Bagikan melalui

Konstanta Hak Istimewa (Otorisasi)

  • Artikel

Hak istimewa menentukan jenis operasi sistem yang dapat dilakukan akun pengguna. Administrator menetapkan hak istimewa untuk akun pengguna dan grup. Hak istimewa setiap pengguna mencakup yang diberikan kepada pengguna dan ke grup tempat pengguna berada.

Fungsi yang mendapatkan dan menyesuaikan hak istimewa dalam token akses menggunakan jenis pengidentifikasi unik lokal (LUID) untuk mengidentifikasi hak istimewa. Gunakan fungsi LookupPrivilegeValue untuk menentukan LUID pada sistem lokal yang sesuai dengan konstanta hak istimewa. Gunakan fungsi LookupPrivilegeName untuk mengonversi LUID ke konstanta string yang sesuai.

Sistem operasi mewakili hak istimewa dengan menggunakan string yang mengikuti "Pengguna Kanan" di kolom Deskripsi tabel berikut. Sistem operasi menampilkan string kanan pengguna di kolom Kebijakan simpul Penetapan Hak Pengguna dari snap-in Keamanan Lokal Pengaturan Microsoft Management Console (MMC).

Contoh

BOOL EnablePrivilege()
{
    LUID PrivilegeRequired ;
    BOOL bRes = FALSE;
  
    bRes = LookupPrivilegeValue(NULL, SE_DEBUG_NAME, &PrivilegeRequired);

    // ...

    return bRes;
}

Contoh dari Sampel Klasik Windows di GitHub.

Konstanta

Konstanta/nilai Deskripsi
SE_ASSIGNPRIMARYTOKEN_NAME
TEXT("SeAssignPrimaryTokenPrivilege")
 Diperlukan untuk menetapkan token utama proses.
Hak Pengguna: Ganti token tingkat proses.
SE_AUDIT_NAME
TEXT("SeAuditPrivilege")
 Diperlukan untuk menghasilkan entri log audit. Berikan hak istimewa ini untuk mengamankan server.
Hak Pengguna: Menghasilkan audit keamanan.
SE_BACKUP_NAME
TEXT("SeBackupPrivilege")
 Diperlukan untuk melakukan operasi pencadangan. Hak istimewa ini menyebabkan sistem memberikan semua kontrol akses baca ke file apa pun, terlepas dari daftar kontrol akses (ACL) yang ditentukan untuk file. Setiap permintaan akses selain baca masih dievaluasi dengan ACL. Hak istimewa ini diperlukan oleh fungsi RegSaveKey dan RegSaveKeyEx. Hak akses berikut diberikan jika hak istimewa ini ditahan:
  • READ_CONTROL
  • ACCESS_SYSTEM_SECURITY
  • FILE_GENERIC_READ
  • FILE_TRAVERSE
Hak Pengguna: Mencadangkan file dan direktori.
Jika file terletak di drive yang dapat dilepas dan "Audit Penyimpanan yang Dapat Dilepas" diaktifkan, SE_SECURITY_NAME harus memiliki ACCESS_SYSTEM_SECURITY.
SE_CHANGE_NOTIFY_NAME
TEXT("SeChangeNotifyPrivilege")
 Diperlukan untuk menerima pemberitahuan perubahan pada file atau direktori. Hak istimewa ini juga menyebabkan sistem melewati semua pemeriksaan akses traversal. Ini diaktifkan secara default untuk semua pengguna.
Hak Pengguna: Melewati pemeriksaan melintasi.
SE_CREATE_GLOBAL_NAME
TEXT("SecreateGlobalPrivilege")
 Diperlukan untuk membuat objek pemetaan file bernama di namespace layanan global selama sesi Layanan Terminal. Hak istimewa ini diaktifkan secara default untuk administrator, layanan, dan akun sistem lokal.
Hak Pengguna: Membuat objek global.
SE_CREATE_PAGEFILE_NAME
TEXT("SeCreatePagefilePrivilege")
 Diperlukan untuk membuat file halaman.
Hak Pengguna: Buat pagefile.
SE_CREATE_PERMANENT_NAME
TEXT("SeCreatePermanentPrivilege")
 Diperlukan untuk membuat objek permanen.
Hak Pengguna: Buat objek bersama permanen.
SE_CREATE_SYMBOLIC_LINK_NAME
TEXT("SeCreateSymbolicLinkPrivilege")
 Diperlukan untuk membuat tautan simbolis.
Hak Pengguna: Buat tautan simbolis.
SE_CREATE_TOKEN_NAME
TEXT("SeCreateTokenPrivilege")
 Diperlukan untuk membuat token utama.
Hak Pengguna: Buat objek token.
Anda tidak dapat menambahkan hak istimewa ini ke akun pengguna dengan kebijakan "Buat objek token". Selain itu, Anda tidak dapat menambahkan hak istimewa ini ke proses yang dimiliki menggunakan API Windows.Windows Server 2003 dan Windows XP dengan SP1 dan yang lebih lama: WINDOWS API dapat menambahkan hak istimewa ini ke proses yang dimiliki.
SE_DEBUG_NAME
TEXT("SeDebugPrivilege")
 Diperlukan untuk men-debug dan menyesuaikan memori proses yang dimiliki oleh akun lain.
Hak Pengguna: Men-debug program.
SE_DELEGATE_SESSION_USER_IMPERSONATE_NAME
TEXT("SeDelegateSessionUserImpersonatePrivilege")
 Diperlukan untuk mendapatkan token peniruan identitas untuk pengguna lain dalam sesi yang sama.
Hak Pengguna: Meniru pengguna lain.
SE_ENABLE_DELEGATION_NAME
TEXT("SeEnableDelegationPrivilege")
 Diperlukan untuk menandai akun pengguna dan komputer sebagai tepercaya untuk delegasi.
Hak Pengguna: Aktifkan akun komputer dan pengguna untuk dipercaya untuk delegasi.
SE_IMPERSONATE_NAME
TEXT("SeImpersonatePrivilege")
 Diperlukan untuk meniru.
Hak Pengguna: Meniru klien setelah autentikasi.
SE_INC_BASE_PRIORITY_NAME
TEXT("SeIncreaseBasePriorityPrivilege")
 Diperlukan untuk meningkatkan prioritas dasar proses.
Hak Pengguna: Tingkatkan prioritas penjadwalan.
SE_INCREASE_QUOTA_NAME
TEXT("SeIncreaseQuotaPrivilege")
 Diperlukan untuk meningkatkan kuota yang ditetapkan ke proses.
Hak Pengguna: Sesuaikan kuota memori untuk proses.
SE_INC_WORKING_SET_NAME
TEXT("SeIncreaseWorkingSetPrivilege")
 Diperlukan untuk mengalokasikan lebih banyak memori untuk aplikasi yang berjalan dalam konteks pengguna.
Hak Pengguna: Meningkatkan set kerja proses.
SE_LOAD_DRIVER_NAME
TEXT("SeLoadDriverPrivilege")
 Diperlukan untuk memuat atau membongkar driver perangkat.
Hak Pengguna: Memuat dan membongkar driver perangkat.
SE_LOCK_MEMORY_NAME
TEXT("SeLockMemoryPrivilege")
 Diperlukan untuk mengunci halaman fisik dalam memori.
Hak Pengguna: Mengunci halaman dalam memori.
SE_MACHINE_ACCOUNT_NAME
TEXT("SeMachineAccountPrivilege")
 Diperlukan untuk membuat akun komputer.
Hak Pengguna: Tambahkan stasiun kerja ke domain.
SE_MANAGE_VOLUME_NAME
TEXT("SeManageVolumePrivilege")
 Diperlukan untuk mengaktifkan hak istimewa manajemen volume.
Hak Pengguna: Lakukan tugas pemeliharaan volume.
SE_PROF_SINGLE_PROCESS_NAME
TEXT("SeProfileSingleProcessPrivilege")
 Diperlukan untuk mengumpulkan informasi pembuatan profil untuk satu proses.
Hak Pengguna: Proses tunggal profil.
SE_RELABEL_NAME
TEXT("SeRelabelPrivilege")
 Diperlukan untuk mengubah tingkat integritas wajib objek.
Kanan Pengguna: Mengubah label objek.
SE_REMOTE_SHUTDOWN_NAME
TEXT("SeRemoteShutdownPrivilege")
 Diperlukan untuk mematikan sistem menggunakan permintaan jaringan.
Hak Pengguna: Matikan paksa dari sistem jarak jauh.
SE_RESTORE_NAME
TEXT("SeRestorePrivilege")
 Diperlukan untuk melakukan operasi pemulihan. Hak istimewa ini menyebabkan sistem memberikan semua kontrol akses tulis ke file apa pun, terlepas dari ACL yang ditentukan untuk file tersebut. Setiap permintaan akses selain tulis masih dievaluasi dengan ACL. Selain itu, hak istimewa ini memungkinkan Anda mengatur SID pengguna atau grup yang valid sebagai pemilik file. Hak istimewa ini diperlukan oleh fungsi RegLoadKey. Hak akses berikut diberikan jika hak istimewa ini ditahan:
  • WRITE_DAC
  • WRITE_OWNER
  • ACCESS_SYSTEM_SECURITY
  • FILE_GENERIC_WRITE
  • FILE_ADD_FILE
  • FILE_ADD_SUBDIRECTORY
  • DELETE
Hak Pengguna: Memulihkan file dan direktori.
Jika file terletak di drive yang dapat dilepas dan "Audit Penyimpanan yang Dapat Dilepas" diaktifkan, SE_SECURITY_NAME harus memiliki ACCESS_SYSTEM_SECURITY.
SE_SECURITY_NAME
TEXT("SeSecurityPrivilege")
 Diperlukan untuk melakukan sejumlah fungsi terkait keamanan, seperti mengontrol dan melihat pesan audit. Hak istimewa ini mengidentifikasi pemegangnya sebagai operator keamanan.
Hak Pengguna: Mengelola audit dan log keamanan.
SE_SHUTDOWN_NAME
TEXT("SeShutdownPrivilege")
 Diperlukan untuk mematikan sistem lokal.
Hak Pengguna: Matikan sistem.
SE_SYNC_AGENT_NAME
TEXT("SeSyncAgentPrivilege")
 Diperlukan bagi pengendali domain untuk menggunakan layanan sinkronisasi direktori Lightweight Directory Access Protocol . Hak istimewa ini memungkinkan pemegang untuk membaca semua objek dan properti di direktori, terlepas dari perlindungan pada objek dan properti. Secara default, ini ditetapkan ke akun Administrator dan LocalSystem pada pengendali domain.
Hak Pengguna: Menyinkronkan data layanan direktori.
SE_SYSTEM_ENVIRONMENT_NAME
TEXT("SeSystemEnvironmentPrivilege")
 Diperlukan untuk mengubah RAM nonvolatile sistem yang menggunakan jenis memori ini untuk menyimpan informasi konfigurasi.
Hak Pengguna: Memodifikasi nilai lingkungan firmware.
SE_SYSTEM_PROFILE_NAME
TEXT("SeSystemProfilePrivilege")
 Diperlukan untuk mengumpulkan informasi pembuatan profil untuk seluruh sistem.
Hak Pengguna: Performa sistem profil.
SE_SYSTEMTIME_NAME
TEXT("SeSystemtimePrivilege")
 Diperlukan untuk mengubah waktu sistem.
Hak Pengguna: Ubah waktu sistem.
SE_TAKE_OWNERSHIP_NAME
TEXT("SeTakeOwnershipPrivilege")
 Diperlukan untuk mengambil kepemilikan objek tanpa diberikan akses diskresi. Hak istimewa ini memungkinkan nilai pemilik diatur hanya ke nilai-nilai yang dapat ditetapkan pemegang secara sah sebagai pemilik objek.
Hak Pengguna: Ambil kepemilikan file atau objek lainnya.
SE_TCB_NAME
TEXT("SeTcbPrivilege")
 Hak istimewa ini mengidentifikasi pemegangnya sebagai bagian dari basis komputer tepercaya. Beberapa subsistem tepercaya yang dilindungi diberikan hak istimewa ini.
Hak Pengguna: Bertindak sebagai bagian dari sistem operasi.
SE_TIME_ZONE_NAME
TEXT("SeTimeZonePrivilege")
 Diperlukan untuk menyesuaikan zona waktu yang terkait dengan jam internal komputer.
Hak Pengguna: Ubah zona waktu.
SE_TRUSTED_CREDMAN_ACCESS_NAME
TEXT("SeTrustedCredManAccessPrivilege")
 Diperlukan untuk mengakses Credential Manager sebagai penelepon tepercaya.
Hak Pengguna: Access Credential Manager sebagai penelepon tepercaya.
SE_UNDOCK_NAME
TEXT("SeUndockPrivilege")
 Diperlukan untuk melepas dock laptop.
Kanan Pengguna: Hapus komputer dari stasiun dok.
SE_UNSOLICITED_INPUT_NAME
TEXT("SeUnsolicitedInputPrivilege")
 Diperlukan untuk membaca input yang tidak diminta dari perangkat terminal .
Hak Pengguna: Tidak berlaku.

Keterangan

Konstanta hak istimewa didefinisikan sebagai string di Winnt.h. Misalnya, konstanta SE_AUDIT_NAME didefinisikan sebagai "SeAuditPrivilege".

Persyaratan

Persyaratan Value
Klien minimum yang didukung
 Windows XP [hanya aplikasi desktop]
Server minimum yang didukung
 Windows Server 2003 [hanya aplikasi desktop]
Header
Winnt.h

Baca juga

Hak Istimewa