SE_EXPORTS Struktur (ntifs.h)
Die SeExports-Struktur ist eine große externe statische SE_EXPORTS-Struktur, die eine Reihe bekannter Sicherheitskonstanten für Berechtigungswerte und Sicherheitsbezeichner definiert.
Syntax
typedef struct _SE_EXPORTS {
LUID SeCreateTokenPrivilege;
LUID SeAssignPrimaryTokenPrivilege;
LUID SeLockMemoryPrivilege;
LUID SeIncreaseQuotaPrivilege;
LUID SeUnsolicitedInputPrivilege;
LUID SeTcbPrivilege;
LUID SeSecurityPrivilege;
LUID SeTakeOwnershipPrivilege;
LUID SeLoadDriverPrivilege;
LUID SeCreatePagefilePrivilege;
LUID SeIncreaseBasePriorityPrivilege;
LUID SeSystemProfilePrivilege;
LUID SeSystemtimePrivilege;
LUID SeProfileSingleProcessPrivilege;
LUID SeCreatePermanentPrivilege;
LUID SeBackupPrivilege;
LUID SeRestorePrivilege;
LUID SeShutdownPrivilege;
LUID SeDebugPrivilege;
LUID SeAuditPrivilege;
LUID SeSystemEnvironmentPrivilege;
LUID SeChangeNotifyPrivilege;
LUID SeRemoteShutdownPrivilege;
PSID SeNullSid;
PSID SeWorldSid;
PSID SeLocalSid;
PSID SeCreatorOwnerSid;
PSID SeCreatorGroupSid;
PSID SeNtAuthoritySid;
PSID SeDialupSid;
PSID SeNetworkSid;
PSID SeBatchSid;
PSID SeInteractiveSid;
PSID SeLocalSystemSid;
PSID SeAliasAdminsSid;
PSID SeAliasUsersSid;
PSID SeAliasGuestsSid;
PSID SeAliasPowerUsersSid;
PSID SeAliasAccountOpsSid;
PSID SeAliasSystemOpsSid;
PSID SeAliasPrintOpsSid;
PSID SeAliasBackupOpsSid;
PSID SeAuthenticatedUsersSid;
PSID SeRestrictedSid;
PSID SeAnonymousLogonSid;
LUID SeUndockPrivilege;
LUID SeSyncAgentPrivilege;
LUID SeEnableDelegationPrivilege;
PSID SeLocalServiceSid;
PSID SeNetworkServiceSid;
LUID SeManageVolumePrivilege;
LUID SeImpersonatePrivilege;
LUID SeCreateGlobalPrivilege;
LUID SeTrustedCredManAccessPrivilege;
LUID SeRelabelPrivilege;
LUID SeIncreaseWorkingSetPrivilege;
LUID SeTimeZonePrivilege;
LUID SeCreateSymbolicLinkPrivilege;
PSID SeIUserSid;
PSID SeUntrustedMandatorySid;
PSID SeLowMandatorySid;
PSID SeMediumMandatorySid;
PSID SeHighMandatorySid;
PSID SeSystemMandatorySid;
PSID SeOwnerRightsSid;
PSID SeAllAppPackagesSid;
PSID SeUserModeDriversSid;
PSID SeProcTrustWinTcbSid;
PSID SeTrustedInstallerSid;
LUID SeDelegateSessionUserImpersonatePrivilege;
PSID SeAppSiloSid;
PSID SeAppSiloVolumeRootMinimalCapabilitySid;
PSID SeAppSiloProfilesRootMinimalCapabilitySid;
PSID SeAppSiloPromptForAccessCapabilitySid;
PSID SeAppSiloAccessToPublisherDirectoryCapabilitySid;
} SE_EXPORTS, *PSE_EXPORTS;
Member
SeCreateTokenPrivilege
Die Berechtigung, die zum Erstellen eines primären Zugriffstokens erforderlich ist.
Anwendungen im Benutzermodus stellen dieses Recht als die folgende benutzerrechtige Zeichenfolge dar: "Create ein Tokenobjekt".
SeAssignPrimaryTokenPrivilege
Die Berechtigung, die erforderlich ist, um das primäre Token eines Prozesses zuzuweisen. Die Berechtigung ermöglicht es einem übergeordneten Prozess, das Zugriffstoken zu ersetzen, das einem untergeordneten Prozess zugeordnet ist.
Anwendungen im Benutzermodus stellen dieses Recht als die folgende Zeichenfolge mit rechtem Benutzer dar: "Ein Token auf Prozessebene ersetzen".
SeLockMemoryPrivilege
Die Berechtigung, die erforderlich ist, um physische Seiten im Arbeitsspeicher zu sperren. Diese Berechtigung ermöglicht es einem Prozess, Daten im physischen Arbeitsspeicher zu speichern, was verhindert, dass das System die Daten in den virtuellen Arbeitsspeicher auf einem Datenträger auslagern kann.
Anwendungen im Benutzermodus stellen dieses Recht als die folgende rechte Zeichenfolge dar: "Erforderlich, um physische Seiten im Arbeitsspeicher zu sperren".
SeIncreaseQuotaPrivilege
Die Berechtigung, die erforderlich ist, um das einem Prozess zugewiesene Kontingent zu erhöhen. Die Berechtigung ermöglicht es einem Prozess, der Zugriff auf einen zweiten Prozess hat, das Prozessorkontingent zu erhöhen, das dem zweiten Prozess zugewiesen ist. Diese Berechtigung ist nützlich für die Systemoptimierung, kann aber missbraucht werden.
Anwendungen im Benutzermodus stellen dieses Recht als die folgende Zeichenfolge mit rechtem Benutzer dar: "Anpassen von Speicherkontingenten für einen Prozess".
SeUnsolicitedInputPrivilege
Die Berechtigung, die zum Lesen unerwünschter Eingaben von einem Endgerät erforderlich ist. Diese Berechtigung ist veraltet und nicht verwendet. Es hat keine Auswirkungen auf das System.
SeTcbPrivilege
Das Recht, das seinen Besitzer als Teil der vertrauenswürdigen Computerbasis identifiziert. In der Regel benötigen nur Authentifizierungsdienste auf niedriger Ebene diese Berechtigung. Einige vertrauenswürdige geschützte Subsysteme erhalten diese Berechtigung.
Anwendungen im Benutzermodus stellen dieses Recht als die folgende Zeichenfolge mit rechtem Benutzer dar: "Als Teil des Betriebssystems handeln".
SeSecurityPrivilege
Die Berechtigung, die erforderlich ist, um eine Reihe sicherheitsbezogener Funktionen auszuführen, z. B. das Steuern und Anzeigen von Überwachungsnachrichten. Mit diesem Recht wird sein Halter als Sicherheitsoperator identifiziert. Dieses Recht ermöglicht es einem Benutzer, Objektzugriffsüberwachungsoptionen für einzelne Ressourcen anzugeben, einschließlich Dateien, Active Directory-Objekte und Registrierungsschlüsseln. Ein Benutzer, der über diese Berechtigung verfügt, kann das Sicherheitsprotokoll auch Ereignisanzeige anzeigen und löschen.
Anwendungen im Benutzermodus stellen dieses Recht als die folgende Zeichenfolge mit rechtem Benutzer dar: "Überwachung und Sicherheitsprotokoll verwalten".
SeTakeOwnershipPrivilege
Die Berechtigung, die erforderlich ist, um den Besitz eines Objekts zu übernehmen, ohne einen ermessensrechtlichen Zugriff zu erhalten. Mit dieser Berechtigung kann der Benutzer den Besitz an allen sicherungsfähigen Objekten im System übernehmen, einschließlich Active Directory-Objekten, Dateien und Ordnern, Druckern, Registrierungsschlüsseln, Prozessen und Threads. Mit dieser Berechtigung kann der Besitzerwert nur auf die Werte festgelegt werden, die der Besitzer legitim als Besitzer eines Objekts zuweisen kann.
Benutzermodusanwendungen stellen dieses Recht als die folgende Zeichenfolge mit der Rechten des Benutzers dar: "Besitz von Dateien oder anderen Objekten übernehmen".
SeLoadDriverPrivilege
Die Berechtigung, die zum Laden oder Entladen eines Gerätetreibers erforderlich ist. Mit diesem Recht kann ein Benutzer Treiber für Plug & Play Geräte installieren und entfernen. Diese Berechtigung ist nicht erforderlich, wenn in der Driver.cab-Datei auf dem Computer bereits ein signierter Treiber für die neue Hardware vorhanden ist.
Anwendungen im Benutzermodus stellen dieses Recht als die folgende Zeichenfolge mit rechtem Benutzer dar: "Laden und Entladen von Gerätetreibern".
SeCreatePagefilePrivilege
Die Berechtigung, die zum Erstellen und Ändern der Größe einer Auslagerungsdatei erforderlich ist.
Anwendungen im Benutzermodus stellen dieses Recht als die folgende Zeichenfolge mit der Rechten des Benutzers dar: "Create einer Seitendatei".
SeIncreaseBasePriorityPrivilege
Die Berechtigung, die erforderlich ist, um die Basispriorität eines Prozesses zu erhöhen. Mit dieser Berechtigung kann ein Benutzer die Basisprioritätsklasse eines Prozesses erhöhen. Das Erhöhen der relativen Priorität innerhalb einer Prioritätsklasse ist kein privilegierter Vorgang und benötigt diese Berechtigung nicht.
Anwendungen im Benutzermodus stellen dieses Recht als folgende benutzerrechtige Zeichenfolge dar: "Erhöhung der Planungspriorität".
SeSystemProfilePrivilege
Die Berechtigung, die zum Sammeln von Profilerstellungsinformationen für das gesamte System erforderlich ist. Die Berechtigung ermöglicht es einem Benutzer, die Leistung von Systemprozessen zu beispielen.
Anwendungen im Benutzermodus stellen dieses Recht als die folgende benutzerrechtige Zeichenfolge dar: "Profilsystemleistung".
SeSystemtimePrivilege
Die Berechtigung, die zum Ändern der Systemzeit erforderlich ist. Mit diesem Recht kann der Benutzer die Zeit auf der internen Uhr des Computers anpassen. Diese Berechtigung ist nicht erforderlich, um die Zeitzone oder andere Anzeigemerkmale der Systemzeit zu ändern.
Anwendungen im Benutzermodus stellen diese Berechtigung als die folgende Zeichenfolge mit rechter Benutzerberechtigung dar: "Ändern der Systemzeit".
SeProfileSingleProcessPrivilege
Die Berechtigung, die zum Sammeln von Profilerstellungsinformationen für einen einzelnen Prozess erforderlich ist. Die Berechtigung ermöglicht es einem Benutzer, die Leistung eines Anwendungsprozesses zu beispielen.
Anwendungen im Benutzermodus stellen dieses Recht als die folgende Zeichenfolge mit der Rechten des Benutzers dar: "Einzelner Prozess profilieren".
SeCreatePermanentPrivilege
Die Berechtigung, die zum Erstellen eines permanenten Objekts erforderlich ist. Mit dieser Berechtigung kann ein Prozess ein Verzeichnisobjekt im Objekt-Manager erstellen. Diese Berechtigung ist nützlich für Kernelmoduskomponenten, die den Objektnamespace erweitern. Komponenten, die im Kernelmodus ausgeführt werden, verfügen über diese Berechtigung inhärent.
Anwendungen im Benutzermodus stellen dieses Recht als die folgende benutzerrechtige Zeichenfolge dar: "Create permanent freigegebene Objekte".
SeBackupPrivilege
Die Berechtigung, die zum Ausführen von Sicherungsvorgängen erforderlich ist. Mit diesem Recht kann der Benutzer Datei- und Verzeichnisberechtigungen umgehen, um das System zu sichern. Diese Berechtigung bewirkt, dass das System unabhängig von der für die Datei angegebenen Zugriffssteuerungsliste (Access Control List, ACL) allen Dateien den Lesezugriff gewährt. Jede andere Zugriffsanforderung als Read wird weiterhin mit der ACL ausgewertet. Diese Berechtigung ist für die Benutzermodusroutinen RegSaveKey und RegSaveKeyEx erforderlich. Die folgenden Zugriffsrechte werden gewährt, wenn diese Berechtigung vorhanden ist:
- READ_CONTROL
- ACCESS_SYSTEM_SECURITY
- FILE_GENERIC_READ
- FILE_TRAVERSE
Anwendungen im Benutzermodus stellen dieses Recht als die folgende Zeichenfolge mit der rechten Benutzerberechtigung dar: "Dateien und Verzeichnisse sichern".
SeRestorePrivilege
Die Berechtigung, die zum Ausführen von Wiederherstellungsvorgängen erforderlich ist. Mit dieser Berechtigung kann ein Benutzer Datei- und Verzeichnisberechtigungen beim Wiederherstellen gesicherter Dateien und Verzeichnisse umgehen und einen beliebigen gültigen Sicherheitsprinzipal als Besitzer eines Objekts festlegen. Diese Berechtigung bewirkt, dass das System jede Schreibzugriffssteuerung für jede Datei gewährt, unabhängig von der für die Datei angegebenen ACL. Alle Zugriffsanforderungen mit Ausnahme des Schreibvorgangs werden weiterhin mit der ACL ausgewertet. Darüber hinaus können Sie mit dieser Berechtigung jede gültige Benutzer- oder Gruppen-SID als Besitzer einer Datei festlegen. Diese Berechtigung ist für die RegLoadKey - und RegUnLoadKey-Routinen im Benutzermodus erforderlich, die eine Struktur hinzufügen oder aus der Registrierung entfernen. Die folgenden Zugriffsrechte werden gewährt, wenn diese Berechtigung vorhanden ist:
- WRITE_DAC
- WRITE_OWNER
- ACCESS_SYSTEM_SECURITY
- FILE_GENERIC_WRITE
- FILE_ADD_FILE
- FILE_ADD_SUBDIRECTORY
- Delete
Anwendungen im Benutzermodus stellen dieses Recht als die folgende Zeichenfolge mit rechtem Benutzer dar: "Dateien und Verzeichnisse wiederherstellen".
SeShutdownPrivilege
Die Berechtigung, die zum Herunterfahren eines lokalen Systems erforderlich ist.
Anwendungen im Benutzermodus stellen dieses Recht als die folgende Zeichenfolge mit der rechten Benutzerberechtigung dar: "System herunterfahren".
SeDebugPrivilege
Die Berechtigung, die zum Debuggen und Anpassen des Arbeitsspeichers eines Prozesses erforderlich ist, der einem anderen Konto gehört. Mit dieser Berechtigung kann der Benutzer einen Debugger an einen beliebigen Prozess anfügen. Diese Berechtigung ermöglicht den Zugriff auf sensible und kritische Betriebssystemkomponenten.
Anwendungen im Benutzermodus stellen dieses Recht als die folgende Zeichenfolge mit rechtem Benutzer dar: "Debugprogramme".
SeAuditPrivilege
Die Berechtigung, die zum Generieren von Überwachungsprotokolleinträgen im Sicherheitsprotokoll erforderlich ist. Das Sicherheitsprotokoll kann verwendet werden, um nicht autorisierten Systemzugriff nachzuverfolgen. Diese Berechtigung sollte für sichere Server erteilt werden.
Anwendungen im Benutzermodus stellen dieses Recht als die folgende Zeichenfolge mit rechtem Benutzer dar: "Generieren von Sicherheitsüberwachungen".
SeSystemEnvironmentPrivilege
Die Berechtigung, die erforderlich ist, um den nicht flüchtigen RAM von Systemen zu ändern, die diesen Speichertyp zum Speichern von Konfigurationsinformationen verwenden.
Benutzermodusanwendungen stellen dieses Recht als die folgende Zeichenfolge mit der rechten Benutzerberechtigung dar: "Firmwareumgebungswerte ändern".
SeChangeNotifyPrivilege
Die Berechtigung, die erforderlich ist, um Benachrichtigungen über Änderungen an Dateien oder Verzeichnissen zu erhalten. Diese Berechtigung ermöglicht es dem Benutzer, Ordner zu übergeben, auf die der Benutzer ansonsten keinen Zugriff hat, während er in einem Objektpfad im NTFS-Dateisystem oder in der Registrierung navigiert. Mit dieser Berechtigung kann der Benutzer den Inhalt eines Ordners nicht auflisten. Es ermöglicht dem Benutzer nur, seine Verzeichnisse zu durchlaufen. Diese Berechtigung bewirkt, dass das System alle Zugriffsprüfungen überspringt. Sie ist standardmäßig für alle Benutzer aktiviert.
Benutzermodusanwendungen stellen diese Berechtigung als folgende Zeichenfolge für Benutzerrechte dar: "Durchlaufüberprüfung umgehen".
SeRemoteShutdownPrivilege
Die Berechtigung, die erforderlich ist, um ein System mithilfe einer Netzwerkanforderung herunterzufahren. Mit dieser Berechtigung kann ein Benutzer einen Computer von einem Remotestandort im Netzwerk herunterfahren.
Benutzermodusanwendungen stellen diese Berechtigung als folgende Zeichenfolge mit Benutzerrecht dar: "Herunterfahren von einem Remotesystem erzwingen".
SeNullSid
Die NULL-SID.
SeWorldSid
Die SID, die mit allen übereinstimmt.
SeLocalSid
Die lokale SID.
SeCreatorOwnerSid
Die SID, die mit dem Besitzer oder Ersteller eines Objekts übereinstimmt. Diese SID wird in vererbbaren Zugriffssteuerungseinträgen (Access Control Entry, ACE) verwendet.
SeCreatorGroupSid
Die SID, die mit der Erstellergruppe eines Objekts übereinstimmt. Diese SID wird in vererbbaren ACEs verwendet.
SeNtAuthoritySid
Die SID für die Microsoft Windows NT-Autorität.
SeDialupSid
Die SID für ein DFÜ-Konto.
SeNetworkSid
Die SID für ein Netzwerkkonto. Diese SID wird dem Prozess eines Tokens bei der Anmeldung über ein Netzwerk hinzugefügt. Der entsprechende Anmeldetyp ist LOGON32_LOGON_NETWORK.
SeBatchSid
Die SID für einen Batchprozess. Diese SID wird dem Prozess eines Tokens beim Anmelden als Batchauftrag hinzugefügt. Der entsprechende Anmeldetyp ist LOGON32_LOGON_BATCH.
SeInteractiveSid
Die SID für ein interaktives Konto. Diese SID wird dem Prozess eines Tokens bei der interaktiven Anmeldung hinzugefügt. Der entsprechende Anmeldetyp ist LOGON32_LOGON_INTERACTIVE.
SeLocalSystemSid
Die SID, die mit dem LocalSystem-Konto übereinstimmt, einem vordefinierten lokalen Konto, das vom Dienststeuerungs-Manager verwendet wird. Dieses Konto wird vom Sicherheitssubsystem nicht erkannt. Es verfügt über umfangreiche Berechtigungen auf dem lokalen Computer und fungiert als Computer im Netzwerk. Das Token enthält die Windows NT AUTHORITY\SYSTEM- und BUILTIN\Administrators-SIDs. Diese Konten haben Zugriff auf die meisten Systemobjekte. Der Name des Kontos in allen Gebietsschemas lautet ".\LocalSystem". Es kann auch der Name "LocalSystem" oder "ComputerName\LocalSystem" verwendet werden. Dieses Konto verfügt nicht über ein Kennwort.
Ein Dienst, der im Kontext des LocalSystem-Kontos ausgeführt wird, erbt den Sicherheitskontext des Dienststeuerungs-Managers. Das Konto ist keinem angemeldeten Benutzerkonto zugeordnet.
Das LocalSystem-Konto verfügt über die folgenden Berechtigungen:
- SE_ASSIGNPRIMARYTOKEN_NAME
- SE_AUDIT_NAME
- SE_BACKUP_NAME
- SE_CHANGE_NOTIFY_NAME
- SE_CREATE_PAGEFILE_NAME
- SE_CREATE_PERMANENT_NAME
- SE_CREATE_TOKEN_NAME
- SE_DEBUG_NAME
- SE_INC_BASE_PRIORITY_NAME
- SE_INCREASE_QUOTA_NAME
- SE_LOAD_DRIVER_NAME
- SE_LOCK_MEMORY_NAME
- SE_PROF_SINGLE_PROCESS_NAME
- SE_RESTORE_NAME
- SE_SECURITY_NAME
- SE_SHUTDOWN_NAME
- SE_SYSTEM_ENVIRONMENT_NAME
- SE_SYSTEM_PROFILE_NAME
- SE_SYSTEMTIME_NAME
- SE_TAKE_OWNERSHIP_NAME
- SE_TCB_NAME
- SE_UNDOCK_NAME
Die meisten Dienste benötigen keine so hohe Berechtigungsstufe. Wenn Ihr Dienst diese Berechtigungen nicht benötigt und kein interaktiver Dienst ist, sollten Sie das LocalService-Konto oder das NetworkService-Konto verwenden.
SeAliasAdminsSid
Die SID, die mit dem Administratorkonto übereinstimmt.
SeAliasUsersSid
Die SID, die mit integrierten Benutzerkonten übereinstimmt.
SeAliasGuestsSid
Die SID, die mit dem Gastkonto übereinstimmt.
SeAliasPowerUsersSid
Die SID, die mit der Gruppe "Power Users" übereinstimmt.
SeAliasAccountOpsSid
Die SID, die dem Kontooperatorkonto entspricht.
SeAliasSystemOpsSid
Die SID, die mit der Gruppe der Systemoperatoren übereinstimmt.
SeAliasPrintOpsSid
Die SID, die mit der Gruppe der Druckoperatoren übereinstimmt.
SeAliasBackupOpsSid
Die SID, die mit der Gruppe "Sicherungsoperatoren" übereinstimmt.
SeAuthenticatedUsersSid
Die SID, die mit jedem authentifizierten Benutzer übereinstimmt.
SeRestrictedSid
Die SID für eingeschränkten Code.
SeAnonymousLogonSid
Die SID für das anonyme Konto.
SeUndockPrivilege
Die Berechtigung, die erforderlich ist, um einen Computer aus einer Dockingstation zu entfernen. Mit dieser Berechtigung kann der Benutzer eines tragbaren Computers den Computer wieder ausdocken, indem er auf Start und dann auf PC auswerfen klickt.
SeSyncAgentPrivilege
Die Berechtigung, die zum Synchronisieren von Verzeichnisdienstdaten erforderlich ist. Diese Berechtigung ermöglicht es einem Prozess, alle Objekte und Eigenschaften im Verzeichnis zu lesen, unabhängig vom Schutz, der für die Objekte und Eigenschaften festgelegt ist. Diese Berechtigung ist erforderlich, um LDAP-Verzeichnissynchronisierungsdienste (Lightweight Directory Access Protocol) (Dirsync) zu verwenden. Diese Berechtigung ist erforderlich, damit ein Domänencontroller die LDAP-Verzeichnissynchronisierungsdienste verwenden kann.
SeEnableDelegationPrivilege
Die Berechtigung, die erforderlich ist, damit Computer- und Benutzerkonten für die Delegierung als vertrauenswürdig eingestuft werden können.
SeLocalServiceSid
Die SID, die mit dem LocalService-Konto übereinstimmt, einem vordefinierten lokalen Konto. Das LocalService-Konto verfügt über Mindestberechtigungen auf dem lokalen Computer und stellt anonyme Anmeldeinformationen im Netzwerk bereit. Der Name des Kontos in allen Gebietsschemas lautet "NT AUTHORITY\LocalService". Dieses Konto verfügt nicht über ein Kennwort. Das LocalService-Konto verfügt über einen eigenen Unterschlüssel unter dem registrierungsschlüssel HKEY_USERS. Daher ist der HKEY_CURRENT_USER Registrierungsschlüssel dem LocalService-Konto zugeordnet.
Das LocalService-Konto verfügt über die folgenden Berechtigungen:
- SE_AUDIT_NAME
- SE_CHANGE_NOTIFY_NAME
- SE_UNDOCK_NAME
- Alle Berechtigungen, die Benutzern und authentifizierten Benutzern zugewiesen sind
Das LocalService-Konto ist unter den Betriebssystemen Microsoft Windows XP und höher verfügbar.
SeNetworkServiceSid
Die SID, die mit dem NetworkService-Konto übereinstimmt, einem vordefinierten lokalen Konto. Das NetworkService-Konto verfügt über Mindestberechtigungen auf dem lokalen Computer und fungiert als Computer im Netzwerk. Der Name des Kontos in allen Gebietsschemas lautet "NT AUTHORITY\NetworkService". Dieses Konto verfügt nicht über ein Kennwort.
Ein Dienst, der im Kontext des NetworkService-Kontos ausgeführt wird, stellt die Anmeldeinformationen des Computers für Remoteserver bereit. Standardmäßig enthält das Remotetoken SIDs für die Gruppen Jeder und Authentifizierte Benutzer.
Das NetworkService-Konto verfügt über einen eigenen Unterschlüssel unter dem registrierungsschlüssel HKEY_USERS. Daher ist der HKEY_CURRENT_USER Registrierungsschlüssel dem NetworkService-Konto zugeordnet.
Das NetworkService-Konto verfügt über die folgenden Berechtigungen:
- SE_AUDIT_NAME
- SE_CHANGE_NOTIFY_NAME
- SE_UNDOCK_NAME
- Alle Berechtigungen, die Benutzern und authentifizierten Benutzern zugewiesen sind
SeManageVolumePrivilege
Die Berechtigung, die erforderlich ist, damit ein Nicht-Administrator oder Remotebenutzer Volumes oder Datenträger verwalten kann. Das Betriebssystem überprüft diese Berechtigung im Zugriffstoken eines Benutzers, wenn ein Prozess, der im Sicherheitskontext des Benutzers ausgeführt wird, die SetFileValidData-Routine im Benutzermodus aufruft.
SeImpersonatePrivilege
Die Berechtigung, die erforderlich ist, um die Identität eines Benutzers zu annehmen.
Benutzermodusanwendungen stellen diese Berechtigung als folgende Zeichenfolge mit Benutzerrecht dar: "Identität eines Clients nach der Authentifizierung annehmen".
SeCreateGlobalPrivilege
Die Berechtigung, die für ein Benutzerkonto erforderlich ist, um globale Objekte in einer Terminaldienstesitzung zu erstellen. Beachten Sie, dass Benutzer weiterhin sitzungsspezifische Objekte erstellen können, ohne dieses Benutzerrecht zugewiesen zu werden. Standardmäßig wird diese Berechtigung Mitgliedern der Gruppe Administratoren, dem Systemkonto und Diensten zugewiesen, die vom Dienststeuerungs-Manager gestartet werden. Diese Berechtigung ist unter Windows 2000 mit Service Pack 4 und höher verfügbar.
Benutzermodusanwendungen stellen diese Berechtigung als folgende Zeichenfolge mit Benutzerrecht dar: "Create Global Objects".
SeTrustedCredManAccessPrivilege
Die Berechtigung, die erforderlich ist, um als vertrauenswürdiger Aufrufer auf den Anmeldeinformations-Manager zuzugreifen.
Benutzermodusanwendungen stellen diese Berechtigung als folgende Zeichenfolge mit Benutzerrecht dar: "Access Credential Manager as a trusted caller".
SeRelabelPrivilege
Die Berechtigung, die zum Ändern der obligatorischen Integritätsebene eines Objekts erforderlich ist.
Benutzermodusanwendungen stellen diese Berechtigung als folgende Zeichenfolge mit Benutzerrecht dar: "Objektbezeichnung ändern".
Verfügbar ab Windows Vista.
SeIncreaseWorkingSetPrivilege
Die Berechtigung, die erforderlich ist, um mehr Arbeitsspeicher für Anwendungen zuzuweisen, die im Kontext von Benutzern ausgeführt werden.
Benutzermodusanwendungen stellen diese Berechtigung als folgende Zeichenfolge mit Benutzerrecht dar: "Erhöhen eines Prozessarbeitssatzes".
Verfügbar ab Windows Vista.
SeTimeZonePrivilege
Die Berechtigung, die erforderlich ist, um die Zeitzone anzupassen, die der internen Uhr des Computers zugeordnet ist.
Benutzermodusanwendungen stellen diese Berechtigung als folgende Zeichenfolge mit Benutzerrecht dar: "Zeitzone ändern".
Verfügbar ab Windows Vista.
SeCreateSymbolicLinkPrivilege
Die SID, die mit dem integrierten IUSR-Konto und der integrierten IIS_IUSRS integrierten Gruppe übereinstimmt.
Verfügbar ab Windows Vista.
SeIUserSid
Die SID für eine nicht vertrauenswürdige Integritätsebene.
Verfügbar ab Windows Vista.
SeUntrustedMandatorySid
Die SID für eine nicht vertrauenswürdige Integritätsebene.
Verfügbar ab Windows Vista.
SeLowMandatorySid
Die SID für eine niedrige Integritätsebene.
Verfügbar ab Windows Vista.
SeMediumMandatorySid
Die SID für eine mittlere Integritätsebene.
Verfügbar ab Windows Vista.
SeHighMandatorySid
Die SID für eine hohe Integritätsebene.
Verfügbar ab Windows Vista.
SeSystemMandatorySid
Die SID für eine Systemintegritätsebene.
Verfügbar ab Windows Vista.
SeOwnerRightsSid
Die SID für eine Gruppe, die den aktuellen Besitzer des Objekts darstellt.
Verfügbar ab Windows Vista.
SeAllAppPackagesSid
Die SID für eine Gruppe, die alle Anwendungspakete darstellt. Diese SID wird verwendet, um allen auf dem System installierten App-Paketen Berechtigungen zu erteilen oder zu verweigern.
Verfügbar ab Windows 8.
SeUserModeDriversSid
Die SID für einen Benutzermodustreiber.
SeProcTrustWinTcbSid
Die SID, die seinen Besitzer als Teil einer vertrauenswürdigen Computerbasis identifiziert. Solche Prozesse werden vom Betriebssystem als hochprivilegiert betrachtet und als vertrauenswürdig eingestuft.
SeTrustedInstallerSid
Die SID für den vertrauenswürdigen Installer.
SeDelegateSessionUserImpersonatePrivilege
Lokal eindeutiger Bezeichner (LUID), der die Berechtigung zum Annehmen der Identität eines Benutzers während der Sitzungsdelegierung darstellt.
SeAppSiloSid
SID, die ein App-Silo darstellt, bei dem es sich um eine Sicherheitsgrenze handelt, innerhalb derer Windows Store-Apps ausgeführt werden.
SeAppSiloVolumeRootMinimalCapabilitySid
SID, die die minimalen Funktionen für den Zugriff auf den Profilstamm innerhalb eines App-Silos darstellt.
SeAppSiloProfilesRootMinimalCapabilitySid
SID, die die minimalen Funktionen für den Zugriff auf den Profilstamm innerhalb eines App-Silos darstellt.
SeAppSiloPromptForAccessCapabilitySid
SID, die die Fähigkeit darstellt, innerhalb eines App-Silos zum Zugriff aufzufordern.
SeAppSiloAccessToPublisherDirectoryCapabilitySid
SID, die die Möglichkeit darstellt, auf das Herausgeberverzeichnis innerhalb eines App-Silos zuzugreifen.
Hinweise
SeExports ist eine große externe statische SE_EXPORTS-Struktur, die von Ntoskrnl.exeexportiert wird.
Anforderungen
| Anforderung | Wert |
|---|---|
| Header | ntifs.h (include Ntifs.h) |