Константы привилегий (авторизация)

  • Статья

Привилегии определяют тип системных операций, которые может выполнять учетная запись пользователя. Администратор назначает привилегии учетным записям пользователей и групп. Привилегии каждого пользователя включают те, которые предоставляются пользователю и группам, к которым принадлежит пользователь.

Функции, которые получают и настраивают привилегии в маркере доступа, используют тип локально уникального идентификатора (LUID) для идентификации привилегий. Используйте функцию LookupPrivilegeValue, чтобы определить LUID в локальной системе, которая соответствует константе привилегий. Используйте функцию LookupPrivilegeName , чтобы преобразовать LUID в соответствующую строковую константу.

Операционная система представляет привилегию с помощью строки, следующей за "Права пользователя" в столбце "Описание" следующей таблицы. Операционная система отображает правильные строки пользователя в столбце "Политика" узла назначения прав пользователя оснастки "Локальная безопасность" Параметры консоли управления Майкрософт (MMC).

Пример

BOOL EnablePrivilege()
{
    LUID PrivilegeRequired ;
    BOOL bRes = FALSE;
  
    bRes = LookupPrivilegeValue(NULL, SE_DEBUG_NAME, &PrivilegeRequired);

    // ...

    return bRes;
}

Пример из классических примеров Windows на GitHub.

Константы

Константа/значение Description
SE_ASSIGNPRIMARYTOKEN_NAME
TEXT("SeAssignPrimaryTokenPrivilege")
 Требуется для назначения основного маркера процесса.
Право пользователя: замена маркера уровня процесса.
SE_AUDIT_NAME
TEXT("SeAuditPrivilege")
 Требуется для создания записей журнала аудита. Предоставьте этому привилегию защищенным серверам.
Право пользователя: создание аудита безопасности.
SE_BACKUP_NAME
TEXT("SeBackupPrivilege")
 Требуется для выполнения операций резервного копирования. Эта привилегия приводит к тому, что система предоставляет всем доступом на чтение любому файлу независимо от списка управления доступом (ACL), указанного для файла. Любой запрос доступа, отличный от чтения, по-прежнему оценивается с помощью ACL. Эта привилегия требуется функциями RegSaveKey и RegSaveKeyEx. При наличии этого права доступа предоставляются следующие права доступа:
  • READ_CONTROL
  • ACCESS_SYSTEM_SECURITY
  • FILE_GENERIC_READ
  • FILE_TRAVERSE
Право пользователя: резервное копирование файлов и каталогов.
Если файл находится на съемных дисках и включен параметр "Аудит съемных служба хранилища", SE_SECURITY_NAME требуется ACCESS_SYSTEM_SECURITY.
SE_CHANGE_NOTIFY_NAME
TEXT("SeChangeNotifyPrivilege")
 Требуется для получения уведомлений об изменениях файлов или каталогов. Эта привилегия также приводит к тому, что система пропускает все проверка обхода. Она включена по умолчанию для всех пользователей.
Права пользователя: обход проверка обхода.
SE_CREATE_GLOBAL_NAME
TEXT("SeCreateGlobalPrivilege")
 Требуется для создания именованных объектов сопоставления файлов в глобальном пространстве имен во время сеансов служб терминалов. Эта привилегия включена по умолчанию для администраторов, служб и локальной системной учетной записи.
Право пользователя: создание глобальных объектов.
SE_CREATE_PAGEFILE_NAME
TEXT("SeCreatePagefilePrivilege")
 Требуется для создания файла разбиения по страницам.
Право пользователя: создание файла страницы.
SE_CREATE_PERMANENT_NAME
TEXT("SeCreatePermanentPrivilege")
 Требуется для создания постоянного объекта.
Право пользователя: создание постоянных общих объектов.
SE_CREATE_SYМБOLIC_LINK_NAME
TEXT("SeCreateSymbolicLinkPrivilege")
 Требуется для создания символьной ссылки.
Право пользователя: создание символьных ссылок.
SE_CREATE_TOKEN_NAME
TEXT("SeCreateTokenPrivilege")
 Требуется для создания первичного маркера.
Право пользователя: создание объекта токена.
Эту привилегию нельзя добавить в учетную запись пользователя с помощью политики "Создать объект токена". Кроме того, вы не можете добавить эту привилегию в собственный процесс с помощью API Windows.Windows Server 2003 и Windows XP с пакетом обновления 1 (SP1) и более ранних версий: API Windows могут добавлять эти привилегии в собственный процесс.
SE_DEBUG_NAME
TEXT("SeDebugPrivilege")
 Требуется для отладки и настройки памяти процесса, принадлежащей другой учетной записи.
Права пользователя: отладка программ.
SE_DELEGATE_SESSION_USER_IMPERSONATE_NAME
TEXT("SeDelegateSessionUserImpersonatePrivilege")
 Требуется для получения маркера олицетворения для другого пользователя в том же сеансе.
Права пользователя: олицетворения других пользователей.
SE_ENABLE_DELEGATION_NAME
TEXT("SeEnableDelegationPrivilege")
 Требуется пометить учетные записи пользователей и компьютеров как доверенные для делегирования.
Право пользователя: включение доверия учетных записей компьютеров и пользователей для делегирования.
SE_IMPERSONATE_NAME
TEXT("SeImpersonatePrivilege")
 Требуется для олицетворения.
Право пользователя: олицетворения клиента после проверки подлинности.
SE_INC_BASE_PRIORITY_NAME
TEXT("SeIncreaseBasePriorityPrivilege")
 Требуется для увеличения базового приоритета процесса.
Право пользователя: увеличьте приоритет планирования.
SE_INCREASE_QUOTA_NAME
TEXT("SeIncreaseQuotaPrivilege")
 Требуется для увеличения квоты, назначенной процессу.
Права пользователя: настройте квоты памяти для процесса.
SE_INC_WORKING_SET_NAME
TEXT("SeIncreaseWorkingSetPrivilege")
 Требуется выделить больше памяти для приложений, работающих в контексте пользователей.
Право пользователя: увеличьте рабочий набор процессов.
SE_LOAD_DRIVER_NAME
TEXT("SeLoadDriverPrivilege")
 Требуется для загрузки или выгрузки драйвера устройства.
Права пользователя: загрузка и выгрузка драйверов устройств.
SE_LOCK_MEMORY_NAME
TEXT("SeLockMemoryPrivilege")
 Требуется для блокировки физических страниц в памяти.
Права пользователя: блокировка страниц в памяти.
SE_MACHINE_ACCOUNT_NAME
TEXT("SeMachineAccountPrivilege")
 Требуется для создания учетной записи компьютера.
Право пользователя: добавление рабочих станций в домен.
SE_MANAGE_VOLUME_NAME
TEXT("SeManageVolumePrivilege")
 Требуется для включения привилегий управления томами.
Право пользователя: выполнение задач обслуживания томов.
SE_PROF_SINGLE_PROCESS_NAME
TEXT("SeProfileSingleProcessPrivilege")
 Требуется для сбора сведений о профилировании для одного процесса.
Права пользователя: профилирование одного процесса.
SE_RELABEL_NAME
TEXT("SeRelabelPrivilege")
 Требуется изменить обязательный уровень целостности объекта.
Права пользователя: изменение метки объекта.
SE_REMOTE_SHUTDOWN_NAME
TEXT("SeRemoteShutdownPrivilege")
 Требуется для завершения работы системы с помощью сетевого запроса.
Право пользователя: принудительное завершение работы из удаленной системы.
SE_RESTORE_NAME
TEXT("SeRestorePrivilege")
 Требуется для выполнения операций восстановления. Эта привилегия приводит к тому, что система предоставляет все возможности управления доступом на запись в любой файл независимо от ACL, указанного для файла. Любой запрос доступа, отличный от записи, по-прежнему оценивается с помощью ACL. Кроме того, эта привилегия позволяет задать допустимый идентификатор безопасности пользователя или группы в качестве владельца файла. Эта привилегия требуется функцией RegLoadKey . При наличии этого права доступа предоставляются следующие права доступа:
  • WRITE_DAC
  • WRITE_OWNER
  • ACCESS_SYSTEM_SECURITY
  • FILE_GENERIC_WRITE
  • FILE_ADD_FILE
  • FILE_ADD_SUBDIRECTORY
  • DELETE
Право пользователя: восстановление файлов и каталогов.
Если файл находится на съемных дисках и включен параметр "Аудит съемных служба хранилища", SE_SECURITY_NAME требуется ACCESS_SYSTEM_SECURITY.
SE_SECURITY_NAME
TEXT("SeSecurityPrivilege")
 Требуется для выполнения ряда функций, связанных с безопасностью, таких как управление и просмотр сообщений аудита. Эта привилегия определяет своего владельца как оператора безопасности.
Права пользователя: управление журналом аудита и безопасности.
SE_SHUTDOWN_NAME
TEXT("SeShutdownPrivilege")
 Требуется для завершения работы локальной системы.
Право пользователя: завершение работы системы.
SE_SYNC_AGENT_NAME
TEXT("SeSyncAgentPrivilege")
 Требуется для использования служб синхронизации каталогов упрощенного доступа к каталогам для контроллера домена. Эта привилегия позволяет владельцу считывать все объекты и свойства в каталоге независимо от защиты объектов и свойств. По умолчанию он назначается учетным записям Администратор istrator и LocalSystem на контроллерах домена.
Право пользователя: синхронизация данных службы каталогов.
SE_SYSTEM_ENVIRONMENT_NAME
TEXT("SeSystemEnvironmentPrivilege")
 Требуется изменить ненулевой ОЗУ систем, использующих этот тип памяти для хранения сведений о конфигурации.
Право пользователя: изменение значений среды встроенного ПО.
SE_SYSTEM_PROFILE_NAME
TEXT("SeSystemProfilePrivilege")
 Требуется для сбора сведений о профилировании для всей системы.
Права пользователя: производительность системы профиля.
SE_SYSTEMTIME_NAME
TEXT("SeSystemtimePrivilege")
 Требуется изменить системное время.
Право пользователя: изменение системного времени.
SE_TAKE_OWNERSHIP_NAME
TEXT("SeTakeOwnershipPrivilege")
 Требуется для владения объектом без предоставления дискреционного доступа. Эта привилегия позволяет задать значение владельца только для тех значений, которые владелец может законно назначить владельцем объекта.
Право пользователя: берите на себя владение файлами или другими объектами.
SE_TCB_NAME
TEXT("SeTcbPrivilege")
 Эта привилегия идентифицирует своего владельца как часть базы доверенных компьютеров. Некоторые доверенные защищенные подсистемы предоставляются этим привилегиям.
Право пользователя: действовать как часть операционной системы.
SE_TIME_ZONE_NAME
TEXT("SeTimeZonePrivilege")
 Требуется настроить часовой пояс, связанный с внутренними часами компьютера.
Право пользователя: изменение часового пояса.
SE_TRUSTED_CREDMAN_ACCESS_NAME
TEXT("SeTrustedCredManAccessPrivilege")
 Требуется для доступа к Диспетчеру учетных данных как доверенному вызывающему объекту.
Право пользователя. Доступ к диспетчеру учетных данных в качестве доверенного вызывающего абонента.
SE_UNDOCK_NAME
TEXT("SeUndockPrivilege")
 Требуется открепить ноутбук.
Право пользователя. Удаление компьютера из станции док-станции.
SE_UNSOLICITED_INPUT_NAME
TEXT("SeUnsolicitedInputPrivilege")
 Требуется для чтения незапрошенных входных данных с устройства терминала.
Право пользователя: неприменимо.

Замечания

Константы привилегий определяются как строки в Winnt.h. Например, константа SE_AUDIT_NAME определяется как SeAuditPrivilege.

Requirements

Требование Значение
Минимальная версия клиента
 Windows XP [только классические приложения]
Минимальная версия сервера
 Windows Server 2003 [только классические приложения]
Верхний колонтитул
Winnt.h

См. также

Привилегии