SE_EXPORTS結構 (ntifs.h)
SeExports 結構是大型的外部靜態SE_EXPORTS結構,可定義一些許可權值和安全性標識碼的已知安全性常數。
語法
typedef struct _SE_EXPORTS {
LUID SeCreateTokenPrivilege;
LUID SeAssignPrimaryTokenPrivilege;
LUID SeLockMemoryPrivilege;
LUID SeIncreaseQuotaPrivilege;
LUID SeUnsolicitedInputPrivilege;
LUID SeTcbPrivilege;
LUID SeSecurityPrivilege;
LUID SeTakeOwnershipPrivilege;
LUID SeLoadDriverPrivilege;
LUID SeCreatePagefilePrivilege;
LUID SeIncreaseBasePriorityPrivilege;
LUID SeSystemProfilePrivilege;
LUID SeSystemtimePrivilege;
LUID SeProfileSingleProcessPrivilege;
LUID SeCreatePermanentPrivilege;
LUID SeBackupPrivilege;
LUID SeRestorePrivilege;
LUID SeShutdownPrivilege;
LUID SeDebugPrivilege;
LUID SeAuditPrivilege;
LUID SeSystemEnvironmentPrivilege;
LUID SeChangeNotifyPrivilege;
LUID SeRemoteShutdownPrivilege;
PSID SeNullSid;
PSID SeWorldSid;
PSID SeLocalSid;
PSID SeCreatorOwnerSid;
PSID SeCreatorGroupSid;
PSID SeNtAuthoritySid;
PSID SeDialupSid;
PSID SeNetworkSid;
PSID SeBatchSid;
PSID SeInteractiveSid;
PSID SeLocalSystemSid;
PSID SeAliasAdminsSid;
PSID SeAliasUsersSid;
PSID SeAliasGuestsSid;
PSID SeAliasPowerUsersSid;
PSID SeAliasAccountOpsSid;
PSID SeAliasSystemOpsSid;
PSID SeAliasPrintOpsSid;
PSID SeAliasBackupOpsSid;
PSID SeAuthenticatedUsersSid;
PSID SeRestrictedSid;
PSID SeAnonymousLogonSid;
LUID SeUndockPrivilege;
LUID SeSyncAgentPrivilege;
LUID SeEnableDelegationPrivilege;
PSID SeLocalServiceSid;
PSID SeNetworkServiceSid;
LUID SeManageVolumePrivilege;
LUID SeImpersonatePrivilege;
LUID SeCreateGlobalPrivilege;
LUID SeTrustedCredManAccessPrivilege;
LUID SeRelabelPrivilege;
LUID SeIncreaseWorkingSetPrivilege;
LUID SeTimeZonePrivilege;
LUID SeCreateSymbolicLinkPrivilege;
PSID SeIUserSid;
PSID SeUntrustedMandatorySid;
PSID SeLowMandatorySid;
PSID SeMediumMandatorySid;
PSID SeHighMandatorySid;
PSID SeSystemMandatorySid;
PSID SeOwnerRightsSid;
PSID SeAllAppPackagesSid;
PSID SeUserModeDriversSid;
PSID SeProcTrustWinTcbSid;
PSID SeTrustedInstallerSid;
LUID SeDelegateSessionUserImpersonatePrivilege;
PSID SeAppSiloSid;
PSID SeAppSiloVolumeRootMinimalCapabilitySid;
PSID SeAppSiloProfilesRootMinimalCapabilitySid;
PSID SeAppSiloPromptForAccessCapabilitySid;
PSID SeAppSiloAccessToPublisherDirectoryCapabilitySid;
} SE_EXPORTS, *PSE_EXPORTS;
成員
SeCreateTokenPrivilege
建立主要存取令牌所需的許可權。
使用者模式應用程式會將此許可權表示為下列用戶權力字串:「Create 令牌物件」。
SeAssignPrimaryTokenPrivilege
指派進程主要令牌所需的許可權。 許可權可讓父進程取代與子進程相關聯的存取令牌。
使用者模式應用程式會以下列用戶權力字串表示此許可權:「取代進程層級令牌」。
SeLockMemoryPrivilege
鎖定記憶體中實體頁面所需的許可權。 此許可權可讓進程將數據保留在物理記憶體中,這可防止系統將數據分頁至磁碟上的虛擬記憶體。
使用者模式應用程式會以下列用戶權力字串表示此許可權:「鎖定記憶體中的實體頁面的必要專案」。
SeIncreaseQuotaPrivilege
增加指派給進程的配額所需的許可權。 許可權可讓可存取第二個進程的進程增加指派給第二個進程的處理器配額。 此許可權適用於系統調整,但可能會遭到濫用。
使用者模式應用程式會以下列用戶權力字串來表示此許可權:「調整進程的記憶體配額」。
SeUnsolicitedInputPrivilege
從終端機裝置讀取未經要求輸入所需的許可權。 此許可權已過時且未使用。 它不會影響系統。
SeTcbPrivilege
將其持有者識別為受信任計算機基底一部分的許可權。 一般而言,只有低階驗證服務需要此許可權。 某些受信任的受保護子系統會獲得此許可權。
使用者模式應用程式會以下列用戶權力字串表示此許可權:「作為操作系統的一部分」。
SeSecurityPrivilege
執行許多安全性相關功能所需的許可權,例如控制及檢視稽核訊息。 此許可權會將其持有者識別為安全性操作員。 此許可權可讓使用者指定個別資源的物件存取稽核選項,包括檔案、Active Directory 對象和登錄機碼。 具有此許可權的使用者也可以從 事件檢視器 檢視和清除安全性記錄檔。
使用者模式應用程式會將此許可權表示為下列用戶權力字串:「管理稽核和安全性記錄」。
SeTakeOwnershipPrivilege
取得對象擁有權而不需要被授與任意存取權所需的許可權。 此許可權可讓使用者取得系統中任何安全性實體對象的擁有權,包括 Active Directory 對象、檔案和資料夾、印表機、登錄機碼、進程和線程。 此許可權只允許將擁有者值設定為持有者可能合法指派為對象擁有者的值。
使用者模式應用程式將此許可權表示為下列用戶權力字串:「取得檔案或其他物件的擁有權」。
SeLoadDriverPrivilege
載入或卸除設備驅動器所需的許可權。 此許可權可讓使用者安裝和移除 隨插即用 裝置的驅動程式。 如果新硬體的已簽署驅動程式已存在於電腦上的Driver.cab檔案中 , 則不需要此許可權。
使用者模式應用程式會以下列用戶權力字串來表示此許可權:「載入和卸除設備驅動器」。
SeCreatePagefilePrivilege
建立和變更分頁檔案大小所需的許可權。
使用者模式應用程式會以下列用戶權力字串表示此許可權:「Create 頁面檔」。。
SeIncreaseBasePriorityPrivilege
增加進程基底優先順序所需的許可權。 此許可權可讓使用者增加進程的基底優先順序類別。 提高優先順序類別內的相對優先順序不是具特殊許可權的作業,而且不需要此許可權。
使用者模式應用程式會以下列用戶權力字串來表示此許可權:「增加排程優先順序」。
SeSystemProfilePrivilege
收集整個系統分析資訊所需的許可權。 許可權可讓用戶取樣系統進程的效能。
使用者模式應用程式會將此許可權表示為下列用戶權力字串:“Profile system performance”。
SeSystemtimePrivilege
修改系統時間所需的許可權。 此許可權可讓使用者調整計算機內部時鐘的時間。 變更系統時間的時區或其他顯示特性不需要此許可權。
使用者模式應用程式會以下列用戶權力字串表示此許可權:「變更系統時間」。
SeProfileSingleProcessPrivilege
收集單一進程的程式代碼剖析資訊所需的許可權。 許可權可讓用戶取樣應用程式進程的效能。
使用者模式應用程式會將此許可權表示為下列用戶權力字串:「配置檔單一進程」。
SeCreatePermanentPrivilege
建立永久物件所需的許可權。 此許可權可讓進程在物件管理員中建立目錄物件。 此許可權適用於擴充物件命名空間的核心模式元件。 在核心模式中執行的元件原本就具有此許可權。
使用者模式應用程式會將此許可權表示為下列用戶權力字串:「Create 永久共享物件」。
SeBackupPrivilege
執行備份作業所需的許可權。 此許可權可讓使用者規避檔案和目錄許可權來備份系統。 不論針對檔案指定的訪問控制清單 (ACL) ,此許可權都會讓系統將所有讀取訪問控制授與任何檔案。 除了讀取以外的任何存取要求,仍會使用 ACL 進行評估。 使用者模式 RegSaveKey 和 RegSaveKeyEx 例程需要此許可權。 如果保留此許可權,則會授與下列訪問許可權:
- READ_CONTROL
- ACCESS_SYSTEM_SECURITY
- FILE_GENERIC_READ
- FILE_TRAVERSE
使用者模式應用程式會以下列用戶權力字串來表示此許可權:「備份檔案和目錄」。
SeRestorePrivilege
執行還原作業所需的許可權。 此許可權可讓使用者在還原備份的檔案和目錄時規避檔案和目錄許可權,以及將任何有效的安全性主體設定為對象的擁有者。 不論為檔案指定的 ACL 為何,此許可權都會讓系統將所有寫入訪問控制授與任何檔案。 除了寫入以外的任何存取要求,仍會使用 ACL 進行評估。 此外,此許可權可讓您將任何有效的使用者或群組 SID 設定為檔案的擁有者。 使用者模式 RegLoadKey 和 RegUnLoadKey 例程需要此許可權,這些例程會從登錄中新增或移除 Hive。 如果保留此許可權,則會授與下列訪問許可權:
- WRITE_DAC
- WRITE_OWNER
- ACCESS_SYSTEM_SECURITY
- FILE_GENERIC_WRITE
- FILE_ADD_FILE
- FILE_ADD_SUBDIRECTORY
- DELETE
使用者模式應用程式會以下列用戶權力字串來表示此許可權:「還原檔案和目錄」。
SeShutdownPrivilege
關閉本機系統所需的許可權。
使用者模式應用程式會以下列用戶權力字串表示此許可權:「關閉系統」。
SeDebugPrivilege
偵錯和調整另一個帳戶擁有之進程記憶體所需的許可權。 此許可權可讓使用者將調試程式附加至任何進程。 此許可權可讓您存取敏感性和重要的操作系統元件。
使用者模式應用程式會以下列用戶權力字串表示此許可權:“Debug programs”。
SeAuditPrivilege
在安全性記錄檔中產生稽核記錄專案所需的許可權。 安全性記錄可用來追蹤未經授權的系統存取。 此許可權應提供給安全伺服器。
使用者模式應用程式會以下列用戶權力字串表示此許可權:「產生安全性稽核」。
SeSystemEnvironmentPrivilege
修改使用此記憶體類型來儲存組態資訊之系統非卷積 RAM 所需的許可權。
使用者模式應用程式會將此許可權表示為下列用戶權力字串:「修改韌體環境值」。
SeChangeNotifyPrivilege
接收檔案或目錄變更通知所需的許可權。 此許可權可讓使用者在流覽NTFS檔案系統或登錄中的物件路徑時,傳遞使用者沒有存取權的資料夾。 此許可權不允許使用者列出資料夾的內容;它可讓使用者只周遊其目錄。 此許可權會使系統略過所有周遊存取檢查。 根據預設,所有用戶都會啟用它。
使用者模式應用程式會將此許可權表示為下列用戶權力字串:「略過周遊檢查」。
SeRemoteShutdownPrivilege
使用網路要求關閉系統所需的許可權。 此許可權可讓使用者從網路上的遠端位置關閉電腦。
使用者模式應用程式將此許可權表示為下列用戶權力字串:「強制從遠端系統關機」。
SeNullSid
Null SID。
SeWorldSid
符合每個人的 SID。
SeLocalSid
本機 SID。
SeCreatorOwnerSid
符合物件擁有者或建立者的 SID。 此 SID 用於可繼承的存取控制專案, (ACE) 。
SeCreatorGroupSid
符合物件建立者群組的 SID。 此 SID 用於可繼承的 ACE。
SeNtAuthoritySid
Microsoft Windows NT 授權單位的 SID。
SeDialupSid
撥號帳戶的 SID。
SeNetworkSid
網路帳戶的 SID。 這個 SID 會在透過網路登入時加入語彙基元的處理序。 對應的登入類型LOGON32_LOGON_NETWORK。
SeBatchSid
批處理的 SID。 這個 SID 會在登入為批次工作時加入語彙基元 (Token) 的處理序。 對應的登入類型LOGON32_LOGON_BATCH。
SeInteractiveSid
互動式帳戶的 SID。 這個 SID 會在進行互動式登入時加入語彙基元的處理序。 對應的登入類型LOGON32_LOGON_INTERACTIVE。
SeLocalSystemSid
符合 LocalSystem 帳戶的 SID,這是服務控制管理員所使用的預先定義本機帳戶。 安全性子系統無法辨識此帳戶。 它在本機計算機上具有廣泛的許可權,並作為網路上的計算機。 其令牌包含 Windows NT AUTHORITY\SYSTEM 和 BUILTIN\Administrators SID;這些帳戶可以存取大部分的系統物件。 所有地區設定中的帳戶名稱都是 “.\LocalSystem”。 您也可以使用名稱 「LocalSystem」 或 「ComputerName\LocalSystem」。。 此帳戶沒有密碼。
在 LocalSystem 帳戶內容中執行的服務會繼承服務控制管理員的安全性內容。 帳戶未與任何登入的用戶帳戶相關聯。
LocalSystem 帳戶具有下列許可權:
- SE_ASSIGNPRIMARYTOKEN_NAME
- SE_AUDIT_NAME
- SE_BACKUP_NAME
- SE_CHANGE_NOTIFY_NAME
- SE_CREATE_PAGEFILE_NAME
- SE_CREATE_PERMANENT_NAME
- SE_CREATE_TOKEN_NAME
- SE_DEBUG_NAME
- SE_INC_BASE_PRIORITY_NAME
- SE_INCREASE_QUOTA_NAME
- SE_LOAD_DRIVER_NAME
- SE_LOCK_MEMORY_NAME
- SE_PROF_SINGLE_PROCESS_NAME
- SE_RESTORE_NAME
- SE_SECURITY_NAME
- SE_SHUTDOWN_NAME
- SE_SYSTEM_ENVIRONMENT_NAME
- SE_SYSTEM_PROFILE_NAME
- SE_SYSTEMTIME_NAME
- SE_TAKE_OWNERSHIP_NAME
- SE_TCB_NAME
- SE_UNDOCK_NAME
大部分的服務不需要這類高許可權等級。 如果您的服務不需要這些許可權,而且不是互動式服務,請考慮使用LocalService帳戶或 NetworkService 帳戶。
SeAliasAdminsSid
符合系統管理員帳戶的 SID。
SeAliasUsersSid
符合內建用戶帳戶的 SID。
SeAliasGuestsSid
符合來賓帳戶的 SID。
SeAliasPowerUsersSid
符合 Power Users 群組的 SID。
SeAliasAccountOpsSid
符合帳戶操作員帳戶的 SID。
SeAliasSystemOpsSid
符合系統運算子群組的 SID。
SeAliasPrintOpsSid
符合列印運算子群組的 SID。
SeAliasBackupOpsSid
符合備份操作員群組的 SID。
SeAuthenticatedUsersSid
符合任何已驗證使用者的 SID。
SeRestrictedSid
受限制程式代碼的 SID。
SeAnonymousLogonSid
匿名帳戶的 SID。
SeUndockPrivilege
從停駐站移除計算機所需的許可權。 此許可權可讓可攜式計算機的使用者按兩下 [ 開始] ,然後按兩下 [ 退出電腦] 來取消模擬電腦。
SeSyncAgentPrivilege
同步處理目錄服務資料所需的許可權。 此許可權可讓進程讀取目錄中的所有物件和屬性,而不論對象和屬性上設定的保護為何。 需要此許可權,才能使用輕量型目錄存取通訊協定 (LDAP) 目錄同步處理 (Dirsync) 服務。 域控制器必須使用此許可權,才能使用LDAP目錄同步處理服務。
SeEnableDelegationPrivilege
啟用計算機和用戶帳戶信任委派所需的許可權。
SeLocalServiceSid
符合 LocalService 帳戶的 SID,這是預先定義的本機帳戶。 LocalService 帳戶在本機計算機上具有最低許可權,並在網路上顯示匿名認證。 所有地區設定中的帳戶名稱都是 “NT AUTHORITY\LocalService”。 此帳戶沒有密碼。 LocalService 帳戶在HKEY_USERS登錄機碼下有自己的子機碼。 因此,HKEY_CURRENT_USER登錄機碼會與 LocalService 帳戶相關聯。
LocalService 帳戶具有下列許可權:
- SE_AUDIT_NAME
- SE_CHANGE_NOTIFY_NAME
- SE_UNDOCK_NAME
- 指派給使用者和已驗證使用者的任何許可權
LocalService 帳戶可在 Microsoft Windows XP 和更新版本的操作系統上使用。
SeNetworkServiceSid
符合 NetworkService 帳戶的 SID,這是預先定義的本機帳戶。 NetworkService 帳戶在本機計算機上具有最低許可權,並作為網路上的計算機。 所有地區設定中的帳戶名稱都是 “NT AUTHORITY\NetworkService”。 此帳戶沒有密碼。
在 NetworkService 帳戶的內容中執行的服務會將電腦的認證呈現給遠端伺服器。 根據預設,遠端令牌包含所有人和已驗證使用者群組的 SID。
NetworkService 帳戶在HKEY_USERS登錄機碼下有自己的子機碼。 因此,HKEY_CURRENT_USER登錄機碼會與 NetworkService 帳戶相關聯。
NetworkService 帳戶具有下列許可權:
- SE_AUDIT_NAME
- SE_CHANGE_NOTIFY_NAME
- SE_UNDOCK_NAME
- 指派給使用者和已驗證使用者的任何許可權
SeManageVolumePrivilege
允許非系統管理或遠端使用者管理磁碟或磁碟所需的許可權。 當使用者在使用者的安全性內容中執行的進程呼叫 User-mode SetFileValidData 例程時,操作系統會在使用者的存取令牌中檢查此許可權。
SeImpersonatePrivilege
模擬使用者所需的許可權。
使用者模式應用程式會將此許可權表示為下列用戶權力字串:「驗證後模擬用戶端」。
SeCreateGlobalPrivilege
用戶帳戶在終端機服務會話中建立全域物件所需的許可權。 請注意,使用者仍然可以建立會話特定物件,而不需指派此用戶權力。 根據預設,此許可權會指派給由服務控制管理員啟動的 Administrators 群組成員、系統帳戶和服務。 此許可權適用於 Windows 2000 Service Pack 4 和更新版本。
使用者模式應用程式會將此許可權表示為下列用戶權力字串:「Create 全域物件」。
SeTrustedCredManAccessPrivilege
以信任呼叫者身分存取 Credential Manager 所需的許可權。
使用者模式應用程式會將此許可權表示為下列用戶權力字串:「以信任呼叫者身分存取認證管理員」。
SeRelabelPrivilege
修改物件之強制完整性層級所需的許可權。
使用者模式應用程式將此許可權表示為下列用戶權力字串:「修改物件標籤」。
從 Windows Vista 開始提供。
SeIncreaseWorkingSetPrivilege
為在用戶內容中執行的應用程式配置更多記憶體所需的許可權。
使用者模式應用程式會將此許可權表示為下列用戶權力字串:「增加進程工作集」。
從 Windows Vista 開始提供。
SeTimeZonePrivilege
調整計算機內部時鐘相關時區所需的許可權。
使用者模式應用程式會將此許可權表示為下列用戶權力字串:「變更時區」。
從 Windows Vista 開始提供。
SeCreateSymbolicLinkPrivilege
符合 IUSR 內建帳戶和IIS_IUSRS內建群組的 SID。
從 Windows Vista 開始提供。
SeIUserSid
不受信任完整性層級的 SID。
從 Windows Vista 開始提供。
SeUntrustedMandatorySid
不受信任完整性層級的 SID。
從 Windows Vista 開始提供。
SeLowMandatorySid
低完整性層級的 SID。
從 Windows Vista 開始提供。
SeMediumMandatorySid
中完整性層級的 SID。
從 Windows Vista 開始提供。
SeHighMandatorySid
高完整性層級的 SID。
從 Windows Vista 開始提供。
SeSystemMandatorySid
系統完整性層級的 SID。
從 Windows Vista 開始提供。
SeOwnerRightsSid
代表物件目前擁有者的群組 SID。
從 Windows Vista 開始提供。
SeAllAppPackagesSid
代表所有應用程式封裝之群組的 SID。 此 SID 可用來授與或拒絕系統上安裝的所有應用程式套件許可權。
從 Windows 8 開始提供。
SeUserModeDriversSid
使用者模式驅動程式的 SID。
SeProcTrustWinTcbSid
SID,識別其持有者做為受信任計算機基底的一部分。 這類程式會被視為高度特殊許可權,且由OS信任。
SeTrustedInstallerSid
受信任安裝程式的 SID。
SeDelegateSessionUserImpersonatePrivilege
本機唯一標識碼 (LUID) ,代表在會話委派期間模擬用戶的許可權。
SeAppSiloSid
SID,代表應用程式接收器,這是 Windows 市集應用程式執行的安全性界限。
SeAppSiloVolumeRootMinimalCapabilitySid
SID,表示存取應用程式接收器內設定檔根目錄的最低功能。
SeAppSiloProfilesRootMinimalCapabilitySid
SID,表示存取應用程式接收器內設定檔根目錄的最低功能。
SeAppSiloPromptForAccessCapabilitySid
SID,表示在應用程式接收器內提示存取的功能。
SeAppSiloAccessToPublisherDirectoryCapabilitySid
SID,表示存取應用程式接收器內發行者目錄的功能。
備註
SeExports 是由 Ntoskrnl.exe導出的大型外部靜態SE_EXPORTS結構。
規格需求
需求 | 值 |
---|---|
標頭 | ntifs.h (包含 Ntifs.h) |