Константы прав учетной записи

Права учетной записи определяют тип входа, который может выполнять учетная запись пользователя. Администратор назначает права учетной записи учетным записям пользователей и групп. Права учетной записи каждого пользователя включают права, предоставленные пользователю и группам, к которым он принадлежит.

Системный администратор может использовать функции локального центра безопасности (LSA) для работы с правами учетной записи. Функции LsaAddAccountRights и LsaRemoveAccountRights добавляют или удаляют права учетной записи из учетной записи. Функция LsaEnumerateAccountRights перечисляет права учетной записи, хранящиеся у указанной учетной записи. Функция LsaEnumerateAccountsWithUserRight перечисляет учетные записи с указанным правом.

Для управления возможностью входа в учетную запись используются следующие константы. Функции LogonUser или LsaLogonUser завершаются сбоем, если учетная запись, в которую выполняется вход, не имеет прав, необходимых для типа выполняемого входа.

Констант/значение	Описание
SE_BATCH_LOGON_NAME TEXT("SeBatchLogonRight")	Требуется для входа учетной записи с использованием типа пакетного входа.
SE_DENY_BATCH_LOGON_NAME TEXT("SeDenyBatchLogonRight")	Явно запрещает учетной записи входить в систему с помощью типа пакетного входа.
SE_DENY_INTERACTIVE_LOGON_NAME TEXT("SeDenyInteractiveLogonRight")	Явно запрещает учетной записи входить в систему с помощью интерактивного типа входа.
SE_DENY_NETWORK_LOGON_NAME TEXT("SeDenyNetworkLogonRight")	Явно запрещает учетной записи входить в систему с использованием типа сетевого входа.
SE_DENY_REMOTE_INTERACTIVE_LOGON_NAME TEXT("SeDenyRemoteInteractiveLogonRight")	Явно запрещает учетной записи входить в систему удаленно с помощью интерактивного типа входа.
SE_DENY_SERVICE_LOGON_NAME TEXT("SeDenyServiceLogonRight")	Явно запрещает учетной записи входить в систему с помощью типа входа в службу.
SE_INTERACTIVE_LOGON_NAME TEXT("SeInteractiveLogonRight")	Требуется для входа в учетную запись с использованием типа интерактивного входа.
SE_NETWORK_LOGON_NAME TEXT("SeNetworkLogonRight")	Требуется для входа учетной записи с использованием типа сетевого входа.
SE_REMOTE_INTERACTIVE_LOGON_NAME TEXT("SeRemoteInteractiveLogonRight")	Требуется для удаленного входа учетной записи с типом интерактивного входа.
SE_SERVICE_LOGON_NAME TEXT("SeServiceLogonRight")	Требуется для входа учетной записи с использованием типа входа в службу.

Комментарии

Права SE_DENY переопределяют соответствующие права учетной записи. Администратор может назначить учетной записи право SE_DENY, чтобы переопределить все права на вход, которые могут быть у учетной записи в результате членства в группе. Например, вы можете назначить право SE_NETWORK_LOGON_NAME всем, а право SE_DENY_NETWORK_LOGON_NAME администраторам, чтобы запретить удаленное администрирование компьютеров.

Все функции LSA, упомянутые во введении выше, поддерживают права и привилегии учетной записи. Однако в отличие от привилегий, права учетной записи не поддерживаются функциями LookupPrivilegeValue и LookupPrivilegeName . Функция GetTokenInformation будет получать сведения о правах учетной записи, если TokenGroups, а не TokenPrivileges, указан в качестве значения параметра TokenInformationClass .

Предыдущие константы справа учетной записи определяются как строки в Ntsecapi.h. Например, константа SE_INTERACTIVE_LOGON_NAME определяется как SeInteractiveLogonRight.

Требования

Требование	Значение
Минимальная версия клиента	Windows XP [только классические приложения]
Минимальная версия сервера	Windows Server 2003 [только классические приложения]
Заголовок	Ntsecapi.h