Constantes des droits de compte
Les droits de compte déterminent le type d’ouverture de session qu’un compte d’utilisateur peut effectuer. Un administrateur attribue des droits de compte aux comptes d’utilisateur et de groupe. Les droits de compte de chaque utilisateur incluent ceux accordés à l’utilisateur et aux groupes auxquels l’utilisateur appartient.
Un administrateur système peut utiliser les fonctions de l’autorité de sécurité locale (LSA) pour utiliser les droits de compte. Les fonctions LsaAddAccountRights et LsaRemoveAccountRights ajoutent ou suppriment des droits de compte à partir d’un compte. La fonction LsaEnumerateAccountRights énumère les droits de compte détenus par un compte spécifié. La fonction LsaEnumerateAccountsWithUserRight énumère les comptes qui détiennent un droit de compte spécifié.
Les constantes droites de compte suivantes sont utilisées pour contrôler la capacité d’ouverture de session d’un compte. Les fonctions LogonUser ou LsaLogonUser échouent si le compte connecté ne dispose pas des droits de compte requis pour le type d’ouverture de session en cours d’exécution.
Constante/valeur | Description |
---|---|
|
Obligatoire pour qu’un compte se connecte à l’aide du type d’ouverture de session par lots. |
|
Refuse explicitement à un compte le droit de se connecter à l’aide du type d’ouverture de session par lots. |
|
Refuse explicitement à un compte le droit de se connecter à l’aide du type d’ouverture de session interactive. |
|
Refuse explicitement à un compte le droit de se connecter à l’aide du type d’ouverture de session réseau. |
|
Refuse explicitement à un compte le droit de se connecter à distance à l’aide du type d’ouverture de session interactive. |
|
Refuse explicitement à un compte le droit de se connecter à l’aide du type d’ouverture de session du service. |
|
Obligatoire pour qu’un compte se connecte à l’aide du type d’ouverture de session interactive. |
|
Obligatoire pour qu’un compte se connecte à l’aide du type d’ouverture de session réseau. |
|
Obligatoire pour qu’un compte se connecte à distance à l’aide du type d’ouverture de session interactive. |
|
Obligatoire pour qu’un compte se connecte à l’aide du type d’ouverture de session de service. |
Notes
Les droits SE_DENY remplacent les droits de compte correspondants. Un administrateur peut attribuer un droit de SE_DENY à un compte pour remplacer tous les droits d’ouverture de session qu’un compte peut avoir à la suite d’une appartenance à un groupe. Par exemple, vous pouvez attribuer le droit SE_NETWORK_LOGON_NAME à Tout le monde, mais attribuer le SE_DENY_NETWORK_LOGON_NAME droit aux administrateurs pour empêcher l’administration à distance des ordinateurs.
Toutes les fonctions LSA mentionnées dans l’introduction ci-dessus prennent en charge les droits et privilèges de compte. Contrairement aux privilèges, toutefois, les droits de compte ne sont pas pris en charge par les fonctions LookupPrivilegeValue et LookupPrivilegeName . La fonction GetTokenInformation obtient des informations sur les droits du compte si TokenGroups, et non TokenPrivileges, est spécifié comme valeur du paramètre TokenInformationClass .
Les constantes droites de compte précédentes sont définies en tant que chaînes dans Ntsecapi.h. Par exemple, la constante SE_INTERACTIVE_LOGON_NAME est définie comme « SeInteractiveLogonRight ».
Spécifications
Condition requise | Valeur |
---|---|
Client minimal pris en charge |
Windows XP [applications de bureau uniquement] |
Serveur minimal pris en charge |
Windows Server 2003 [applications de bureau uniquement] |
En-tête |
|