Constantes de privilège (autorisation)

Les privilèges déterminent le type d’opérations système qu’un compte d’utilisateur peut effectuer. Un administrateur attribue des privilèges aux comptes d’utilisateurs et de groupes. Les privilèges de chaque utilisateur incluent ceux octroyés à l’utilisateur et aux groupes auxquels l’utilisateur appartient.

Les fonctions qui obtiennent et ajustent les privilèges dans un jeton d’accès utilisent le type d' identificateur unique local (LUID) pour identifier les privilèges. Utilisez la fonction LookupPrivilegeValue pour déterminer le LUID sur le système local qui correspond à une constante de privilège. Utilisez la fonction LookupPrivilegeName pour convertir un LUID en sa constante de chaîne correspondante.

Le système d’exploitation représente un privilège à l’aide de la chaîne qui suit « utilisateur droit » dans la colonne Description du tableau suivant. le système d’exploitation affiche les chaînes de droite de l’utilisateur dans la colonne stratégie du nœud attribution des droits utilisateur du composant logiciel enfichable sécurité locale Paramètres la console MMC (Microsoft Management Console).

Exemple

BOOL EnablePrivilege()
{
    LUID PrivilegeRequired ;
    BOOL bRes = FALSE;
  
    bRes = LookupPrivilegeValue(NULL, SE_DEBUG_NAME, &PrivilegeRequired);

    // ...

    return bRes;
}

exemple de Windows exemples classiques sur GitHub.

Constantes

Constante/valeur Description
Texte
SE_ASSIGNPRIMARYTOKEN_NAME
(« SeAssignPrimaryTokenPrivilege »)
Requis pour assigner le jeton principal d’un processus.
Droit de l’utilisateur : remplacez un jeton au niveau du processus.
Texte
SE_AUDIT_NAME
(« SeAuditPrivilege »)
Requis pour générer des entrées de journal d’audit. Accordez ce privilège à des serveurs sécurisés.
Droit d’utilisateur : générer des audits de sécurité.
Texte
SE_BACKUP_NAME
(« SeBackupPrivilege »)
Requis pour effectuer des opérations de sauvegarde. Ce privilège force le système à accorder tout contrôle d’accès en lecture à n’importe quel fichier, quelle que soit la liste de contrôle d’accès (ACL) spécifiée pour le fichier. Toute demande d’accès autre que Read est toujours évaluée avec la liste de contrôle d’accès. Ce privilège est requis par les fonctions RegSaveKey et RegSaveKeyEx. Les droits d’accès suivants sont accordés si ce privilège est détenu :
  • READ_CONTROL
  • ACCESS_SYSTEM_SECURITY
  • FILE_GENERIC_READ
  • FILE_TRAVERSE
Droit d’utilisateur : sauvegarde des fichiers et des répertoires.
si le fichier se trouve sur un lecteur amovible et que l’option « Audit des Stockage amovibles » est activée, les SE_SECURITY_NAME doivent avoir ACCESS_SYSTEM_SECURITY.
Texte
SE_CHANGE_NOTIFY_NAME
(« SeChangeNotifyPrivilege »)
Requis pour recevoir des notifications des modifications apportées aux fichiers ou aux répertoires. Ce privilège oblige également le système à ignorer toutes les vérifications d’accès Traversal. Il est activé par défaut pour tous les utilisateurs.
Droit d’utilisateur : contourner la vérification de parcours.
Texte
SE_CREATE_GLOBAL_NAME
(« SeCreateGlobalPrivilege »)
Requis pour créer des objets de mappage de fichiers nommés dans l’espace de noms global pendant les sessions des services Terminal Server. Ce privilège est activé par défaut pour les administrateurs, les services et le compte système local.
Droit de l’utilisateur : créer des objets globaux.
Texte
SE_CREATE_PAGEFILE_NAME
(« SeCreatePagefilePrivilege »)
Requis pour créer un fichier d’échange.
Droit d’utilisateur : créer un fichier d’échange.
Texte
SE_CREATE_PERMANENT_NAME
(« SeCreatePermanentPrivilege »)
Requis pour créer un objet permanent.
Droit d’utilisateur : créez des objets partagés permanents.
Texte
SE_CREATE_SYMBOLIC_LINK_NAME
(« SeCreateSymbolicLinkPrivilege »)
Requis pour créer un lien symbolique.
Droit d’utilisateur : créez des liens symboliques.
Texte
SE_CREATE_TOKEN_NAME
(« SeCreateTokenPrivilege »)
Requis pour créer un jeton principal.
Droit d’utilisateur : créez un objet de jeton.
Vous ne pouvez pas ajouter ce privilège à un compte d’utilisateur avec la stratégie « créer un objet jeton ». en outre, vous ne pouvez pas ajouter ce privilège à un processus détenu à l’aide d’api Windows. Windows Server 2003 et Windows XP avec SP1 et versions antérieures : les api Windows peuvent ajouter ce privilège à un processus détenu.

Texte
SE_DEBUG_NAME
(« SeDebugPrivilege »)
Requis pour déboguer et ajuster la mémoire d’un processus appartenant à un autre compte.
Droit de l’utilisateur : déboguer les programmes.
Texte
SE_DELEGATE_SESSION_USER_IMPERSONATE_NAME
(« SeDelegateSessionUserImpersonatePrivilege »)
Requis pour obtenir un jeton d’emprunt d’identité pour un autre utilisateur au cours de la même session.
Droit d’utilisateur : emprunter l’identité d’autres utilisateurs.
Texte
SE_ENABLE_DELEGATION_NAME
(« SeEnableDelegationPrivilege »)
Requis pour marquer les comptes d’utilisateurs et d’ordinateurs comme approuvés pour la délégation.
Droit d’utilisateur : activez les comptes d’ordinateur et d’utilisateur pour qu’ils soient approuvés pour la délégation.
Texte
SE_IMPERSONATE_NAME
(« SeImpersonatePrivilege »)
Requis pour emprunter l’identité.
Droit d’utilisateur : emprunter l’identité d’un client après l’authentification.
Texte
SE_INC_BASE_PRIORITY_NAME
(« SeIncreaseBasePriorityPrivilege »)
Requis pour augmenter la priorité de base d’un processus.
Droit de l’utilisateur : augmenter la priorité de planification.
Texte
SE_INCREASE_QUOTA_NAME
(« SeIncreaseQuotaPrivilege »)
Requis pour augmenter le quota affecté à un processus.
Droit d’utilisateur : ajuster les quotas de mémoire pour un processus.
Texte
SE_INC_WORKING_SET_NAME
(« SeIncreaseWorkingSetPrivilege »)
Requis pour allouer davantage de mémoire pour les applications qui s’exécutent dans le contexte des utilisateurs.
Droit d’utilisateur : augmenter une plage de travail de processus.
Texte
SE_LOAD_DRIVER_NAME
(« SeLoadDriverPrivilege »)
Requis pour charger ou décharger un pilote de périphérique.
Droit de l’utilisateur : charger et décharger les pilotes de périphérique.
Texte
SE_LOCK_MEMORY_NAME
(« SeLockMemoryPrivilege »)
Requis pour verrouiller des pages physiques en mémoire.
Droit de l’utilisateur : verrouiller les pages en mémoire.
Texte
SE_MACHINE_ACCOUNT_NAME
(« SeMachineAccountPrivilege »)
Requis pour créer un compte d’ordinateur.
Droit d’utilisateur : ajouter des stations de travail au domaine.
Texte
SE_MANAGE_VOLUME_NAME
(« SeManageVolumePrivilege »)
Requis pour activer les privilèges de gestion du volume.
Droit de l’utilisateur : gérez les fichiers sur un volume.
Texte
SE_PROF_SINGLE_PROCESS_NAME
(« SeProfileSingleProcessPrivilege »)
Requis pour collecter des informations de profilage pour un seul processus.
Droit de l’utilisateur : profiler un processus unique.
Texte
SE_RELABEL_NAME
(« SeRelabelPrivilege »)
Requis pour modifier le niveau d’intégrité obligatoire d’un objet.
Droit de l’utilisateur : modifier l’étiquette d’un objet.
Texte
SE_REMOTE_SHUTDOWN_NAME
(« SeRemoteShutdownPrivilege »)
Requis pour arrêter un système à l’aide d’une demande réseau.
Droit de l’utilisateur : forcer l’arrêt à partir d’un système distant.
Texte
SE_RESTORE_NAME
(« SeRestorePrivilege »)
Requis pour effectuer des opérations de restauration. Ce privilège force le système à accorder tout contrôle d’accès en écriture à n’importe quel fichier, quelle que soit la liste ACL spécifiée pour le fichier. Toute demande d’accès autre que l’écriture est toujours évaluée avec la liste de contrôle d’accès. En outre, ce privilège vous permet de définir un SID d’utilisateur ou de groupe valide comme propriétaire d’un fichier. Ce privilège est requis par la fonction RegLoadKey . Les droits d’accès suivants sont accordés si ce privilège est détenu :
  • WRITE_DAC
  • WRITE_OWNER
  • ACCESS_SYSTEM_SECURITY
  • FILE_GENERIC_WRITE
  • FILE_ADD_FILE
  • FILE_ADD_SUBDIRECTORY
  • Suppression
Droit de l’utilisateur : restaurez les fichiers et les répertoires.
si le fichier se trouve sur un lecteur amovible et que l’option « Audit des Stockage amovibles » est activée, les SE_SECURITY_NAME doivent avoir ACCESS_SYSTEM_SECURITY.
Texte
SE_SECURITY_NAME
(« SeSecurityPrivilege »)
Requis pour effectuer un certain nombre de fonctions liées à la sécurité, telles que le contrôle et l’affichage des messages d’audit. Ce privilège identifie son détenteur comme un opérateur de sécurité.
Droit d’utilisateur : gérer le journal d’audit et de sécurité.
Texte
SE_SHUTDOWN_NAME
(« SeShutdownPrivilege »)
Requis pour arrêter un système local.
Droit de l’utilisateur : Arrêtez le système.
Texte
SE_SYNC_AGENT_NAME
(« SeSyncAgentPrivilege »)
Requis pour qu’un contrôleur de domaine utilise les services de synchronisation d’annuaires Lightweight Directory Access Protocol . Ce privilège permet au détenteur de lire tous les objets et propriétés de l’annuaire, quelle que soit la protection sur les objets et les propriétés. Par défaut, il est affecté aux comptes administrateur et LocalSystem sur les contrôleurs de domaine.
Droit de l’utilisateur : synchroniser les données du service d’annuaire.
Texte
SE_SYSTEM_ENVIRONMENT_NAME
(« SeSystemEnvironmentPrivilege »)
Requis pour modifier la mémoire RAM non volatile des systèmes qui utilisent ce type de mémoire pour stocker les informations de configuration.
Droit de l’utilisateur : modifier les valeurs de l’environnement du microprogramme.
Texte
SE_SYSTEM_PROFILE_NAME
(« SeSystemProfilePrivilege »)
Requis pour collecter des informations de profilage pour l’ensemble du système.
Droit de l’utilisateur : profiler les performances du système.
Texte
SE_SYSTEMTIME_NAME
(« SeSystemTimePrivilege »)
Requis pour modifier l’heure système.
Droit de l’utilisateur : modifier l’heure système.
Texte
SE_TAKE_OWNERSHIP_NAME
(« SeTakeOwnershipPrivilege »)
Requis pour prendre possession d’un objet sans disposer d’un accès discrétionnaire. Ce privilège permet de définir la valeur owner uniquement sur les valeurs que le détenteur peut légitimement attribuer en tant que propriétaire d’un objet.
Droit d’utilisateur : appropriation de fichiers ou d’autres objets.
Texte
SE_TCB_NAME
(« SeTcbPrivilege »)
Ce privilège identifie son détenteur dans le cadre de la base de l’ordinateur approuvé. Certains sous-systèmes protégés approuvés bénéficient de ce privilège.
Droit de l’utilisateur : agir en tant que partie du système d’exploitation.
Texte
SE_TIME_ZONE_NAME
(« SeTimeZonePrivilege »)
Requis pour ajuster le fuseau horaire associé à l’horloge interne de l’ordinateur.
Droit de l’utilisateur : modifiez le fuseau horaire.
Texte
SE_TRUSTED_CREDMAN_ACCESS_NAME
(« SeTrustedCredManAccessPrivilege »)
Requis pour accéder au gestionnaire d’informations d’identification en tant qu’appelant approuvé.
Droit de l’utilisateur : accédez au gestionnaire des informations d’identification en tant qu’appelant approuvé.
Texte
SE_UNDOCK_NAME
(« SeUndockPrivilege »)
Requis pour déconnecter un ordinateur portable.
Droit d’utilisateur : supprimer l’ordinateur de la station d’accueil.
Texte
SE_UNSOLICITED_INPUT_NAME
(« SeUnsolicitedInputPrivilege »)
Requis pour lire une entrée non sollicitée à partir d’un périphérique Terminal .
Droit de l’utilisateur : non applicable.

Notes

Les constantes de privilège sont définies en tant que chaînes dans Winnt. h. par exemple, la _ constante SE AUDIT _ NAME est définie sur « SeAuditPrivilege ».

Spécifications

Condition requise Valeur
Client minimal pris en charge
Windows [Applications de bureau XP uniquement]
Serveur minimal pris en charge
Windows Serveur 2003 [ applications de bureau uniquement]
En-tête
Winnt. h

Voir aussi

Privilèges