Constantes de privilège (autorisation)
Les privilèges déterminent le type d’opérations système qu’un compte d’utilisateur peut effectuer. Un administrateur attribue des privilèges aux comptes d’utilisateurs et de groupes. Les privilèges de chaque utilisateur incluent ceux octroyés à l’utilisateur et aux groupes auxquels l’utilisateur appartient.
Les fonctions qui obtiennent et ajustent les privilèges dans un jeton d’accès utilisent le type d' identificateur unique local (LUID) pour identifier les privilèges. Utilisez la fonction LookupPrivilegeValue pour déterminer le LUID sur le système local qui correspond à une constante de privilège. Utilisez la fonction LookupPrivilegeName pour convertir un LUID en sa constante de chaîne correspondante.
Le système d’exploitation représente un privilège à l’aide de la chaîne qui suit « utilisateur droit » dans la colonne Description du tableau suivant. le système d’exploitation affiche les chaînes de droite de l’utilisateur dans la colonne stratégie du nœud attribution des droits utilisateur du composant logiciel enfichable sécurité locale Paramètres la console MMC (Microsoft Management Console).
Exemple
BOOL EnablePrivilege()
{
LUID PrivilegeRequired ;
BOOL bRes = FALSE;
bRes = LookupPrivilegeValue(NULL, SE_DEBUG_NAME, &PrivilegeRequired);
// ...
return bRes;
}
exemple de Windows exemples classiques sur GitHub.
Constantes
| Constante/valeur | Description |
|---|---|
|
Requis pour assigner le jeton principal d’un processus. Droit de l’utilisateur : remplacez un jeton au niveau du processus. |
|
Requis pour générer des entrées de journal d’audit. Accordez ce privilège à des serveurs sécurisés. Droit d’utilisateur : générer des audits de sécurité. |
|
Requis pour effectuer des opérations de sauvegarde. Ce privilège force le système à accorder tout contrôle d’accès en lecture à n’importe quel fichier, quelle que soit la liste de contrôle d’accès (ACL) spécifiée pour le fichier. Toute demande d’accès autre que Read est toujours évaluée avec la liste de contrôle d’accès. Ce privilège est requis par les fonctions RegSaveKey et RegSaveKeyEx. Les droits d’accès suivants sont accordés si ce privilège est détenu :
si le fichier se trouve sur un lecteur amovible et que l’option « Audit des Stockage amovibles » est activée, les SE_SECURITY_NAME doivent avoir ACCESS_SYSTEM_SECURITY. |
|
Requis pour recevoir des notifications des modifications apportées aux fichiers ou aux répertoires. Ce privilège oblige également le système à ignorer toutes les vérifications d’accès Traversal. Il est activé par défaut pour tous les utilisateurs. Droit d’utilisateur : contourner la vérification de parcours. |
|
Requis pour créer des objets de mappage de fichiers nommés dans l’espace de noms global pendant les sessions des services Terminal Server. Ce privilège est activé par défaut pour les administrateurs, les services et le compte système local. Droit de l’utilisateur : créer des objets globaux. |
|
Requis pour créer un fichier d’échange. Droit d’utilisateur : créer un fichier d’échange. |
|
Requis pour créer un objet permanent. Droit d’utilisateur : créez des objets partagés permanents. |
|
Requis pour créer un lien symbolique. Droit d’utilisateur : créez des liens symboliques. |
|
Requis pour créer un jeton principal. Droit d’utilisateur : créez un objet de jeton. Vous ne pouvez pas ajouter ce privilège à un compte d’utilisateur avec la stratégie « créer un objet jeton ». en outre, vous ne pouvez pas ajouter ce privilège à un processus détenu à l’aide d’api Windows. Windows Server 2003 et Windows XP avec SP1 et versions antérieures : les api Windows peuvent ajouter ce privilège à un processus détenu. |
|
Requis pour déboguer et ajuster la mémoire d’un processus appartenant à un autre compte. Droit de l’utilisateur : déboguer les programmes. |
|
Requis pour obtenir un jeton d’emprunt d’identité pour un autre utilisateur au cours de la même session. Droit d’utilisateur : emprunter l’identité d’autres utilisateurs. |
|
Requis pour marquer les comptes d’utilisateurs et d’ordinateurs comme approuvés pour la délégation. Droit d’utilisateur : activez les comptes d’ordinateur et d’utilisateur pour qu’ils soient approuvés pour la délégation. |
|
Requis pour emprunter l’identité. Droit d’utilisateur : emprunter l’identité d’un client après l’authentification. |
|
Requis pour augmenter la priorité de base d’un processus. Droit de l’utilisateur : augmenter la priorité de planification. |
|
Requis pour augmenter le quota affecté à un processus. Droit d’utilisateur : ajuster les quotas de mémoire pour un processus. |
|
Requis pour allouer davantage de mémoire pour les applications qui s’exécutent dans le contexte des utilisateurs. Droit d’utilisateur : augmenter une plage de travail de processus. |
|
Requis pour charger ou décharger un pilote de périphérique. Droit de l’utilisateur : charger et décharger les pilotes de périphérique. |
|
Requis pour verrouiller des pages physiques en mémoire. Droit de l’utilisateur : verrouiller les pages en mémoire. |
|
Requis pour créer un compte d’ordinateur. Droit d’utilisateur : ajouter des stations de travail au domaine. |
|
Requis pour activer les privilèges de gestion du volume. Droit de l’utilisateur : gérez les fichiers sur un volume. |
|
Requis pour collecter des informations de profilage pour un seul processus. Droit de l’utilisateur : profiler un processus unique. |
|
Requis pour modifier le niveau d’intégrité obligatoire d’un objet. Droit de l’utilisateur : modifier l’étiquette d’un objet. |
|
Requis pour arrêter un système à l’aide d’une demande réseau. Droit de l’utilisateur : forcer l’arrêt à partir d’un système distant. |
|
Requis pour effectuer des opérations de restauration. Ce privilège force le système à accorder tout contrôle d’accès en écriture à n’importe quel fichier, quelle que soit la liste ACL spécifiée pour le fichier. Toute demande d’accès autre que l’écriture est toujours évaluée avec la liste de contrôle d’accès. En outre, ce privilège vous permet de définir un SID d’utilisateur ou de groupe valide comme propriétaire d’un fichier. Ce privilège est requis par la fonction RegLoadKey . Les droits d’accès suivants sont accordés si ce privilège est détenu :
si le fichier se trouve sur un lecteur amovible et que l’option « Audit des Stockage amovibles » est activée, les SE_SECURITY_NAME doivent avoir ACCESS_SYSTEM_SECURITY. |
|
Requis pour effectuer un certain nombre de fonctions liées à la sécurité, telles que le contrôle et l’affichage des messages d’audit. Ce privilège identifie son détenteur comme un opérateur de sécurité. Droit d’utilisateur : gérer le journal d’audit et de sécurité. |
|
Requis pour arrêter un système local. Droit de l’utilisateur : Arrêtez le système. |
|
Requis pour qu’un contrôleur de domaine utilise les services de synchronisation d’annuaires Lightweight Directory Access Protocol . Ce privilège permet au détenteur de lire tous les objets et propriétés de l’annuaire, quelle que soit la protection sur les objets et les propriétés. Par défaut, il est affecté aux comptes administrateur et LocalSystem sur les contrôleurs de domaine. Droit de l’utilisateur : synchroniser les données du service d’annuaire. |
|
Requis pour modifier la mémoire RAM non volatile des systèmes qui utilisent ce type de mémoire pour stocker les informations de configuration. Droit de l’utilisateur : modifier les valeurs de l’environnement du microprogramme. |
|
Requis pour collecter des informations de profilage pour l’ensemble du système. Droit de l’utilisateur : profiler les performances du système. |
|
Requis pour modifier l’heure système. Droit de l’utilisateur : modifier l’heure système. |
|
Requis pour prendre possession d’un objet sans disposer d’un accès discrétionnaire. Ce privilège permet de définir la valeur owner uniquement sur les valeurs que le détenteur peut légitimement attribuer en tant que propriétaire d’un objet. Droit d’utilisateur : appropriation de fichiers ou d’autres objets. |
|
Ce privilège identifie son détenteur dans le cadre de la base de l’ordinateur approuvé. Certains sous-systèmes protégés approuvés bénéficient de ce privilège. Droit de l’utilisateur : agir en tant que partie du système d’exploitation. |
|
Requis pour ajuster le fuseau horaire associé à l’horloge interne de l’ordinateur. Droit de l’utilisateur : modifiez le fuseau horaire. |
|
Requis pour accéder au gestionnaire d’informations d’identification en tant qu’appelant approuvé. Droit de l’utilisateur : accédez au gestionnaire des informations d’identification en tant qu’appelant approuvé. |
|
Requis pour déconnecter un ordinateur portable. Droit d’utilisateur : supprimer l’ordinateur de la station d’accueil. |
|
Requis pour lire une entrée non sollicitée à partir d’un périphérique Terminal . Droit de l’utilisateur : non applicable. |
Notes
Les constantes de privilège sont définies en tant que chaînes dans Winnt. h. par exemple, la _ constante SE AUDIT _ NAME est définie sur « SeAuditPrivilege ».
Spécifications
| Condition requise | Valeur |
|---|---|
| Client minimal pris en charge |
Windows [Applications de bureau XP uniquement] |
| Serveur minimal pris en charge |
Windows Serveur 2003 [ applications de bureau uniquement] |
| En-tête |
|