帐户权限常量

帐户权限确定用户帐户可以执行的登录类型。 管理员将帐户权限分配给用户和组帐户。 每个用户的帐户权限包括授予用户和用户所属组的权限。

系统管理员可以使用 本地安全机构 (LSA) 函数来处理帐户权限。 LsaAddAccountRightsLsaRemoveAccountRights 函数在帐户中添加或删除帐户权限。 LsaEnumerateAccountRights 函数枚举指定帐户拥有的帐户权限。 LsaEnumerateAccountsWithUserRight 函数枚举持有指定帐户权限的帐户。

以下帐户权限常量用于控制帐户的登录能力。 如果登录的帐户没有执行登录类型所需的帐户权限,则 LogonUserLsaLogonUser 函数将失败。

常量/值 说明
SE_BATCH_LOGON_NAME
TEXT (“SeBatchLogonRight”)
对于使用批量登录类型登录的帐户是必需的。
SE_DENY_BATCH_LOGON_NAME
TEXT (“SeDenyBatchLogonRight”)
显式拒绝帐户使用批量登录类型登录的权限。
SE_DENY_INTERACTIVE_LOGON_NAME
TEXT (“SeDenyInteractiveLogonRight”)
显式拒绝帐户使用交互式登录类型登录的权限。
SE_DENY_NETWORK_LOGON_NAME
TEXT (“SeDenyNetworkLogonRight”)
显式拒绝帐户使用网络登录类型登录的权限。
SE_DENY_REMOTE_INTERACTIVE_LOGON_NAME
TEXT (“SeDenyRemoteInteractiveLogonRight”)
显式拒绝帐户使用交互式登录类型远程登录的权限。
SE_DENY_SERVICE_LOGON_NAME
TEXT (“SeDenyServiceLogonRight”)
显式拒绝帐户使用服务登录类型登录的权限。
SE_INTERACTIVE_LOGON_NAME
TEXT (“SeInteractiveLogonRight”)
对于使用交互式登录类型登录的帐户是必需的。
SE_NETWORK_LOGON_NAME
TEXT (“SeNetworkLogonRight”)
对于使用网络登录类型登录的帐户是必需的。
SE_REMOTE_INTERACTIVE_LOGON_NAME
TEXT (“SeRemoteInteractiveLogonRight”)
使用交互式登录类型远程登录的帐户是必需的。
SE_SERVICE_LOGON_NAME
TEXT (“SeServiceLogonRight”)
对于使用服务登录类型登录的帐户是必需的。

备注

SE_DENY权限替代相应的帐户权限。 管理员可以为帐户分配SE_DENY权限,以替代帐户由于组成员身份而可能拥有的任何登录权限。 例如,可以将SE_NETWORK_LOGON_NAME权限分配给所有人,但将SE_DENY_NETWORK_LOGON_NAME权限分配给管理员,以防止远程管理计算机。

上述简介中提到的所有 LSA 函数都支持帐户权限和 特权。 但是,与特权不同, LookupPrivilegeValueLookupPrivilegeName 函数不支持帐户权限。 如果将 TokenGroups 而不是 TokenPrivileges 指定为 TokenInformationClass 参数的值,GetTokenInformation 函数将获取有关帐户权限的信息。

前面的帐户权限常量在 Ntsecapi.h 中定义为字符串。 例如,SE_INTERACTIVE_LOGON_NAME常量定义为“SeInteractiveLogonRight”。

要求

要求
最低受支持的客户端
Windows XP [仅限桌面应用]
最低受支持的服务器
Windows Server 2003 [仅限桌面应用]
标头
Ntsecapi.h