Account Rights Constants
アカウント権限は、ユーザー アカウントが実行できるログオンの種類を決定します。 管理者は、ユーザー アカウントとグループ アカウントにアカウント権限を割り当てます。 各ユーザーのアカウント権限には、ユーザーとユーザーが属するグループに付与されたものが含まれます。
システム管理者は、 ローカル セキュリティ機関 (LSA) 機能を使用してアカウント権限を操作できます。 LsaAddAccountRights 関数と LsaRemoveAccountRights 関数は、アカウントのアカウント権限を追加または削除します。 LsaEnumerateAccountRights 関数は、指定されたアカウントが保持するアカウント権限を列挙します。 LsaEnumerateAccountsWithUserRight 関数は、指定されたアカウント権限を持つアカウントを列挙します。
アカウントのログオン機能を制御するには、次のアカウント権限定数を使用します。 ログオンしているアカウントに、実行されるログオンの種類に必要なアカウント権限がない場合、 LogonUser または LsaLogonUser 関数は失敗します。
| 定数/値 | 説明 |
|---|---|
|
アカウントがバッチ ログオンの種類を使用してログオンするために必要です。 |
|
バッチ ログオンの種類を使用してログオンする権限をアカウントに明示的に拒否します。 |
|
対話型ログオンの種類を使用してログオンする権限をアカウントに明示的に拒否します。 |
|
ネットワーク ログオンの種類を使用してログオンする権限をアカウントに明示的に拒否します。 |
|
対話型ログオンの種類を使用してリモートでログオンする権限をアカウントに明示的に拒否します。 |
|
サービス ログオンの種類を使用してログオンする権限をアカウントに明示的に拒否します。 |
|
対話型ログオンの種類を使用してアカウントがログオンするために必要です。 |
|
ネットワーク ログオンの種類を使用してアカウントがログオンするために必要です。 |
|
対話型ログオンの種類を使用してリモートでログオンするには、アカウントに必要です。 |
|
サービス ログオンの種類を使用してアカウントがログオンするために必要です。 |
解説
SE_DENY権限は、対応するアカウント権限をオーバーライドします。 管理者は、アカウントにSE_DENY権限を割り当てて、グループ メンバーシップの結果としてアカウントが持つ可能性のあるログオン権限をオーバーライドできます。 たとえば、SE_NETWORK_LOGON_NAME権限を Everyone に割り当て、SE_DENY_NETWORK_LOGON_NAME権限を管理者に割り当てて、コンピューターのリモート管理を防ぐことができます。
上記の概要で説明したすべての LSA 関数は、アカウントの権限と 特権の両方をサポートしています。 ただし、特権とは異なり、アカウント権限は LookupPrivilegeValue 関数と LookupPrivilegeName 関数ではサポートされていません。 TokenPrivileges ではなく TokenGroups が TokenInformationClass パラメーターの値として指定されている場合、GetTokenInformation 関数はアカウント権限に関する情報を取得します。
上記のアカウント右定数は、Ntsecapi.h の文字列として定義されています。 たとえば、SE_INTERACTIVE_LOGON_NAME定数は "SeInteractiveLogonRight" として定義されます。
要件
| 要件 | 値 |
|---|---|
| サポートされている最小のクライアント |
Windows XP [デスクトップ アプリのみ] |
| サポートされている最小のサーバー |
Windows Server 2003 [デスクトップ アプリのみ] |
| ヘッダー |
|