Constantes de privilégio (autorização)
Os privilégios determinam o tipo de operações do sistema que uma conta de usuário pode executar. Um administrador atribui privilégios a contas de usuário e de grupo. Os privilégios de cada usuário incluem aqueles concedidos ao usuário e aos grupos aos quais o usuário pertence.
As funções que obtêm e ajustam os privilégios em um token de acesso usam o tipo LUID identificador exclusivo local para identificar privilégios. Use a função LookupPrivilegeValue para determinar o LUID no sistema local que corresponde a uma constante de privilégio. Use a função LookupPrivilegeName para converter um LUID na constante de cadeia de caracteres correspondente.
O sistema operacional representa um privilégio usando a cadeia de caracteres após “Direito de usuário” na coluna Descrição da tabela a seguir. O sistema operacional exibe as cadeias de caracteres do direito do usuário na coluna Política do nó Atribuição de Direitos de Usuário do snap-in MMC (Console de Gerenciamento Microsoft) em Configurações de Segurança Local.
Exemplo
BOOL EnablePrivilege()
{
LUID PrivilegeRequired ;
BOOL bRes = FALSE;
bRes = LookupPrivilegeValue(NULL, SE_DEBUG_NAME, &PrivilegeRequired);
// ...
return bRes;
}
Exemplo das Amostras do Windows Classic no GitHub.
Constantes
Constante/valor | Descrição |
---|---|
|
Necessário para atribuir o token primário de um processo. Direito de usuário: substituir um token de nível de processo. |
|
Necessário para gerar entradas de log de auditoria. Dê esse privilégio a servidores seguros. Direito de usuário: gerar auditorias de segurança. |
|
Necessário para executar operações de backup. Esse privilégio faz com que o sistema conceda todo o controle de acesso de leitura a qualquer arquivo, independentemente da ACL (lista de controle de acesso) especificada para o arquivo. Qualquer solicitação de acesso diferente da leitura ainda é avaliada com a ACL. Esse privilégio é exigido pelas funções RegSaveKey e RegSaveKeyEx. Os seguintes direitos de acesso serão concedidos se esse privilégio for mantido:
Se o arquivo estiver localizado em uma unidade removível e a opção “Auditar Armazenamento Removível” estiver habilitada, o SE_SECURITY_NAME precisará ter ACCESS_SYSTEM_SECURITY. |
|
Necessário para receber notificações de alterações em arquivos ou diretórios. Esse privilégio também faz com que o sistema ignore todas as verificações de acesso transversal. Ele é habilitado por padrão para todos os usuários. Direito de usuário: ignorar a verificação transversal. |
|
Necessário para criar objetos de mapeamento de arquivo nomeado no namespace global durante as sessões dos Serviços de Terminal. Esse privilégio é habilitado por padrão para administradores, serviços e a conta do sistema local. Direito de usuário: criar objetos globais. |
|
Necessário para criar um arquivo de paginação. Direito de usuário: criar um arquivo de paginação. |
|
Necessário para criar um objeto permanente. Direito de usuário: criar objetos compartilhados permanentes. |
|
Necessário para criar um link simbólico. Direito de usuário: criar links simbólicos. |
|
Necessário para criar um token primário. Direito de usuário: criar um objeto de token. Não é possível adicionar esse privilégio a uma conta de usuário com a política “Criar um objeto de token”. Além disso, não é possível adicionar esse privilégio a um processo próprio usando APIs do Windows.Windows Server 2003 e Windows XP com SP1 e versões anteriores: as APIs do Windows podem adicionar esse privilégio a um processo próprio. |
|
Necessário para depurar e ajustar a memória de um processo pertencente a outra conta. Direito de usuário: depurar programas. |
|
Necessário para obter um token de representação para outro usuário na mesma sessão. Direito de usuário: representar outros usuários. |
|
Necessário para marcar contas de usuário e de computador como confiáveis para delegação. Direito de usuário: permitir que as contas de computador e de usuário sejam confiáveis para delegação. |
|
Necessário para representação. Direito de usuário: representar um cliente após a autenticação. |
|
Necessário para aumentar a prioridade base de um processo. Direito de usuário: aumentar a prioridade de agendamento. |
|
Necessário para aumentar a cota atribuída a um processo. Direito de usuário: ajustar quotas de memória para um processo. |
|
Necessário para alocar mais memória a aplicativos que são executados no contexto dos usuários. Direito de usuário: aumentar um conjunto de trabalho de processo. |
|
Necessário para carregar ou descarregar um driver de dispositivo. Direito de usuário: carregar e descarregar drivers de dispositivo. |
|
Necessário para bloquear páginas físicas na memória. Direito de usuário: bloquear páginas na memória. |
|
Necessário para criar uma conta de computador. Direito de usuário: adicionar estações de trabalho ao domínio. |
|
Necessário para habilitar privilégios de gerenciamento de volume. Direito de usuário: realizar tarefas de manutenção de volume. |
|
Necessário para coletar informações de criação de perfil para um processo individual. Direito de usuário: analisar processo individual. |
|
Necessário para modificar o nível de integridade obrigatório de um objeto. Direito de usuário: modificar um rótulo de objeto. |
|
Necessário para desligar um sistema usando uma solicitação de rede. Direito de usuário: forçar o desligamento por meio de um sistema remoto. |
|
Necessário para executar operações de restauração. Esse privilégio faz com que o sistema conceda todo o controle de acesso de gravação a qualquer arquivo, independentemente da ACL especificada para o arquivo. Qualquer solicitação de acesso diferente da gravação ainda é avaliada com a ACL. Além disso, esse privilégio permite que você defina qualquer SID de usuário ou de grupo válido como o proprietário de um arquivo. Esse privilégio é exigido pela função RegLoadKey. Os seguintes direitos de acesso serão concedidos se esse privilégio for mantido:
Se o arquivo estiver localizado em uma unidade removível e a opção “Auditar Armazenamento Removível” estiver habilitada, o SE_SECURITY_NAME precisará ter ACCESS_SYSTEM_SECURITY. |
|
Necessário para executar várias funções relacionadas à segurança, como controlar e exibir mensagens de auditoria. Esse privilégio identifica o respectivo detentor como um operador de segurança. Direito de usuário: gerenciar a auditoria e o log de segurança. |
|
Necessário para desligar um sistema local. Direito de usuário: desligar o sistema. |
|
Necessário para que um controlador de domínio use os serviços de sincronização de diretório do protocolo LDAP. Esse privilégio permite que o detentor leia todos os objetos e propriedades do diretório, independentemente da proteção nos objetos e nas propriedades. Por padrão, esses direitos são atribuídos às contas de Administrador e LocalSystem nos controladores de domínio. Direito de usuário: sincronizar dados do serviço de diretório. |
|
Necessário para modificar a RAM não volátil de sistemas que usam esse tipo de memória para armazenar informações de configuração. Direito de usuário: modificar valores de ambiente de firmware. |
|
Necessário para coletar informações de criação de perfil para todo o sistema. Direito de usuário: analisar o desempenho do sistema. |
|
Necessário para modificar a hora do sistema. Direito de usuário: alterar a hora do sistema. |
|
Necessário para assumir a propriedade de um objeto sem ter acesso discricionário. Esse privilégio permite que o valor do proprietário seja definido apenas para aqueles valores que o detentor pode legitimamente atribuir como o proprietário de um objeto. Direito de usuário: assumir a propriedade de arquivos ou de outros objetos. |
|
Esse privilégio identifica o respectivo detentor como parte da base de computadores confiáveis. Alguns subsistemas protegidos confiáveis recebem esse privilégio. Direito de usuário: atuar como parte do sistema operacional. |
|
Necessário para ajustar o fuso horário associado ao relógio interno do computador. Direito de usuário: alterar o fuso horário. |
|
Necessário para acessar o Gerenciador de Credenciais como um chamador confiável. Direito de usuário: acessar o Gerenciador de Credenciais como um chamador confiável. |
|
Necessário para desencaixar um laptop. Direito de usuário: remover o computador da base de encaixe. |
|
Necessário para ler entradas não solicitadas de um dispositivo de terminal. Direito de usuário: não aplicável. |
Comentários
As constantes de privilégio são definidas como cadeias de caracteres no Winnt.h. Por exemplo, a constante SE_AUDIT_NAME é definida como “SeAuditPrivilege”.
Requisitos
Requisito | Valor |
---|---|
Cliente mínimo com suporte |
Windows XP [somente aplicativos da área de trabalho] |
Servidor mínimo com suporte |
Windows Server 2003 [somente aplicativos da área de trabalho] |
Cabeçalho |
|