Kontorechtekonst constants

Kontorechte bestimmen den Anmeldetyp, den ein Benutzerkonto ausführen kann. Ein Administrator weist Benutzer- und Gruppenkonten Kontorechte zu. Zu den Kontorechten jedes Benutzers gehören diejenigen, die dem Benutzer und den Gruppen gewährt werden, zu denen der Benutzer gehört.

Ein Systemadministrator kann die Funktionen der lokalen Sicherheitsstelle (Local Security Authority, LSA) verwenden, um mit Kontorechten zu arbeiten. Mit den Funktionen LsaAddAccountRights und LsaRemoveAccountRights werden Kontorechte zu einem Konto hinzugefügt oder daraus entfernt. Die LsaEnumerateAccountRights-Funktion aufzählt die Kontorechte eines angegebenen Kontos. Die LsaEnumerateAccountsWithUserRight-Funktion enumeriert die Konten, die ein angegebenes Kontorecht besitzen.

Die folgenden Kontorechtkonst constants werden verwendet, um die Anmeldefähigkeit eines Kontos zu steuern. Die Funktionen LogonUser oder LsaLogonUser führen zu einem Fehler, wenn das angemeldete Konto nicht über die Kontorechte verfügt, die für den Anmeldetyp erforderlich sind.

Konstante/Wert Beschreibung
SE _ BATCH _ LOGON _ NAME
TEXT("SeBatchLogonRight")
Erforderlich, damit sich ein Konto mithilfe des Batchanmeldungstyps anmelden kann.
SE _ DENY _ BATCH _ LOGON _ NAME
TEXT("SeDenyBatchLogonRight")
Verweigert einem Konto explizit das Recht zur Anmeldung mithilfe des Batchanmeldungstyps.
SE _ DENY _ INTERACTIVE _ LOGON _ NAME
TEXT("SeDenyInteractiveLogonRight")
Verweigert einem Konto explizit das Recht, sich mithilfe des interaktiven Anmeldetyps anmelden zu können.
SE _ DENY _ NETWORK _ LOGON _ NAME
TEXT("SeDenyNetworkLogonRight")
Verweigert einem Konto explizit das Recht, sich mithilfe des Netzwerkanmeldungstyps zu anmelden.
SE _ DENY _ REMOTE _ INTERACTIVE _ LOGON _ NAME
TEXT("SeDenyRemoteInteractiveLogonRight")
Verweigert einem Konto explizit das Recht, sich mithilfe des interaktiven Anmeldetyps remote anmelden zu können.
SE _ DENY _ SERVICE _ LOGON _ NAME
TEXT("SeDenyServiceLogonRight")
Verweigert einem Konto explizit das Recht, sich mithilfe des Dienstanmeldungstyps zu anmelden.
SE _ INTERACTIVE _ LOGON _ NAME
TEXT("SeInteractiveLogonRight")
Erforderlich, damit sich ein Konto mit dem interaktiven Anmeldetyp anmelden kann.
SE _ NETWORK _ LOGON _ NAME
TEXT("SeNetworkLogonRight")
Erforderlich, damit sich ein Konto mithilfe des Netzwerkanmeldungstyps anmelden kann.
SE _ REMOTE _ INTERACTIVE _ LOGON _ NAME
TEXT("SeRemoteInteractiveLogonRight")
Erforderlich, damit sich ein Konto remote mithilfe des interaktiven Anmeldetyps anmelden kann.
SE _ SERVICE _ LOGON _ NAME
TEXT("SeServiceLogonRight")
Erforderlich, damit sich ein Konto mithilfe des Dienstanmeldungstyps anmelden kann.

Bemerkungen

Die SE _ DENY-Rechte überschreiben die entsprechenden Kontorechte. Ein Administrator kann einem Konto ein SE DENY-Recht zuweisen, um alle Anmelderechte zu überschreiben, die ein Konto möglicherweise als Ergebnis einer _ Gruppenmitgliedschaft hat. Sie können z. B. jedem das Recht SE NETZWERKANMELDUNGSNAME zuweisen, aber administratoren das SE-Recht NETZWERKANMELDUNGSNAMEN VERWEIGERN zuweisen, um die Remoteverwaltung von _ _ Computern zu _ _ _ _ _ verhindern.

Alle in der obigen Einführung erwähnten LSA-Funktionen unterstützen sowohl Kontorechte als auch Berechtigungen. Im Gegensatz zu Berechtigungen werden Kontorechte jedoch nicht von den Funktionen LookupPrivilegeValue und LookupPrivilegeName unterstützt. Die GetTokenInformation-Funktion erhält Informationen zu Kontorechten, wenn TokenGroups und nicht TokenPrivileges als Wert des TokenInformationClass-Parameters angegeben wird.

Die oben genannten Kontorechtkonst constants werden als Zeichenfolgen in Ntsecapi.h definiert. Beispielsweise wird die SE _ INTERACTIVE _ LOGON _ NAME-Konstante als "SeInteractiveLogonRight" definiert.

Requirements (Anforderungen)

Anforderung Wert
Unterstützte Mindestversion (Client)
Windows Nur [ XP-Desktop-Apps]
Unterstützte Mindestversion (Server)
Windows Nur Server [ 2003-Desktop-Apps]
Header
Ntsecapi.h