Datei gewährt, unabhängig von der für die Datei angegebenen Zugriffssteuerungsliste (Access Control List, ACL). Jede andere Zugriffsanforderung als "Lesen" wird weiterhin mit der ACL ausgewertet. Diese Berechtigung ist vom Benutzermodus RegSaveKey- und RegSaveKey Ex-Routinen erforderlich. Die folgenden Zugriffsrechte werden gewährt, wenn diese Berechtigung gehalten wird:

  • READ_CONTROL
  • ACCESS_SYSTEM_SECURITY
  • FILE_GENERIC_READ
  • FILE_TRAVERSE

Benutzermodusanwendungen stellen diese Berechtigung als folgende benutzerrechten Zeichenfolge dar: "Sichern von Dateien und Verzeichnissen".

SeRestorePrivilege

Die Berechtigung, die zum Ausführen von Wiederherstellungsvorgängen erforderlich ist. Diese Berechtigung ermöglicht es einem Benutzer, Datei- und Verzeichnisberechtigungen beim Wiederherstellen gesicherter Dateien und Verzeichnisse zu umgehen und jeden gültigen Sicherheitsprinzipal als Besitzer eines Objekts festzulegen. Diese Berechtigung bewirkt, dass das System allen Schreibzugriffssteuerungen für jede Datei gewährt, unabhängig von der für die Datei angegebenen ACL.This privilege causes the system to grant all write access control to any file, regardless of the ACL specified for the file. Jede andere Zugriffsanforderung als schreibgeschützt wird weiterhin mit der ACL ausgewertet. Darüber hinaus können Sie mit diesen Berechtigungen eine beliebige gültige Benutzer- oder Gruppen-SID als Besitzer einer Datei festlegen. Diese Berechtigung ist vom Benutzermodus RegLoadKey- und RegUnLoadKey Routinen erforderlich, die eine Struktur aus der Registrierung hinzufügen oder entfernen. Die folgenden Zugriffsrechte werden gewährt, wenn diese Berechtigung gehalten wird:

  • WRITE_DAC
  • WRITE_OWNER
  • ACCESS_SYSTEM_SECURITY
  • FILE_GENERIC_WRITE
  • FILE_ADD_FILE
  • FILE_ADD_SUBDIRECTORY
  • LÖSCHEN

Benutzermodusanwendungen stellen diese Berechtigung als folgende benutzerrechten Zeichenfolge dar: "Dateien und Verzeichnisse wiederherstellen".

SeShutdownPrivilege

Die Berechtigung, die zum Herunterfahren eines lokalen Systems erforderlich ist.

Benutzermodusanwendungen stellen diese Berechtigung als die folgende benutzerrechten Zeichenfolge dar: "Herunterfahren des Systems".

SeDebugPrivilege

Die Berechtigung, die zum Debuggen und Anpassen des Speichers eines Prozesses erforderlich ist, der einem anderen Konto gehört. Mit diesem Recht kann der Benutzer einen Debugger an einen beliebigen Prozess anfügen. Diese Berechtigung bietet Zugriff auf vertrauliche und kritische Betriebssystemkomponenten.

Benutzermodusanwendungen stellen diese Berechtigung als folgende Benutzer-rechte Zeichenfolge dar: "Debugprogramme".

SeAuditPrivilege

Die Berechtigung, die zum Generieren von Überwachungsprotokolleinträgen im Sicherheitsprotokoll erforderlich ist. Das Sicherheitsprotokoll kann verwendet werden, um nicht autorisierten Systemzugriff zu verfolgen. Diese Berechtigung sollte für sichere Server gewährt werden.

Benutzermodusanwendungen stellen diese Berechtigung als folgende benutzerrechten Zeichenfolge dar: "Sicherheitsüberwachungen generieren".

SeSystemEnvironmentPrivilege

Die berechtigung, die zum Ändern des nichtvolatile RAM von Systemen erforderlich ist, die diesen Speichertyp zum Speichern von Konfigurationsinformationen verwenden.

Benutzermodusanwendungen stellen diese Berechtigung als folgende benutzerrechten Zeichenfolge dar: "Ändern von Firmwareumgebungswerten".

SeChangeNotifyPrivilege

Die Berechtigung, die zum Empfangen von Benachrichtigungen über Änderungen an Dateien oder Verzeichnissen erforderlich ist. Diese Berechtigung ermöglicht es dem Benutzer, Ordner zu durchlaufen, auf die der Benutzer andernfalls keinen Zugriff hat, während er im NTFS-Dateisystem oder in der Registrierung durch einen Objektpfad navigiert. Mit diesem Recht kann der Benutzer den Inhalt eines Ordners nicht auflisten; er ermöglicht es dem Benutzer nur, seine Verzeichnisse zu durchlaufen. Diese Berechtigung bewirkt, dass das System alle Traversalzugriffsprüfungen überspringt. Sie ist standardmäßig für alle Benutzer aktiviert.

Benutzermodusanwendungen stellen diese Berechtigung als folgende benutzerrechten Zeichenfolge dar: "Umgehung der Traverseüberprüfung".

SeRemoteShutdownPrivilege

Die Berechtigung, die zum Herunterfahren eines Systems mithilfe einer Netzwerkanforderung erforderlich ist. Mit diesem Recht kann ein Benutzer einen Computer von einem Remotestandort im Netzwerk herunterfahren.

Benutzermodusanwendungen stellen diese Berechtigung als folgende benutzerrechten Zeichenfolge dar: "Erzwingen des Herunterfahrens von einem Remotesystem".

SeNullSid

Die NULL-SID.

SeWorldSid

Die SID, die allen entspricht.

SeLocalSid

Die lokale SID.

SeCreatorOwnerSid

Die SID, die dem Besitzer oder Ersteller eines Objekts entspricht. Diese SID wird in vererbbaren Zugriffssteuerungseinträgen (ACEs) verwendet.

SeCreatorGroupSid

Die SID, die der Erstellergruppe eines Objekts entspricht. Diese SID wird in vererbbaren ACEs verwendet.

SeNtAuthoritySid

Die SID für die Microsoft Windows NT-Autorität.

SeDialupSid

Die SID für ein DFÜ-Konto.

SeNetworkSid

Die SID für ein Netzwerkkonto. Diese SID wird dem Prozess eines Tokens hinzugefügt, wenn es sich über ein Netzwerk anmeldet. Der entsprechende Anmeldetyp ist LOGON32_LOGON_NETWORK.

SeBatchSid

Die SID für einen Batchprozess. Diese SID wird dem Prozess eines Tokens hinzugefügt, wenn es sich als Batchauftrag anmeldet. Der entsprechende Anmeldetyp ist LOGON32_LOGON_BATCH.

SeInteractiveSid

Die SID für ein interaktives Konto. Diese SID wird dem Prozess eines Tokens hinzugefügt, wenn es sich interaktiv anmeldet. Der entsprechende Anmeldetyp ist LOGON32_LOGON_INTERACTIVE.

SeLocalSystemSid

Die SID, die dem LocalSystem-Konto entspricht, einem vordefinierten lokalen Konto, das vom Dienststeuerungs-Manager verwendet wird. Dieses Konto wird vom Sicherheitssubsystem nicht erkannt. Er verfügt über umfangreiche Berechtigungen auf dem lokalen Computer und fungiert als Computer im Netzwerk. Das Token enthält die Windows NT AUTHORITY\SYSTEM und BUILTIN\Administrators SIDs; diese Konten haben Zugriff auf die meisten Systemobjekte. Der Name des Kontos in allen Gebietsschemas lautet ".\LocalSystem". Der Name "LocalSystem" oder "ComputerName\LocalSystem" kann ebenfalls verwendet werden. Dieses Konto verfügt nicht über ein Kennwort.

Ein Dienst, der im Kontext des LocalSystem-Kontos ausgeführt wird, erbt den Sicherheitskontext des Dienststeuerungs-Managers. Das Konto ist keinem angemeldeten Benutzerkonto zugeordnet.

Das LocalSystem-Konto verfügt über die folgenden Berechtigungen:

  • SE_ASSIGNPRIMARYTOKEN_NAME
  • SE_AUDIT_NAME
  • SE_BACKUP_NAME
  • SE_CHANGE_NOTIFY_NAME
  • SE_CREATE_PAGEFILE_NAME
  • SE_CREATE_PERMANENT_NAME
  • SE_CREATE_TOKEN_NAME
  • SE_DEBUG_NAME
  • SE_INC_BASE_PRIORITY_NAME
  • SE_INCREASE_QUOTA_NAME
  • SE_LOAD_DRIVER_NAME
  • SE_LOCK_MEMORY_NAME
  • SE_PROF_SINGLE_PROCESS_NAME
  • SE_RESTORE_NAME
  • SE_SECURITY_NAME
  • SE_SHUTDOWN_NAME
  • SE_SYSTEM_ENVIRONMENT_NAME
  • SE_SYSTEM_PROFILE_NAME
  • SE_SYSTEMTIME_NAME
  • SE_TAKE_OWNERSHIP_NAME
  • SE_TCB_NAME
  • SE_UNDOCK_NAME

Die meisten Dienste benötigen keine so hohe Berechtigungsstufe. Wenn Ihr Dienst diese Berechtigungen nicht benötigt und es sich nicht um einen interaktiven Dienst handelt, erwägen Sie die Verwendung des LocalService-Kontos oder des NetworkService-Kontos.

SeAliasAdminsSid

Die SID, die dem Administratorkonto entspricht.

SeAliasUsersSid

Die SID, die mit integrierten Benutzerkonten übereinstimmt.

SeAliasGuestsSid

Die SID, die dem Gastkonto entspricht.

SeAliasPowerUsersSid

Die SID, die der Gruppe der Benutzer entspricht.

SeAliasAccountOpsSid

Die SID, die mit dem Konto für Kontobetreiber übereinstimmt.

SeAliasSystemOpsSid

Die SID, die der Gruppe der Systemoperatoren entspricht.

SeAliasPrintOpsSid

Die SID, die der Gruppe der Druckoperatoren entspricht.

SeAliasBackupOpsSid

Die SID, die der Gruppe der Sicherungsoperatoren entspricht.

SeAuthenticatedUsersSid

Die SID, die mit allen authentifizierten Benutzern übereinstimmt.

SeRestrictedSid

Die SID für eingeschränkten Code.

SeAnonymousLogonSid

Die SID für das anonyme Konto.

SeUndockPrivilege

Das Privileg, das zum Entfernen eines Computers von einer Dockingstation erforderlich ist. Mit diesem Recht kann der Benutzer eines tragbaren Computers den Computer rückgängig machen, indem er auf Start-klickt, und dann auf Pc auswerfen.

SeSyncAgentPrivilege

Die Berechtigung, die zum Synchronisieren von Verzeichnisdienstdaten erforderlich ist. Diese Berechtigung ermöglicht es einem Prozess, alle Objekte und Eigenschaften im Verzeichnis zu lesen, unabhängig vom Schutz, der für die Objekte und Eigenschaften festgelegt ist. Diese Berechtigung ist erforderlich, um Ldap-Verzeichnissynchronisierungsdienste (Lightweight Directory Access Protocol) zu verwenden. Diese Berechtigung ist für einen Domänencontroller erforderlich, um die LDAP-Verzeichnissynchronisierungsdienste zu verwenden.

SeEnableDelegationPrivilege

Die Berechtigung, die erforderlich ist, um Computer und Benutzerkonten für die Delegierung als vertrauenswürdig zu aktivieren.

SeLocalServiceSid

Die SID, die mit dem LocalService-Konto übereinstimmt, einem vordefinierten lokalen Konto. Das LocalService-Konto verfügt über minimale Berechtigungen auf dem lokalen Computer und zeigt anonyme Anmeldeinformationen im Netzwerk an. Der Name des Kontos in allen Gebietsschemas lautet "NT AUTHORITY\LocalService". Dieses Konto verfügt nicht über ein Kennwort. Das LocalService-Konto verfügt über einen eigenen Unterschlüssel unter dem registrierungsschlüssel HKEY_USERS. Daher ist der HKEY_CURRENT_USER Registrierungsschlüssel dem LocalService-Konto zugeordnet.

Das LocalService-Konto verfügt über die folgenden Berechtigungen:

  • SE_AUDIT_NAME
  • SE_CHANGE_NOTIFY_NAME
  • SE_UNDOCK_NAME
  • Allen Benutzern zugewiesenen Berechtigungen und authentifizierten Benutzern

Das LocalService-Konto ist auf den Betriebssystemen Microsoft Windows XP und höher verfügbar.

SeNetworkServiceSid

Die SID, die dem NetworkService-Konto entspricht, einem vordefinierten lokalen Konto. Das NetworkService-Konto verfügt über minimale Berechtigungen auf dem lokalen Computer und fungiert als Computer im Netzwerk. Der Name des Kontos in allen Gebietsschemas lautet "NT AUTHORITY\NetworkService". Dieses Konto verfügt nicht über ein Kennwort.

Ein Dienst, der im Kontext des NetworkService-Kontos ausgeführt wird, stellt die Anmeldeinformationen des Computers auf Remoteservern dar. Standardmäßig enthält das Remotetoken SIDs für die Gruppen "Jeder" und "Authentifizierte Benutzer".

Das NetworkService-Konto verfügt über einen eigenen Unterschlüssel unter dem registrierungsschlüssel HKEY_USERS. Daher ist der HKEY_CURRENT_USER Registrierungsschlüssel dem NetworkService-Konto zugeordnet.

Das NetworkService-Konto verfügt über die folgenden Berechtigungen:

  • SE_AUDIT_NAME
  • SE_CHANGE_NOTIFY_NAME
  • SE_UNDOCK_NAME
  • Allen Benutzern zugewiesenen Berechtigungen und authentifizierten Benutzern

SeManageVolumePrivilege

Die Berechtigung, die erforderlich ist, damit ein nicht administrativer oder Remotebenutzer Volumes oder Datenträger verwalten kann. Das Betriebssystem überprüft diese Berechtigung im Zugriffstoken eines Benutzers, wenn ein Prozess, der im Sicherheitskontext des Benutzers ausgeführt wird, den Benutzermodus SetFileValidData Routine aufruft.

SeImpersonatePrivilege

Die Berechtigung, die zum Identitätswechsel eines Benutzers erforderlich ist.

Benutzermodusanwendungen stellen diese Berechtigung als folgende benutzerrechten Zeichenfolge dar: "Identität eines Clients nach Authentifizierung imitieren".

SeCreateGlobalPrivilege

Die Berechtigung, die für ein Benutzerkonto erforderlich ist, um globale Objekte in einer Terminaldienste-Sitzung zu erstellen. Beachten Sie, dass Benutzer weiterhin sitzungsspezifische Objekte erstellen können, ohne diesem Benutzerrecht zugewiesen zu werden. Standardmäßig wird diese Berechtigung Mitgliedern der Gruppe "Administratoren", dem Systemkonto und den Diensten zugewiesen, die vom Dienststeuerungs-Manager gestartet werden. Dieses Privileg ist unter Windows 2000 mit Service Pack 4 und höher verfügbar.

Benutzermodusanwendungen stellen diese Berechtigung als folgende benutzerrechten Zeichenfolge dar: "Globale Objekte erstellen".

SeTrustedCredManAccessPrivilege

Die Berechtigung, die erforderlich ist, um als vertrauenswürdiger Aufrufer auf den Anmeldeinformations-Manager zuzugreifen.

Benutzermodusanwendungen stellen diese Berechtigung als folgende benutzerrechten Zeichenfolge dar: "Zugriff auf Anmeldeinformationsverwaltung als vertrauenswürdiger Aufrufer".

SeRelabelPrivilege

Die Berechtigung, die zum Ändern der obligatorischen Integritätsstufe eines Objekts erforderlich ist.

Benutzermodusanwendungen stellen diese Berechtigung als folgende benutzerrechten Zeichenfolge dar: "Ändern einer Objektbeschriftung".

Verfügbar ab Windows Vista.

SeIncreaseWorkingSetPrivilege

Die Berechtigung, die erforderlich ist, um mehr Arbeitsspeicher für Anwendungen zuzuweisen, die im Kontext von Benutzern ausgeführt werden.

Benutzermodusanwendungen stellen diese Berechtigung als die folgende benutzerrechten Zeichenfolge dar: "Erhöhen eines Prozessarbeitssatzes".

Verfügbar ab Windows Vista.

SeTimeZonePrivilege

Die Berechtigung, die erforderlich ist, um die Zeitzone anzupassen, die der internen Uhr des Computers zugeordnet ist.

Benutzermodusanwendungen stellen diese Berechtigung als folgende Zeichenfolge für benutzerrechten Dar: "Zeitzone ändern".

Verfügbar ab Windows Vista.

SeCreateSymbolicLinkPrivilege

Die SID, die mit dem integrierten IUSR-Konto und der integrierten Gruppe IIS_IUSRS übereinstimmt.

Verfügbar ab Windows Vista.

SeIUserSid

Die SID für eine nicht vertrauenswürdige Integritätsstufe.

Verfügbar ab Windows Vista.

SeUntrustedMandatorySid

Die SID für eine nicht vertrauenswürdige Integritätsstufe.

Verfügbar ab Windows Vista.

SeLowMandatorySid

Die SID für eine niedrige Integritätsstufe.

Verfügbar ab Windows Vista.

SeMediumMandatorySid

Die SID für eine mittlere Integritätsebene.

Verfügbar ab Windows Vista.

SeHighMandatorySid

Die SID für eine hohe Integritätsebene.

Verfügbar ab Windows Vista.

SeSystemMandatorySid

Die SID für eine Systemintegritätsstufe.

Verfügbar ab Windows Vista.

SeOwnerRightsSid

Die SID für eine Gruppe, die den aktuellen Besitzer des Objekts darstellt.

Verfügbar ab Windows Vista.

SeAllAppPackagesSid

Die SID für eine Gruppe, die alle Anwendungspakete darstellt. Diese SID wird verwendet, um allen auf dem System installierten App-Paketen Berechtigungen zu erteilen oder zu verweigern.

Verfügbar ab Windows 8.

SeUserModeDriversSid

Die SID für einen Benutzermodustreiber.

SeProcTrustWinTcbSid

Die SID, die ihren Inhaber als Teil einer vertrauenswürdigen Computerbasis identifiziert. Solche Prozesse werden vom Betriebssystem als hochgradig privilegierte und vertrauenswürdig eingestuft.

SeTrustedInstallerSid

Die SID für das vertrauenswürdige Installationsprogramm.

SeDelegateSessionUserImpersonatePrivilege

Lokal eindeutiger Bezeichner (LUID), der die Berechtigung zum Identitätswechsel eines Benutzers während der Sitzungsdelegierung darstellt.

SeAppSiloSid

SID, die ein App-Silo darstellt, bei dem es sich um eine Sicherheitsgrenze handelt, in der Windows Store-Apps ausgeführt werden.

SeAppSiloVolumeRootMinimalCapabilitySid

SID, die die minimalen Funktionen für den Zugriff auf den Profilstamm innerhalb eines App-Silos darstellt.

SeAppSiloProfilesRootMinimalCapabilitySid

SID, die die minimalen Funktionen für den Zugriff auf den Profilstamm innerhalb eines App-Silos darstellt.

SeAppSiloPromptForAccessCapabilitySid

SID, die die Funktion zum Anfordern des Zugriffs innerhalb eines App-Silos darstellt.

SeAppSiloAccessToPublisherDirectoryCapabilitySid

SID, die die Möglichkeit darstellt, innerhalb eines App-Silos auf das Herausgeberverzeichnis zuzugreifen.

Bemerkungen

SeExports ist eine große externe statische SE_EXPORTS Struktur, die von Ntoskrnl.exeexportiert wird.

Anforderungen

Anforderung Wert
Header- ntifs.h (einschließlich Ntifs.h)

Siehe auch

LUID-

SID-