Constantes des droits de compte

Les droits de compte déterminent le type d’ouverture de session qu’un compte d’utilisateur peut effectuer. Un administrateur attribue des droits de compte aux comptes d’utilisateur et de groupe. Les droits de compte de chaque utilisateur incluent ceux accordés à l’utilisateur et aux groupes auxquels l’utilisateur appartient.

Un administrateur système peut utiliser les fonctions de l’autorité de sécurité locale (LSA) pour utiliser les droits de compte. Les fonctions LsaAddAccountRights et LsaRemoveAccountRights ajoutent ou suppriment des droits de compte à partir d’un compte. La fonction LsaEnumerateAccountRights énumère les droits de compte détenus par un compte spécifié. La fonction LsaEnumerateAccountsWithUserRight énumère les comptes qui détiennent un droit de compte spécifié.

Les constantes droites de compte suivantes sont utilisées pour contrôler la capacité d’ouverture de session d’un compte. Les fonctions LogonUser ou LsaLogonUser échouent si le compte connecté ne dispose pas des droits de compte requis pour le type d’ouverture de session en cours d’exécution.

Constante/valeur Description
SE_BATCH_LOGON_NAME
TEXT(« SeBatchLogonRight »)
Obligatoire pour qu’un compte se connecte à l’aide du type d’ouverture de session par lots.
SE_DENY_BATCH_LOGON_NAME
TEXT(« SeDenyBatchLogonRight »)
Refuse explicitement à un compte le droit de se connecter à l’aide du type d’ouverture de session par lots.
SE_DENY_INTERACTIVE_LOGON_NAME
TEXT(« SeDenyInteractiveLogonRight »)
Refuse explicitement à un compte le droit de se connecter à l’aide du type d’ouverture de session interactive.
SE_DENY_NETWORK_LOGON_NAME
TEXT(« SeDenyNetworkLogonRight »)
Refuse explicitement à un compte le droit de se connecter à l’aide du type d’ouverture de session réseau.
SE_DENY_REMOTE_INTERACTIVE_LOGON_NAME
TEXT(« SeDenyRemoteInteractiveLogonRight »)
Refuse explicitement à un compte le droit de se connecter à distance à l’aide du type d’ouverture de session interactive.
SE_DENY_SERVICE_LOGON_NAME
TEXT(« SeDenyServiceLogonRight »)
Refuse explicitement à un compte le droit de se connecter à l’aide du type d’ouverture de session du service.
SE_INTERACTIVE_LOGON_NAME
TEXT(« SeInteractiveLogonRight »)
Obligatoire pour qu’un compte se connecte à l’aide du type d’ouverture de session interactive.
SE_NETWORK_LOGON_NAME
TEXT(« SeNetworkLogonRight »)
Obligatoire pour qu’un compte se connecte à l’aide du type d’ouverture de session réseau.
SE_REMOTE_INTERACTIVE_LOGON_NAME
TEXT(« SeRemoteInteractiveLogonRight »)
Obligatoire pour qu’un compte se connecte à distance à l’aide du type d’ouverture de session interactive.
SE_SERVICE_LOGON_NAME
TEXT(« SeServiceLogonRight »)
Obligatoire pour qu’un compte se connecte à l’aide du type d’ouverture de session de service.

Notes

Les droits SE_DENY remplacent les droits de compte correspondants. Un administrateur peut attribuer un droit de SE_DENY à un compte pour remplacer tous les droits d’ouverture de session qu’un compte peut avoir à la suite d’une appartenance à un groupe. Par exemple, vous pouvez attribuer le droit SE_NETWORK_LOGON_NAME à Tout le monde, mais attribuer le SE_DENY_NETWORK_LOGON_NAME droit aux administrateurs pour empêcher l’administration à distance des ordinateurs.

Toutes les fonctions LSA mentionnées dans l’introduction ci-dessus prennent en charge les droits et privilèges de compte. Contrairement aux privilèges, toutefois, les droits de compte ne sont pas pris en charge par les fonctions LookupPrivilegeValue et LookupPrivilegeName . La fonction GetTokenInformation obtient des informations sur les droits du compte si TokenGroups, et non TokenPrivileges, est spécifié comme valeur du paramètre TokenInformationClass .

Les constantes droites de compte précédentes sont définies en tant que chaînes dans Ntsecapi.h. Par exemple, la constante SE_INTERACTIVE_LOGON_NAME est définie comme « SeInteractiveLogonRight ».

Spécifications

Condition requise Valeur
Client minimal pris en charge
Windows XP [applications de bureau uniquement]
Serveur minimal pris en charge
Windows Server 2003 [applications de bureau uniquement]
En-tête
Ntsecapi.h