權限常數 (授權)
許可權會決定使用者帳戶可執行的系統作業類型。 系統管理員會將許可權指派給使用者和組帳戶。 每個用戶的許可權包括授與用戶的許可權,以及用戶所屬的群組。
取得和調整存取令牌中許可權的函式會使用本機唯一標識碼 (LUID) 類型來識別許可權。 使用 LookupPrivilegeValue 函式來判斷對應至許可權常數之本機系統上的 LUID。 使用LookupPrivilegeName函式,將LUID轉換為其對應的字串常數。
操作系統會使用下表 [描述] 數據行中的 “User Right” 後面的字串來表示許可權。 操作系統會在本機安全性 設定 Microsoft Management Console (MMC) 嵌入式管理單元之 [用戶權力指派] 節點的 [原則] 數據行中顯示用戶權力字符串。
範例
BOOL EnablePrivilege()
{
LUID PrivilegeRequired ;
BOOL bRes = FALSE;
bRes = LookupPrivilegeValue(NULL, SE_DEBUG_NAME, &PrivilegeRequired);
// ...
return bRes;
}
GitHub 上的 Windows 傳統範例 。
常數
| 常數/值 | 描述 |
|---|---|
|
需要指派 進程的主要令牌 。 用戶權力:取代進程層級令牌。 |
|
產生稽核記錄專案的必要專案。 提供此許可權來保護伺服器。 用戶權力:產生安全性稽核。 |
|
執行備份作業的必要專案。 此許可權可讓系統將所有讀取訪問控制授與任何檔案,而不論 為檔案指定的訪問控制清單 (ACL)。 除了讀取以外的任何存取要求,仍會使用 ACL 進行評估。 RegSaveKey 和 RegSaveKeyEx 函式需要此許可權。 如果保留此許可權,則會授與下列訪問許可權:
如果檔案位於卸除式磁碟驅動器上,且已啟用「稽核卸除式 儲存體」,則需要SE_SECURITY_NAME才能有ACCESS_SYSTEM_SECURITY。 |
|
需要接收檔案或目錄變更的通知。 此許可權也會讓系統略過所有周遊存取檢查。 默認會針對所有用戶啟用它。 用戶權力:略過周遊檢查。 |
|
在終端機服務會話期間,在全域命名空間中建立具名檔案對應物件的必要專案。 系統管理員、服務和本機系統帳戶預設會啟用此許可權。 用戶權力:建立全域物件。 |
|
建立分頁檔案的必要專案。 用戶權力:建立頁面檔。 |
|
建立永久物件的必要專案。 用戶權力:建立永久共享物件。 |
|
建立符號連結的必要專案。 用戶權力:建立符號連結。 |
|
建立主要令牌的必要專案。 用戶權力:建立令牌物件。 您無法將此許可權新增至具有「建立令牌物件」原則的用戶帳戶。 此外,您無法使用 Windows API 將此許可權新增至擁有的進程。Windows Server 2003 和 Windows XP SP1 和更早版本: Windows API 可以將此許可權新增至擁有的進程。 |
|
偵錯並調整另一個帳戶所擁有之進程的記憶體的必要專案。 用戶權力:偵錯程式。 |
|
必須取得相同會話中其他用戶的模擬令牌。 用戶權力:模擬其他使用者。 |
|
若要將使用者和計算機帳戶標示為受信任的委派,則為必要專案。 用戶權力:讓計算機和用戶帳戶能夠受到委派的信任。 |
|
仿真的必要專案。 用戶權力:驗證之後模擬用戶端。 |
|
需要增加進程的基底優先順序。 用戶權力:增加排程優先順序。 |
|
需要增加指派給進程的配額。 用戶權力:調整進程的記憶體配額。 |
|
需要為在用戶內容中執行的應用程式配置更多記憶體。 用戶權力:增加進程工作集。 |
|
載入或卸除設備驅動器的必要專案。 用戶權力:載入和卸除設備驅動器。 |
|
鎖定記憶體中實體頁面的必要專案。 用戶權力:鎖定記憶體中的頁面。 |
|
建立電腦帳戶的必要專案。 用戶權力:將工作站新增至網域。 |
|
啟用磁碟區管理許可權的必要專案。 用戶權力:執行磁碟區維護工作。 |
|
需要收集單一進程的分析資訊。 用戶權力:分析單一程式。 |
|
修改物件的必要完整性層級。 用戶權力:修改物件標籤。 |
|
需要使用網路要求來關閉系統。 用戶權力:強制從遠端系統關機。 |
|
執行還原作業的必要專案。 不論為檔案指定的 ACL 為何,此許可權都會讓系統將所有寫入訪問控制授與任何檔案。 除了寫入以外的任何存取要求,仍會使用 ACL 進行評估。 此外,此許可權可讓您將任何有效的使用者或群組 SID 設定為檔案的擁有者。 RegLoadKey 函式需要此許可權。 如果保留此許可權,則會授與下列訪問許可權:
如果檔案位於卸除式磁碟驅動器上,且已啟用「稽核卸除式 儲存體」,則需要SE_SECURITY_NAME才能有ACCESS_SYSTEM_SECURITY。 |
|
需要執行一些安全性相關功能,例如控制及檢視稽核訊息。 此許可權會將其持有者識別為安全性操作員。 用戶權力:管理稽核和安全性記錄。 |
|
需要關閉本機系統。 用戶權力:關閉系統。 |
|
域控制器必須使用 輕量型目錄存取通訊協定 目錄同步處理服務。 此許可權可讓持有者讀取目錄中的所有物件和屬性,而不論對象和屬性的保護為何。 根據預設,它會指派給域控制器上的 管理員 istrator 和 LocalSystem 帳戶。 用戶權力:同步處理目錄服務數據。 |
|
需要修改使用此類型記憶體來儲存組態資訊之系統的非揮發 RAM。 用戶權力:修改韌體環境值。 |
|
收集整個系統分析資訊的必要專案。 用戶權力:分析系統效能。 |
|
需要修改系統時間。 用戶權力:變更系統時間。 |
|
需要取得對象的擁有權,而不獲授與任意存取權。 此許可權只允許將擁有者值設定為擁有者可以合法指派為對象的擁有者。 用戶權力:取得檔案或其他對象的擁有權。 |
|
此許可權會將其持有者識別為受信任計算機基底的一部分。 某些受信任的受保護子系統會被授與此許可權。 用戶權力:作為操作系統的一部分。 |
|
需要調整與計算機內部時鐘相關聯的時區。 用戶權力:變更時區。 |
|
需要以受信任的呼叫者身分存取認證管理員。 用戶權力:以受信任的呼叫端身分存取認證管理員。 |
|
需要取消停駐膝上型計算機。 用戶權力:從停駐台移除計算機。 |
|
需要從終端機裝置讀取未經請求的輸入。 用戶權力:不適用。 |
備註
Privilege 常數在 Winnt.h 中定義為字串。 例如,SE_AUDIT_NAME常數定義為 “SeAuditPrivilege”。
需求
| 需求 | 值 |
|---|---|
| 最低支援的用戶端 |
Windows XP [僅限傳統型應用程式] |
| 最低支援的伺服器 |
Windows Server 2003 [僅限傳統型應用程式] |
| 頁首 |
|