Compartir a través de


Constantes de derechos de cuenta

Los derechos de cuenta determinan el tipo de inicio de sesión que puede realizar una cuenta de usuario. Un administrador asigna derechos de cuenta a las cuentas de usuario y grupo. Los derechos de cuenta de cada usuario incluyen los concedidos al usuario y a los grupos a los que pertenece el usuario.

Un administrador del sistema puede usar las funciones de la Autoridad de seguridad local (LSA) para trabajar con derechos de cuenta. Las funciones LsaAddAccountRights y LsaRemoveAccountRights agregan o quitan derechos de cuenta de una cuenta. La función LsaEnumerateAccountRights enumera los derechos de cuenta mantenidos por una cuenta especificada. La función LsaEnumerateAccountsWithUserRight enumera las cuentas que contienen un derecho de cuenta especificado.

Las siguientes constantes correctas de cuenta se usan para controlar la capacidad de inicio de sesión de una cuenta. Las funciones LogonUser o LsaLogonUser producen un error si la cuenta que se inicia sesión no tiene los derechos de cuenta necesarios para el tipo de inicio de sesión que se está realizando.

Constante o valor Descripción
SE_BATCH_LOGON_NAME
TEXT("SeBatchLogonRight")
Necesario para que una cuenta inicie sesión con el tipo de inicio de sesión por lotes.
SE_DENY_BATCH_LOGON_NAME
TEXT("SeDenyBatchLogonRight")
Deniega explícitamente a una cuenta el derecho de iniciar sesión con el tipo de inicio de sesión por lotes.
SE_DENY_INTERACTIVE_LOGON_NAME
TEXT("SeDenyInteractiveLogonRight")
Deniega explícitamente a una cuenta el derecho de iniciar sesión con el tipo de inicio de sesión interactivo.
SE_DENY_NETWORK_LOGON_NAME
TEXT("SeDenyNetworkLogonRight")
Deniega explícitamente a una cuenta el derecho de iniciar sesión con el tipo de inicio de sesión de red.
SE_DENY_REMOTE_INTERACTIVE_LOGON_NAME
TEXT("SeDenyRemoteInteractiveLogonRight")
Deniega explícitamente a una cuenta el derecho de iniciar sesión de forma remota mediante el tipo de inicio de sesión interactivo.
SE_DENY_SERVICE_LOGON_NAME
TEXT("SeDenyServiceLogonRight")
Deniega explícitamente a una cuenta el derecho de iniciar sesión con el tipo de inicio de sesión de servicio.
SE_INTERACTIVE_LOGON_NAME
TEXT("SeInteractiveLogonRight")
Necesario para que una cuenta inicie sesión con el tipo de inicio de sesión interactivo.
SE_NETWORK_LOGON_NAME
TEXT("SeNetworkLogonRight")
Necesario para que una cuenta inicie sesión con el tipo de inicio de sesión de red.
SE_REMOTE_INTERACTIVE_LOGON_NAME
TEXT("SeRemoteInteractiveLogonRight")
Se requiere para que una cuenta inicie sesión de forma remota mediante el tipo de inicio de sesión interactivo.
SE_SERVICE_LOGON_NAME
TEXT("SeServiceLogonRight")
Necesario para que una cuenta inicie sesión con el tipo de inicio de sesión de servicio.

Comentarios

Los derechos de SE_DENY invalidan los derechos de cuenta correspondientes. Un administrador puede asignar un SE_DENY derecho a una cuenta para invalidar los derechos de inicio de sesión que una cuenta podría tener como resultado de una pertenencia a un grupo. Por ejemplo, podría asignar el SE_NETWORK_LOGON_NAME derecho a Todos, pero asignar el derecho de SE_DENY_NETWORK_LOGON_NAME a administradores para evitar la administración remota de equipos.

Todas las funciones de LSA mencionadas en la introducción anterior admiten los derechos de cuenta y los privilegios. Sin embargo, a diferencia de los privilegios, los derechos de cuenta no son compatibles con las funciones LookupPrivilegeValue y LookupPrivilegeName . La función GetTokenInformation obtendrá información sobre los derechos de cuenta si TokenGroups, y no TokenPrivileges, se especifica como el valor del parámetro TokenInformationClass .

Las constantes correctas de cuenta anteriores se definen como cadenas en Ntsecapi.h. Por ejemplo, la constante SE_INTERACTIVE_LOGON_NAME se define como "SeInteractiveLogonRight".

Requisitos

Requisito Value
Cliente mínimo compatible
Windows XP [solo aplicaciones de escritorio]
Servidor mínimo compatible
Windows Server 2003 [solo aplicaciones de escritorio]
Encabezado
Ntsecapi.h