Constantes de derechos de cuenta
Los derechos de cuenta determinan el tipo de inicio de sesión que puede realizar una cuenta de usuario. Un administrador asigna derechos de cuenta a las cuentas de usuario y grupo. Los derechos de cuenta de cada usuario incluyen los concedidos al usuario y a los grupos a los que pertenece el usuario.
Un administrador del sistema puede usar las funciones de la Autoridad de seguridad local (LSA) para trabajar con derechos de cuenta. Las funciones LsaAddAccountRights y LsaRemoveAccountRights agregan o quitan derechos de cuenta de una cuenta. La función LsaEnumerateAccountRights enumera los derechos de cuenta mantenidos por una cuenta especificada. La función LsaEnumerateAccountsWithUserRight enumera las cuentas que contienen un derecho de cuenta especificado.
Las siguientes constantes correctas de cuenta se usan para controlar la capacidad de inicio de sesión de una cuenta. Las funciones LogonUser o LsaLogonUser producen un error si la cuenta que se inicia sesión no tiene los derechos de cuenta necesarios para el tipo de inicio de sesión que se está realizando.
Constante o valor | Descripción |
---|---|
|
Necesario para que una cuenta inicie sesión con el tipo de inicio de sesión por lotes. |
|
Deniega explícitamente a una cuenta el derecho de iniciar sesión con el tipo de inicio de sesión por lotes. |
|
Deniega explícitamente a una cuenta el derecho de iniciar sesión con el tipo de inicio de sesión interactivo. |
|
Deniega explícitamente a una cuenta el derecho de iniciar sesión con el tipo de inicio de sesión de red. |
|
Deniega explícitamente a una cuenta el derecho de iniciar sesión de forma remota mediante el tipo de inicio de sesión interactivo. |
|
Deniega explícitamente a una cuenta el derecho de iniciar sesión con el tipo de inicio de sesión de servicio. |
|
Necesario para que una cuenta inicie sesión con el tipo de inicio de sesión interactivo. |
|
Necesario para que una cuenta inicie sesión con el tipo de inicio de sesión de red. |
|
Se requiere para que una cuenta inicie sesión de forma remota mediante el tipo de inicio de sesión interactivo. |
|
Necesario para que una cuenta inicie sesión con el tipo de inicio de sesión de servicio. |
Comentarios
Los derechos de SE_DENY invalidan los derechos de cuenta correspondientes. Un administrador puede asignar un SE_DENY derecho a una cuenta para invalidar los derechos de inicio de sesión que una cuenta podría tener como resultado de una pertenencia a un grupo. Por ejemplo, podría asignar el SE_NETWORK_LOGON_NAME derecho a Todos, pero asignar el derecho de SE_DENY_NETWORK_LOGON_NAME a administradores para evitar la administración remota de equipos.
Todas las funciones de LSA mencionadas en la introducción anterior admiten los derechos de cuenta y los privilegios. Sin embargo, a diferencia de los privilegios, los derechos de cuenta no son compatibles con las funciones LookupPrivilegeValue y LookupPrivilegeName . La función GetTokenInformation obtendrá información sobre los derechos de cuenta si TokenGroups, y no TokenPrivileges, se especifica como el valor del parámetro TokenInformationClass .
Las constantes correctas de cuenta anteriores se definen como cadenas en Ntsecapi.h. Por ejemplo, la constante SE_INTERACTIVE_LOGON_NAME se define como "SeInteractiveLogonRight".
Requisitos
Requisito | Value |
---|---|
Cliente mínimo compatible |
Windows XP [solo aplicaciones de escritorio] |
Servidor mínimo compatible |
Windows Server 2003 [solo aplicaciones de escritorio] |
Encabezado |
|