Costanti dei diritti dell'account

  • Articolo

I diritti dell'account determinano il tipo di accesso che un account utente può eseguire. Un amministratore assegna i diritti dell'account agli account utente e di gruppo. I diritti dell'account di ogni utente includono quelli concessi all'utente e ai gruppi a cui appartiene l'utente.

Un amministratore di sistema può usare le funzioni LSA ( Local Security Authority ) per lavorare con i diritti dell'account. Le funzioni LsaAddAccountRights e LsaRemoveAccountRights aggiungono o rimuovono i diritti dell'account da un account. La funzione LsaEnumerateAccountRights enumera i diritti dell'account detenuti da un account specificato. La funzione LsaEnumerateAccountsWithUserRight enumera gli account che contengono un diritto di account specificato.

Per controllare la capacità di accesso di un account, vengono usate le costanti a destra dell'account seguenti. Le funzioni LogonUser o LsaLogonUser hanno esito negativo se l'account connesso non dispone dei diritti di account necessari per il tipo di accesso eseguito.

Costante/valore Descrizione
SE_BATCH_LOGON_NAME
TEXT("SeBatchLogonRight")
 Obbligatorio per consentire a un account di accedere usando il tipo di accesso batch.
SE_DENY_BATCH_LOGON_NAME
TEXT("SeDenyBatchLogonRight")
 Nega esplicitamente a un account il diritto di accedere usando il tipo di accesso batch.
SE_DENY_INTERACTIVE_LOGON_NAME
TEXT("SeDenyInteractiveLogonRight")
 Nega esplicitamente a un account il diritto di accedere usando il tipo di accesso interattivo.
SE_DENY_NETWORK_LOGON_NAME
TEXT("SeDenyNetworkLogonRight")
 Nega esplicitamente a un account il diritto di accedere usando il tipo di accesso di rete.
SE_DENY_REMOTE_INTERACTIVE_LOGON_NAME
TEXT("SeDenyRemoteInteractiveLogonRight")
 Nega esplicitamente a un account il diritto di accedere in remoto usando il tipo di accesso interattivo.
SE_DENY_SERVICE_LOGON_NAME
TEXT("SeDenyServiceLogonRight")
 Nega esplicitamente a un account il diritto di accedere usando il tipo di accesso del servizio.
SE_INTERACTIVE_LOGON_NAME
TEXT("SeInteractiveLogonRight")
 Obbligatorio per consentire a un account di accedere usando il tipo di accesso interattivo.
SE_NETWORK_LOGON_NAME
TEXT("SeNetworkLogonRight")
 Obbligatorio per consentire a un account di accedere usando il tipo di accesso di rete.
SE_REMOTE_INTERACTIVE_LOGON_NAME
TEXT("SeRemoteInteractiveLogonRight")
 Obbligatorio per consentire a un account di accedere in remoto usando il tipo di accesso interattivo.
SE_SERVICE_LOGON_NAME
TEXT("SeServiceLogonRight")
 Obbligatorio per consentire a un account di accedere usando il tipo di accesso del servizio.

Commenti

I diritti di SE_DENY sostituiscono i diritti dell'account corrispondenti. Un amministratore può assegnare un diritto di SE_DENY a un account per eseguire l'override di tutti i diritti di accesso che un account potrebbe avere a causa dell'appartenenza a un gruppo. Ad esempio, è possibile assegnare il diritto di SE_NETWORK_LOGON_NAME a Tutti, ma assegnare il diritto di SE_DENY_NETWORK_LOGON_NAME agli amministratori per impedire l'amministrazione remota dei computer.

Tutte le funzioni LSA menzionate nell'introduzione precedente supportano sia i diritti dell'account che i privilegi. A differenza dei privilegi, tuttavia, i diritti dell'account non sono supportati dalle funzioni LookupPrivilegeValue e LookupPrivilegeName . La funzione GetTokenInformation otterrà informazioni sui diritti dell'account se TokenGroups e non TokenPrivileges viene specificato come valore del parametro TokenInformationClass .

Le costanti del diritto dell'account precedenti sono definite come stringhe in Ntsecapi.h. Ad esempio, la costante SE_INTERACTIVE_LOGON_NAME viene definita come "SeInteractiveLogonRight".

Requisiti

Requisito Valore
Client minimo supportato
 Windows XP [solo app desktop]
Server minimo supportato
 Windows Server 2003 [solo app desktop]
Intestazione
Ntsecapi.h