계정 권한 상수
계정 권한은 사용자 계정이 수행할 수 있는 로그온 유형을 결정합니다. 관리자는 사용자 및 그룹 계정에 계정 권한을 할당합니다. 각 사용자의 계정 권한에는 사용자 및 사용자가 속한 그룹에 부여된 권한이 포함됩니다.
시스템 관리자는 LSA( 로컬 보안 기관 ) 함수를 사용하여 계정 권한을 사용할 수 있습니다. LsaAddAccountRights 및 LsaRemoveAccountRights 함수는 계정에서 계정 권한을 추가하거나 제거합니다. LsaEnumerateAccountRights 함수는 지정된 계정에서 보유한 계정 권한을 열거합니다. LsaEnumerateAccountsWithUserRight 함수는 지정된 계정을 보유하는 계정을 열거합니다.
다음 계정 오른쪽 상수는 계정의 로그온 기능을 제어하는 데 사용됩니다. 로그온 중인 계정에 수행되는 로그온 유형에 필요한 계정 권한이 없으면 LogonUser 또는 LsaLogonUser 함수가 실패합니다.
| 상수/값 | 설명 |
|---|---|
|
계정이 일괄 로그온 유형을 사용하여 로그온하는 데 필요합니다. |
|
일괄 로그온 유형을 사용하여 로그온할 수 있는 권한을 계정에 명시적으로 거부합니다. |
|
대화형 로그온 유형을 사용하여 로그온할 수 있는 권한을 계정에 명시적으로 거부합니다. |
|
네트워크 로그온 유형을 사용하여 로그온할 수 있는 권한을 계정에 명시적으로 거부합니다. |
|
대화형 로그온 유형을 사용하여 원격으로 로그온할 수 있는 권한을 계정에 명시적으로 거부합니다. |
|
서비스 로그온 유형을 사용하여 로그온할 수 있는 권한을 계정에 명시적으로 거부합니다. |
|
계정이 대화형 로그온 유형을 사용하여 로그온하는 데 필요합니다. |
|
계정이 네트워크 로그온 유형을 사용하여 로그온하는 데 필요합니다. |
|
대화형 로그온 유형을 사용하여 계정이 원격으로 로그온하는 데 필요합니다. |
|
계정에서 서비스 로그온 유형을 사용하여 로그온하는 데 필요합니다. |
설명
SE_DENY 권한은 해당 계정 권한을 재정의합니다. 관리자는 계정에 SE_DENY 권한을 할당하여 그룹 멤버 자격의 결과로 계정에 있을 수 있는 모든 로그온 권한을 재정의할 수 있습니다. 예를 들어 모든 사용자에게 SE_NETWORK_LOGON_NAME 권한을 할당할 수 있지만 컴퓨터의 원격 관리를 방지하기 위해 관리자에게 SE_DENY_NETWORK_LOGON_NAME 권한을 할당할 수 있습니다.
위의 소개에 언급된 모든 LSA 함수는 계정 권한과 권한을 모두 지원 합니다. 그러나 권한과 달리 계정 권한은 LookupPrivilegeValue 및 LookupPrivilegeName 함수에서 지원되지 않습니다. TokenPrivileges가 아닌 TokenGroups가 TokenInformationClass 매개 변수의 값으로 지정된 경우 GetTokenInformation 함수는 계정 권한에 대한 정보를 가져옵니다.
위의 계정 오른쪽 상수는 Ntsecapi.h에서 문자열로 정의됩니다. 예를 들어 SE_INTERACTIVE_LOGON_NAME 상수는 "SeInteractiveLogonRight"로 정의됩니다.
요구 사항
| 요구 사항 | 값 |
|---|---|
| 지원되는 최소 클라이언트 |
Windows XP [데스크톱 앱만 해당] |
| 지원되는 최소 서버 |
Windows Server 2003 [데스크톱 앱만 해당] |
| 헤더 |
|
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기