Constantes de direitos de conta

  • Artigo

Os direitos de conta determinam o tipo de logon que uma conta de usuário pode executar. Um administrador atribui direitos de conta a contas de usuário e grupo. Os direitos de conta de cada usuário incluem aqueles concedidos ao usuário e aos grupos aos quais o usuário pertence.

Um administrador do sistema pode usar as funções LSA ( Autoridade de Segurança Local ) para trabalhar com direitos de conta. As funções LsaAddAccountRights e LsaRemoveAccountRights adicionam ou removem direitos de conta de uma conta. A função LsaEnumerateAccountRights enumera os direitos de conta mantidos por uma conta especificada. A função LsaEnumerateAccountsWithUserRight enumera as contas que contêm um direito de conta especificado.

As constantes corretas da conta a seguir são usadas para controlar a capacidade de logon de uma conta. As funções LogonUser ou LsaLogonUser falharão se a conta que está sendo conectada não tiver os direitos de conta necessários para o tipo de logon que está sendo executado.

Constante/valor Descrição
SE_BATCH_LOGON_NAME
TEXT("SeBatchLogonRight")
 Necessário para que uma conta faça logon usando o tipo de logon em lote.
SE_DENY_BATCH_LOGON_NAME
TEXT("SeDenyBatchLogonRight")
 Nega explicitamente a uma conta o direito de fazer logon usando o tipo de logon em lote.
SE_DENY_INTERACTIVE_LOGON_NAME
TEXT("SeDenyInteractiveLogonRight")
 Nega explicitamente a uma conta o direito de fazer logon usando o tipo de logon interativo.
SE_DENY_NETWORK_LOGON_NAME
TEXT("SeDenyNetworkLogonRight")
 Nega explicitamente a uma conta o direito de fazer logon usando o tipo de logon de rede.
SE_DENY_REMOTE_INTERACTIVE_LOGON_NAME
TEXT("SeDenyRemoteInteractiveLogonRight")
 Nega explicitamente a uma conta o direito de fazer logon remotamente usando o tipo de logon interativo.
SE_DENY_SERVICE_LOGON_NAME
TEXT("SeDenyServiceLogonRight")
 Nega explicitamente a uma conta o direito de fazer logon usando o tipo de logon de serviço.
SE_INTERACTIVE_LOGON_NAME
TEXT("SeInteractiveLogonRight")
 Necessário para que uma conta faça logon usando o tipo de logon interativo.
SE_NETWORK_LOGON_NAME
TEXT("SeNetworkLogonRight")
 Necessário para que uma conta faça logon usando o tipo de logon de rede.
SE_REMOTE_INTERACTIVE_LOGON_NAME
TEXT("SeRemoteInteractiveLogonRight")
 Necessário para que uma conta faça logon remotamente usando o tipo de logon interativo.
SE_SERVICE_LOGON_NAME
TEXT("SeServiceLogonRight")
 Necessário para que uma conta faça logon usando o tipo de logon de serviço.

Comentários

Os direitos de SE_DENY substituem os direitos de conta correspondentes. Um administrador pode atribuir um direito de SE_DENY a uma conta para substituir quaisquer direitos de logon que uma conta possa ter como resultado de uma associação de grupo. Por exemplo, você pode atribuir o direito de SE_NETWORK_LOGON_NAME a Todos, mas atribuir o direito de SE_DENY_NETWORK_LOGON_NAME aos Administradores para impedir a administração remota de computadores.

Todas as funções LSA mencionadas na introdução acima dão suporte a direitos de conta e privilégios. Ao contrário dos privilégios, no entanto, os direitos de conta não são suportados pelas funções LookupPrivilegeValue e LookupPrivilegeName . A função GetTokenInformation obterá informações sobre direitos de conta se TokenGroups, e não TokenPrivileges, for especificado como o valor do parâmetro TokenInformationClass .

As constantes corretas da conta anterior são definidas como cadeias de caracteres em Ntsecapi.h. Por exemplo, a constante SE_INTERACTIVE_LOGON_NAME é definida como "SeInteractiveLogonRight".

Requisitos

Requisito Valor
Cliente mínimo com suporte
 Windows XP [somente aplicativos da área de trabalho]
Servidor mínimo com suporte
 Windows Server 2003 [somente aplicativos da área de trabalho]
Cabeçalho
Ntsecapi.h