Freigeben über

Kontorechtekonstanten

  • Artikel

Kontorechte bestimmen die Art der Anmeldung, die ein Benutzerkonto durchführen kann. Ein Administrator weist Benutzer- und Gruppenkonten Kontorechte zu. Die Kontorechte jedes Benutzers umfassen die Rechte, die dem Benutzer und den Gruppen gewährt werden, zu denen der Benutzer gehört.

Ein Systemadministrator kann die LSA-Funktionen ( Local Security Authority ) verwenden, um mit Kontorechten zu arbeiten. Mit den Funktionen LsaAddAccountRights und LsaRemoveAccountRights werden Kontorechte hinzugefügt oder entfernt. Die Funktion LsaEnumerateAccountRights listet die Kontorechte eines angegebenen Kontos auf. Die LsaEnumerateAccountsWithUserRight-Funktion listet die Konten auf, die ein angegebenes Kontorecht enthalten.

Die folgenden Konto-Rechtskonstanten werden verwendet, um die Anmeldefähigkeit eines Kontos zu steuern. Die Funktionen LogonUser oder LsaLogonUser schlagen fehl, wenn das angemeldete Konto nicht über die Kontorechte verfügt, die für den Anmeldetyp erforderlich sind.

Konstante/Wert BESCHREIBUNG
SE_BATCH_LOGON_NAME
TEXT("SeBatchLogonRight")
 Erforderlich, damit sich ein Konto mit dem Batchanmeldungstyp anmelden kann.
SE_DENY_BATCH_LOGON_NAME
TEXT("SeDenyBatchLogonRight")
 Verweigert einem Konto explizit das Recht, sich mit dem Batchanmeldungstyp anzumelden.
SE_DENY_INTERACTIVE_LOGON_NAME
TEXT("SeDenyInteractiveLogonRight")
 Verweigert einem Konto explizit das Recht, sich mit dem interaktiven Anmeldetyp anzumelden.
SE_DENY_NETWORK_LOGON_NAME
TEXT("SeDenyNetworkLogonRight")
 Verweigert einem Konto explizit das Recht, sich mit dem Netzwerkanmeldungstyp anzumelden.
SE_DENY_REMOTE_INTERACTIVE_LOGON_NAME
TEXT("SeDenyRemoteInteractiveLogonRight")
 Verweigert einem Konto explizit das Recht, sich mithilfe des interaktiven Anmeldetyps remote anzumelden.
SE_DENY_SERVICE_LOGON_NAME
TEXT("SeDenyServiceLogonRight")
 Verweigert einem Konto explizit das Recht, sich mit dem Dienstanmeldungstyp anzumelden.
SE_INTERACTIVE_LOGON_NAME
TEXT("SeInteractiveLogonRight")
 Erforderlich, damit sich ein Konto mit dem interaktiven Anmeldetyp anmelden kann.
SE_NETWORK_LOGON_NAME
TEXT("SeNetworkLogonRight")
 Erforderlich, damit sich ein Konto mit dem Netzwerkanmeldungstyp anmelden kann.
SE_REMOTE_INTERACTIVE_LOGON_NAME
TEXT("SeRemoteInteractiveLogonRight")
 Erforderlich, damit sich ein Konto remote mit dem interaktiven Anmeldetyp anmelden kann.
SE_SERVICE_LOGON_NAME
TEXT("SeServiceLogonRight")
 Erforderlich, damit sich ein Konto mit dem Dienstanmeldungstyp anmelden kann.

Bemerkungen

Die SE_DENY Rechte überschreiben die entsprechenden Kontorechte. Ein Administrator kann einem Konto ein SE_DENY Recht zuweisen, um alle Anmelderechte zu überschreiben, die ein Konto aufgrund einer Gruppenmitgliedschaft besitzen könnte. Sie könnten beispielsweise das SE_NETWORK_LOGON_NAME Recht auf Alle zuweisen, aber das SE_DENY_NETWORK_LOGON_NAME Recht den Administratoren zuweisen, um die Remoteverwaltung von Computern zu verhindern.

Alle in der obigen Einführung erwähnten LSA-Funktionen unterstützen sowohl Kontorechte als auch Berechtigungen. Im Gegensatz zu Berechtigungen werden Kontorechte jedoch nicht von den Funktionen LookupPrivilegeValue und LookupPrivilegeName unterstützt. Die GetTokenInformation-Funktion ruft Informationen zu Kontorechten ab, wenn TokenGroups und nicht TokenPrivileges als Wert des TokenInformationClass-Parameters angegeben ist.

Die oben angegebenen Konto-Rechtskonstanten werden in Ntsecapi.h als Zeichenfolgen definiert. Beispielsweise ist die SE_INTERACTIVE_LOGON_NAME Konstante als "SeInteractiveLogonRight" definiert.

Anforderungen

Anforderung Wert
Unterstützte Mindestversion (Client)
 Windows XP [nur Desktop-Apps]
Unterstützte Mindestversion (Server)
 Windows Server 2003 [nur Desktop-Apps]
Header
Ntsecapi.h