帐户权限常量
帐户权限确定用户帐户可以执行的登录类型。 管理员将帐户权限分配给用户和组帐户。 每个用户的帐户权限包括授予用户和用户所属组的权限。
系统管理员可以使用 本地安全机构 (LSA) 函数来处理帐户权限。 LsaAddAccountRights 和 LsaRemoveAccountRights 函数在帐户中添加或删除帐户权限。 LsaEnumerateAccountRights 函数枚举指定帐户拥有的帐户权限。 LsaEnumerateAccountsWithUserRight 函数枚举持有指定帐户权限的帐户。
以下帐户权限常量用于控制帐户的登录能力。 如果登录的帐户没有执行登录类型所需的帐户权限,则 LogonUser 或 LsaLogonUser 函数将失败。
常量/值 | 说明 |
---|---|
|
对于使用批量登录类型登录的帐户是必需的。 |
|
显式拒绝帐户使用批量登录类型登录的权限。 |
|
显式拒绝帐户使用交互式登录类型登录的权限。 |
|
显式拒绝帐户使用网络登录类型登录的权限。 |
|
显式拒绝帐户使用交互式登录类型远程登录的权限。 |
|
显式拒绝帐户使用服务登录类型登录的权限。 |
|
对于使用交互式登录类型登录的帐户是必需的。 |
|
对于使用网络登录类型登录的帐户是必需的。 |
|
使用交互式登录类型远程登录的帐户是必需的。 |
|
对于使用服务登录类型登录的帐户是必需的。 |
备注
SE_DENY权限替代相应的帐户权限。 管理员可以为帐户分配SE_DENY权限,以替代帐户由于组成员身份而可能拥有的任何登录权限。 例如,可以将SE_NETWORK_LOGON_NAME权限分配给所有人,但将SE_DENY_NETWORK_LOGON_NAME权限分配给管理员,以防止远程管理计算机。
上述简介中提到的所有 LSA 函数都支持帐户权限和 特权。 但是,与特权不同, LookupPrivilegeValue 和 LookupPrivilegeName 函数不支持帐户权限。 如果将 TokenGroups 而不是 TokenPrivileges 指定为 TokenInformationClass 参数的值,GetTokenInformation 函数将获取有关帐户权限的信息。
前面的帐户权限常量在 Ntsecapi.h 中定义为字符串。 例如,SE_INTERACTIVE_LOGON_NAME常量定义为“SeInteractiveLogonRight”。
要求
要求 | 值 |
---|---|
最低受支持的客户端 |
Windows XP [仅限桌面应用] |
最低受支持的服务器 |
Windows Server 2003 [仅限桌面应用] |
标头 |
|