Condividi tramite

Costanti privilegio (autorizzazione)

  • Articolo

I privilegi determinano il tipo di operazioni di sistema che un account utente può eseguire. Un amministratore assegna privilegi agli account utente e di gruppo. I privilegi di ogni utente includono quelli concessi all'utente e ai gruppi a cui appartiene l'utente.

Le funzioni che ottengono e modificano i privilegi in un token di accesso usano il tipo di identificatore univoco locale (LUID) per identificare i privilegi. Usare la funzione LookupPrivilegeValue per determinare il LUID nel sistema locale che corrisponde a una costante dei privilegi. Utilizzare la funzione LookupPrivilegeName per convertire un LUID nella costante stringa corrispondente.

Il sistema operativo rappresenta un privilegio utilizzando la stringa che segue "User Right" nella colonna Description della tabella seguente. Il sistema operativo visualizza le stringhe a destra dell'utente nella colonna Criteri del nodo Assegnazione diritti utente dello snap-in Sicurezza locale Impostazioni Microsoft Management Console (MMC).

Esempio

BOOL EnablePrivilege()
{
    LUID PrivilegeRequired ;
    BOOL bRes = FALSE;
  
    bRes = LookupPrivilegeValue(NULL, SE_DEBUG_NAME, &PrivilegeRequired);

    // ...

    return bRes;
}

Esempio di esempi classici di Windows in GitHub.

Costanti

Costante/valore Descrizione
edizione Standard_ASSIGNPRIMARYTOKEN_NAME
TEXT("SeAssignPrimaryTokenPrivilege")
 Obbligatorio per assegnare il token primario di un processo.
Diritto utente: sostituire un token a livello di processo.
edizione Standard_AUDIT_NAME
TEXT("SeAuditPrivilege")
 Obbligatorio per generare voci del log di controllo. Assegnare questo privilegio ai server protetti.
Diritto utente: generare controlli di sicurezza.
edizione Standard_BACKUP_NAME
TEXT("SeBackupPrivilege")
 Obbligatorio per eseguire operazioni di backup. Questo privilegio fa sì che il sistema conceda tutto il controllo di accesso in lettura a qualsiasi file, indipendentemente dall'elenco di controllo di accesso (ACL) specificato per il file. Qualsiasi richiesta di accesso diversa dalla lettura viene comunque valutata con l'ACL. Questo privilegio è richiesto dalle funzioni RegSaveKey e RegSaveKeyEx. Se questo privilegio viene mantenuto, vengono concessi i diritti di accesso seguenti:
  • READ_CONTROL
  • ACCESS_SYSTEM_edizione Standard CURITY
  • FILE_GENERIC_READ
  • FILE_TRAVERedizione Standard
Utente destro: eseguire il backup di file e directory.
Se il file si trova in un'unità rimovibile e l'opzione "Controlla Archiviazione rimovibile" è abilitata, l'edizione Standard_edizione StandardCURITY_NAME deve avere ACCESS_SYSTEM_edizione Standard CURITY.
edizione Standard_CHANGE_NOTIFY_NAME
TEXT("SeChangeNotifyPrivilege")
 Obbligatorio per ricevere notifiche relative alle modifiche apportate a file o directory. Questo privilegio fa anche in modo che il sistema ignori tutti i controlli di accesso attraversamento. È abilitato per impostazione predefinita per tutti gli utenti.
Diritto utente: ignorare il controllo dell'attraversamento.
edizione Standard_CREATE_GLOBAL_NAME
TEXT("SeCreateGlobalPrivilege")
 Necessario per creare oggetti di mapping di file denominati nello spazio dei nomi globale durante le sessioni di Servizi terminal. Questo privilegio è abilitato per impostazione predefinita per amministratori, servizi e account di sistema locale.
Diritto utente: creare oggetti globali.
edizione Standard_CREATE_PAGEFILE_NAME
TEXT("SeCreatePagefilePrivilege")
 Obbligatorio per creare un file di paging.
Diritto utente: creare un file di pagina.
edizione Standard_CREATE_PERMANENT_NAME
TEXT("SeCreatePermanentPrivilege")
 Obbligatorio per creare un oggetto permanente.
Diritto utente: creare oggetti condivisi permanenti.
edizione Standard_CREATE_SYMBOLIC_LINK_NAME
TEXT("SeCreateSymbolicLinkPrivilege")
 Obbligatorio per creare un collegamento simbolico.
Diritto utente: creare collegamenti simbolici.
edizione Standard_CREATE_TOKEN_NAME
TEXT("SeCreateTokenPrivilege")
 Obbligatorio per creare un token primario.
Diritto utente: creare un oggetto token.
Non è possibile aggiungere questo privilegio a un account utente con il criterio "Crea un oggetto token". Inoltre, non è possibile aggiungere questo privilegio a un processo di proprietà usando le API di Windows.Windows Server 2003 e Windows XP con SP1 e versioni precedenti: le API Di Windows possono aggiungere questo privilegio a un processo di proprietà.
edizione Standard_DEBUG_NAME
TEXT("SeDebugPrivilege")
 Necessario per eseguire il debug e regolare la memoria di un processo di proprietà di un altro account.
Diritto utente: eseguire il debug dei programmi.
edizione Standard_DELEGATE_edizione StandardSSION_Uedizione StandardR_IMPERSONATE_NAME
TEXT("SeDelegateSessionUserImpersonatePrivilege")
 Obbligatorio per ottenere un token di rappresentazione per un altro utente nella stessa sessione.
Diritto utente: rappresenta altri utenti.
edizione Standard_ENABLE_DELEGATION_NAME
TEXT("SeEnableDelegationPrivilege")
 Obbligatorio per contrassegnare gli account utente e computer come attendibili per la delega.
Diritto utente: abilitare l'attendibilità degli account computer e utente per la delega.
edizione Standard_IMPERSONATE_NAME
TEXT("SeImpersonatePrivilege")
 Obbligatorio per rappresentare.
Diritto utente: rappresenta un client dopo l'autenticazione.
edizione Standard_INC_BAedizione Standard_PRIORITY_NAME
TEXT("SeIncreaseBasePriorityPrivilege")
 Obbligatorio per aumentare la priorità di base di un processo.
Diritto utente: aumentare la priorità di pianificazione.
edizione Standard_INCREAedizione Standard_QUOTA_NAME
TEXT("SeIncreaseQuotaPrivilege")
 Obbligatorio per aumentare la quota assegnata a un processo.
Diritto utente: regolare le quote di memoria per un processo.
edizione Standard_INC_WORKING_edizione StandardT_NAME
TEXT("SeIncreaseWorkingSetPrivilege")
 Necessario per allocare più memoria per le applicazioni eseguite nel contesto degli utenti.
Diritto utente: aumentare un working set di processi.
edizione Standard_LOAD_DRIVER_NAME
TEXT("SeLoadDriverPrivilege")
 Obbligatorio per caricare o scaricare un driver di dispositivo.
Diritto utente: caricare e scaricare i driver di dispositivo.
edizione Standard_LOCK_MEMORY_NAME
TEXT("SeLockMemoryPrivilege")
 Obbligatorio per bloccare le pagine fisiche in memoria.
Diritto utente: bloccare le pagine in memoria.
edizione Standard_MACHINE_ACCOUNT_NAME
TEXT("SeMachineAccountPrivilege")
 Obbligatorio per creare un account computer.
Diritto utente: aggiungere workstation al dominio.
edizione Standard_MANAGE_VOLUME_NAME
TEXT("SeManageVolumePrivilege")
 Obbligatorio per abilitare i privilegi di gestione dei volumi.
Diritto utente: eseguire attività di manutenzione del volume.
edizione Standard_PROF_SINGLE_PROCESS_NAME
TEXT("SeProfileSingleProcessPrivilege")
 Necessario per raccogliere informazioni di profilatura per un singolo processo.
User Right: Profile single process (Diritto utente): processo singolo del profilo.
edizione Standard_RELABEL_NAME
TEXT("SeRelabelPrivilege")
 Obbligatorio per modificare il livello di integrità obbligatorio di un oggetto .
Diritto utente: modificare un'etichetta dell'oggetto.
edizione Standard_REMOTE_SHUTDOWN_NAME
TEXT("SeRemoteShutdownPrivilege")
 Necessario per arrestare un sistema usando una richiesta di rete.
Diritto utente: forzare l'arresto da un sistema remoto.
edizione Standard_RESTORE_NAME
TEXT("SeRestorePrivilege")
 Necessario per eseguire operazioni di ripristino. Questo privilegio fa sì che il sistema conceda tutto il controllo di accesso in scrittura a qualsiasi file, indipendentemente dall'ACL specificato per il file. Qualsiasi richiesta di accesso diversa dalla scrittura viene comunque valutata con l'ACL. Inoltre, questo privilegio consente di impostare qualsiasi SID utente o gruppo valido come proprietario di un file. Questo privilegio è richiesto dalla funzione RegLoadKey. Se questo privilegio viene mantenuto, vengono concessi i diritti di accesso seguenti:
  • WRITE_DAC
  • WRITE_OWNER
  • ACCESS_SYSTEM_edizione Standard CURITY
  • FILE_GENERIC_WRITE
  • FILE_ADD_FILE
  • FILE_ADD_SUBDIRECTORY
  • DELETE
Diritto utente: ripristinare file e directory.
Se il file si trova in un'unità rimovibile e l'opzione "Controlla Archiviazione rimovibile" è abilitata, l'edizione Standard_edizione StandardCURITY_NAME deve avere ACCESS_SYSTEM_edizione Standard CURITY.
edizione Standard_edizione StandardCURITY_NAME
TEXT("SeSecurityPrivilege")
 Necessario per eseguire una serie di funzioni correlate alla sicurezza, ad esempio il controllo e la visualizzazione dei messaggi di controllo. Questo privilegio identifica il titolare come operatore di sicurezza.
Diritto utente: gestire il controllo e il log di sicurezza.
edizione Standard_SHUTDOWN_NAME
TEXT("SeShutdownPrivilege")
 Necessario per arrestare un sistema locale.
Diritto utente: arrestare il sistema.
edizione Standard_SYNC_AGENT_NAME
TEXT("SeSyncAgentPrivilege")
 Obbligatorio per un controller di dominio per l'uso dei servizi di sincronizzazione della directory Lightweight Directory Access Protocol . Questo privilegio consente al titolare di leggere tutti gli oggetti e le proprietà nella directory, indipendentemente dalla protezione degli oggetti e delle proprietà. Per impostazione predefinita, viene assegnato agli account Amministrazione istrator e LocalSystem nei controller di dominio.
Diritto utente: sincronizzare i dati del servizio directory.
edizione Standard_SYSTEM_ENVIRONMENT_NAME
TEXT("SeSystemEnvironmentPrivilege")
 Necessario per modificare la RAM non volatile dei sistemi che usano questo tipo di memoria per archiviare le informazioni di configurazione.
Diritto utente: modificare i valori dell'ambiente del firmware.
edizione Standard_SYSTEM_PROFILE_NAME
TEXT("SeSystemProfilePrivilege")
 Necessario per raccogliere informazioni di profilatura per l'intero sistema.
Diritto utente: profila le prestazioni del sistema.
edizione Standard_SYSTEMTIME_NAME
TEXT("SeSystemtimePrivilege")
 Obbligatorio per modificare l'ora di sistema.
Diritto utente: modificare l'ora di sistema.
edizione Standard_TAKE_OWNERSHIP_NAME
TEXT("SeTakeOwnershipPrivilege")
 Obbligatorio per acquisire la proprietà di un oggetto senza concedere l'accesso discrezionale. Questo privilegio consente di impostare il valore proprietario solo su tali valori che il titolare può assegnare legittimamente come proprietario di un oggetto.
Diritto utente: acquisire la proprietà dei file o di altri oggetti.
edizione Standard_TCB_NAME
TEXT("SeTcbPrivilege")
 Questo privilegio identifica il titolare come parte della base del computer attendibile. A questo privilegio vengono concessi alcuni sottosistemi protetti attendibili.
Diritto utente: agire come parte del sistema operativo.
edizione Standard_TIME_ZONE_NAME
TEXT("SeTimeZonePrivilege")
 Necessario per regolare il fuso orario associato all'orologio interno del computer.
Diritto utente: modificare il fuso orario.
edizione Standard_TRUSTED_CREDMAN_ACCESS_NAME
TEXT("SeTrustedCredManAccessPrivilege")
 Obbligatorio per accedere a Gestione credenziali come chiamante attendibile.
Diritto utente: Accedere a Gestione credenziali come chiamante attendibile.
edizione Standard_UNDOCK_NAME
TEXT("SeUndockPrivilege")
 Obbligatorio per scollegare un portatile.
Diritto utente: rimuovere il computer dalla stazione di ancoraggio.
edizione Standard_UNSOLICITED_INPUT_NAME
TEXT("SeUnsolicitedInputPrivilege")
 Obbligatorio per leggere l'input non richiesto da un dispositivo terminale.
Diritto utente: non applicabile.

Osservazioni:

Le costanti dei privilegi vengono definite come stringhe in Winnt.h. Ad esempio, la costante edizione Standard_AUDIT_NAME viene definita come "SeAuditPrivilege".

Requisiti

Requisito Valore
Client minimo supportato
 Windows XP [solo app desktop]
Server minimo supportato
 Windows Server 2003 [solo app desktop]
Intestazione
Winnt.h

Vedi anche

Privilegi