Berechtigungskonstanten (Autorisierung)

  • Artikel

Berechtigungen bestimmen den Typ der Systemvorgänge, die ein Benutzerkonto ausführen können. Ein*e Administrator*in weist Benutzer- und Gruppenkonten Berechtigungen zu. Zu den Berechtigungen der einzelnen Benutzer*innen gehören die, die jeweils ihnen selbst und ihrer Gruppe gewährt wurden.

Die Funktionen, die die Berechtigungen in einem Zugriffstoken abrufen und anpassen, verwenden den Typ lokal eindeutiger Bezeichner (Locally Unique Identifier, LUID), um Berechtigungen zu identifizieren. Verwenden Sie die Funktion LookupPrivilegeValue, um die LUID auf dem lokalen System zu ermitteln, die einer Berechtigungskonstante entspricht. Verwenden Sie die Funktion LookupPrivilegeName, um eine LUID in ihre entsprechende Zeichenfolgenkonstante zu konvertieren.

Das Betriebssystem stellt eine Berechtigung dar, indem es die Zeichenfolge verwendet, die in der Spalte „Beschreibung“ der folgenden Tabelle hinter „Benutzerrecht“ steht. Das Betriebssystem zeigt die Zeichenfolgen der Benutzerrechte in der Spalte Richtlinie des Knotens Benutzerrechtezuweisung des MMC-Snap-Ins (Microsoft Management Console) der lokalen Sicherheitseinstellungen an.

Beispiel

BOOL EnablePrivilege()
{
    LUID PrivilegeRequired ;
    BOOL bRes = FALSE;
  
    bRes = LookupPrivilegeValue(NULL, SE_DEBUG_NAME, &PrivilegeRequired);

    // ...

    return bRes;
}

Beispiel aus Klassische Windows-Beispiele auf GitHub.

Konstanten

Konstante/Wert Beschreibung
SE_ASSIGNPRIMARYTOKEN_NAME
TEXT("SeAssignPrimaryTokenPrivilege")
 Erforderlich, um das primäre Token eines Prozesses zuzuweisen
Benutzerrecht: Ersetzen eines Tokens auf Prozessebene
SE_AUDIT_NAME
TEXT("SeAuditPrivilege")
 Erforderlich, um Überwachungsprotokolleinträgen zu generieren. Gewähren Sie diese Berechtigungen, um Server zu schützen.
Benutzerrecht: Generieren von Sicherheitsüberwachungen
SE_BACKUP_NAME
TEXT("SeBackupPrivilege")
 Erforderlich, um Sicherungsvorgänge auszuführen. Durch diese Berechtigung gewährt das System die komplette Lesezugriffssteuerung für jede Datei, unabhängig von der Zugriffssteuerungsliste (Access Control List, ACL), die für die Datei angegeben ist. Jede andere Zugriffsanforderung als „Lesen“ wird weiterhin mit der ACL ausgewertet. Diese Berechtigung ist für die Funktionen RegSaveKey und RegSaveKeyEx erforderlich. Die folgenden Zugriffsrechte werden für Benutzer*innen mit dieser Berechtigung gewährt:
  • READ_CONTROL
  • ACCESS_SYSTEM_SECURITY
  • FILE_GENERIC_READ
  • FILE_TRAVERSE
Benutzerrecht: Sichern von Dateien und Verzeichnissen
Wenn sich die Datei auf einem Wechseldatenträger befindet und „Überwachen von Wechselmedien“ aktiviert ist, muss SE_SECURITY_NAME über ACCESS_SYSTEM_SECURITY verfügen.
SE_CHANGE_NOTIFY_NAME
TEXT("SeChangeNotifyPrivilege")
 Erforderlich, um Benachrichtigungen über Änderungen an Dateien oder Verzeichnissen zu erhalten. Durch diese Berechtigung überspringt das System zudem alle Durchlaufzugriffsüberprüfungen. Sie ist standardmäßig für alle Benutzer*innen aktiviert.
Benutzerrecht: Umgehen von Durchlaufüberprüfungen
SE_CREATE_GLOBAL_NAME
TEXT("SeCreateGlobalPrivilege")
 Erforderlich, um benannte Dateizuordnungsobjekte im globalen Namespace während TD-Sitzungen zu erstellen. Diese Berechtigung ist standardmäßig für Administrator*innen, Dienste und das lokale Systemkonto aktiviert.
Benutzerrecht: Erstellen globaler Objekte
SE_CREATE_PAGEFILE_NAME
TEXT("SeCreatePagefilePrivilege")
 Erforderlich, um eine Auslagerungsdatei zu erstellen
Benutzerrecht: Erstellen einer Auslagerungsdatei
SE_CREATE_PERMANENT_NAME
TEXT("SeCreatePermanentPrivilege")
 Erforderlich, um ein permanentes Objekt zu erstellen
Benutzerrecht: Erstellen dauerhaft freigegebener Objekte
SE_CREATE_SYMBOLIC_LINK_NAME
TEXT("SeCreateSymbolicLinkPrivilege")
 Erforderlich, um eine symbolische Verknüpfung zu erstellen
Benutzerrecht: Erstellen symbolischer Verknüpfungen
SE_CREATE_TOKEN_NAME
TEXT("SeCreateTokenPrivilege")
 Erforderlich, um ein primäres Token zu erstellen.
Benutzerrecht: Erstellen eines Tokenobjekts
Sie können diese Berechtigung einem Benutzerkonto mit der Richtlinie „Erstellen eines Tokenobjekts“ nicht hinzufügen. Darüber hinaus können Sie diese Berechtigung mithilfe von Windows-APIs nicht einem eigenen Prozess hinzufügen. Windows Server 2003 und Windows XP SP1 und früher: Windows-APIs können diese Berechtigung einem eigenen Prozess hinzufügen.
SE_DEBUG_NAME
TEXT("SeDebugPrivilege")
 Erforderlich zum Debuggen und Anpassen des Arbeitsspeichers eines Prozesses, der sich im Besitz eines anderen Kontos befindet.
Benutzerrecht: Debuggen von Programmen
SE_DELEGATE_SESSION_USER_IMPERSONATE_NAME
TEXT("SeDelegateSessionUserImpersonatePrivilege")
 Erforderlich, um ein Identitätswechseltoken für andere Benutzer*innen in derselben Sitzung abzurufen
Benutzerrecht: Annehmen der Identität anderer Benutzer*innen
SE_ENABLE_DELEGATION_NAME
TEXT("SeEnableDelegationPrivilege")
 Erforderlich, um Benutzer- und Computerkonten für die Delegierung als vertrauenswürdig zu kennzeichnen
Benutzerrecht: Ermöglichen, dass Computer- und Benutzerkonten für die Delegierung vertraut wird
SE_IMPERSONATE_NAME
TEXT("SeImpersonatePrivilege")
 Erforderlich für das Annehmen einer Identität
Benutzerrecht: Annehmen der Identität eines Clients nach der Authentifizierung
SE_INC_BASE_PRIORITY_NAME
TEXT("SeIncreaseBasePriorityPrivilege")
 Erforderlich, um die Basispriorität eines Prozesses zu erhöhen
Benutzerrecht: Anheben der Planungspriorität
SE_INCREASE_QUOTA_NAME
TEXT("SeIncreaseQuotaPrivilege")
 Erforderlich, um das einem Prozess zugewiesene Kontingent zu erhöhen
Benutzerrecht: Anpassen der Speicherkontingente für einen Prozess
SE_INC_WORKING_SET_NAME
TEXT("SeIncreaseWorkingSetPrivilege")
 Erforderlich, um mehr Arbeitsspeicher für Anwendungen zuzuweisen, die im Benutzerkontext ausgeführt werden
Benutzerrecht: Erhöhen eines Prozessarbeitssatzes
SE_LOAD_DRIVER_NAME
TEXT("SeLoadDriverPrivilege")
 Erforderlich zum Laden oder Entladen eines Gerätetreibers.
Benutzerrecht: Laden und Entladen von Gerätetreibern
SE_LOCK_MEMORY_NAME
TEXT("SeLockMemoryPrivilege")
 Erforderlich, um physische Seiten im Arbeitsspeicher zu sperren
Benutzerrecht: Sperren von Seiten im Arbeitsspeicher
SE_MACHINE_ACCOUNT_NAME
TEXT("SeMachineAccountPrivilege")
 Erforderlich, um ein Computerkonto zu erstellen
Benutzerrecht: Hinzufügen von Arbeitsstationen zur Domäne
SE_MANAGE_VOLUME_NAME
TEXT("SeManageVolumePrivilege")
 Erforderlich, um Berechtigungen für die Volumeverwaltung zu aktivieren
Benutzerrecht: Durchführen von Volumenwartungsaufgaben
SE_PROF_SINGLE_PROCESS_NAME
TEXT("SeProfileSingleProcessPrivilege")
 Erforderlich, um Profilerstellungsinformationen für einen einzelnen Prozess zu sammeln
Benutzerrecht: Profilen eines einzelnen Prozesses
SE_RELABEL_NAME
TEXT("SeRelabelPrivilege")
 Erforderlich, um die obligatorische Integritätsebene eines Objekts zu ändern
Benutzerrecht: Ändern einer Objektbezeichnung
SE_REMOTE_SHUTDOWN_NAME
TEXT("SeRemoteShutdownPrivilege")
 Erforderlich, um ein System mithilfe einer Netzwerkanforderung herunterzufahren
Benutzerrecht: Erzwingen des Herunterfahrens von einem Remotesystem
SE_RESTORE_NAME
TEXT("SeRestorePrivilege")
 Erforderlich, um Wiederherstellungsvorgänge auszuführen. Durch diese Berechtigung gewährt das System die komplette Schreibzugriffssteuerung für jede Datei, unabhängig von der ACL, die für die Datei angegeben ist. Jede andere Zugriffsanforderung als „Schreiben“ wird weiterhin mit der ACL ausgewertet. Darüber hinaus können Sie mit diesen Berechtigungen eine beliebige gültige Benutzer- oder Gruppen-SID als Besitzer einer Datei festlegen. Diese Berechtigung ist für die RegLoadKey-Funktion erforderlich. Die folgenden Zugriffsrechte werden für Benutzer*innen mit dieser Berechtigung gewährt:
  • WRITE_DAC
  • WRITE_OWNER
  • ACCESS_SYSTEM_SECURITY
  • FILE_GENERIC_WRITE
  • FILE_ADD_FILE
  • FILE_ADD_SUBDIRECTORY
  • DELETE
Benutzerrecht: Wiederherstellen von Dateien und Verzeichnissen
Wenn sich die Datei auf einem Wechseldatenträger befindet und „Überwachen von Wechselmedien“ aktiviert ist, muss SE_SECURITY_NAME über ACCESS_SYSTEM_SECURITY verfügen.
SE_SECURITY_NAME
TEXT("SeSecurityPrivilege")
 Erforderlich, um eine Reihe sicherheitsbezogener Funktionen wie das Steuern und Anzeigen von Überwachungsmeldungen auszuführen. Benutzer*innen mit dieser Berechtigung werden als Sicherheitsoperator*in identifiziert.
Benutzerrecht: Verwalten von Überwachungs- und Sicherheitsprotokollen
SE_SHUTDOWN_NAME
TEXT("SeShutdownPrivilege")
 Erforderlich, um ein lokales System herunterzufahren
Benutzerrecht: Herunterfahren des Systems
SE_SYNC_AGENT_NAME
TEXT("SeSyncAgentPrivilege")
 Erforderlich, damit ein Domänencontroller die Verzeichnissynchronisierungsdienste des Lightweight Directory Access-Protokolls verwenden kann. Benutzer*innen mit dieser Berechtigung können alle Objekte und Eigenschaften im Verzeichnis unabhängig von ihrem Schutz lesen. Standardmäßig wird sie den Administratorkonten und LocalSystem-Konten auf Domänencontrollern zugewiesen.
Benutzerrecht: Synchronisieren von Verzeichnisdienstdaten
SE_SYSTEM_ENVIRONMENT_NAME
TEXT("SeSystemEnvironmentPrivilege")
 Erforderlich, um den nichtvolatilen RAM von Systemen zu ändern, die diesen Speichertyp zum Speichern von Konfigurationsinformationen verwenden
Benutzerrecht: Ändern von Firmwareumgebungswerten
SE_SYSTEM_PROFILE_NAME
TEXT("SeSystemProfilePrivilege")
 Erforderlich, um Profilerstellungsinformationen für das gesamte System zu sammeln
Benutzerrecht: Profilen der Systemleistung
SE_SYSTEMTIME_NAME
TEXT("SeSystemtimePrivilege")
 Erforderlich, um die Systemzeit zu ändern
Benutzerrecht: Ändern der Systemzeit
SE_TAKE_OWNERSHIP_NAME
TEXT("SeTakeOwnershipPrivilege")
 Erforderlich, um das Eigentum über ein Objekt ohne freigegebenen Zugriff zu übernehmen. Durch diese Berechtigung kann der Besitzerwert lediglich auf die Werte festgelegt werden, die die Benutzer*innen mit dieser Berechtigung legitim als Besitzer*in eines Objekts zuweisen können.
Benutzerrecht: Übernehmen des Eigentums über Dateien oder andere Objekte
SE_TCB_NAME
TEXT("SeTcbPrivilege")
 Benutzer*innen mit dieser Berechtigung werden als Teil der vertrauenswürdigen Computerbasis identifiziert. Einigen vertrauenswürdigen geschützten Subsystemen wird diese Berechtigung gewährt.
Benutzerrecht: Handeln als Teil des Betriebssystems
SE_TIME_ZONE_NAME
TEXT("SeTimeZonePrivilege")
 Erforderlich, um die Zeitzone anzupassen, die der internen Uhr des Computers zugeordnet ist
Benutzerrecht: Ändern der Zeitzone
SE_TRUSTED_CREDMAN_ACCESS_NAME
TEXT("SeTrustedCredManAccessPrivilege")
 Erforderlich für den Zugriff auf die Anmeldeinformationsverwaltung als vertrauenswürdiger Aufrufer
Benutzerrecht: Zugreifen auf die Anmeldeinformationsverwaltung als vertrauenswürdiger Aufrufer
SE_UNDOCK_NAME
TEXT("SeUndockPrivilege")
 Erforderlich, um einen Laptop auszudocken
Benutzerrecht: Entfernen des Computers aus der Dockingstation
SE_UNSOLICITED_INPUT_NAME
TEXT("SeUnsolicitedInputPrivilege")
 Erforderlich, um unerwünschte Eingaben aus einem Terminal-Gerät zu lesen
Benutzerrecht: Nicht verfügbar

Hinweise

Berechtigungskonstanten werden als Zeichenfolgen in Winnt.h definiert. Beispielsweise wird die SE_AUDIT_NAME-Konstante als „SeAuditPrivilege“ definiert.

Anforderungen

Anforderung Wert
Unterstützte Mindestversion (Client)
 Windows XP [nur Desktop-Apps]
Unterstützte Mindestversion (Server)
 Windows Server 2003 [nur Desktop-Apps]
Header
Winnt.h

Siehe auch

Berechtigungen