다음을 통해 공유


계정 권한 상수

계정 권한은 사용자 계정이 수행할 수 있는 로그온 유형을 결정합니다. 관리자는 사용자 및 그룹 계정에 계정 권한을 할당합니다. 각 사용자의 계정 권한에는 사용자 및 사용자가 속한 그룹에 부여된 권한이 포함됩니다.

시스템 관리자는 LSA( 로컬 보안 기관 ) 함수를 사용하여 계정 권한을 사용할 수 있습니다. LsaAddAccountRightsLsaRemoveAccountRights 함수는 계정에서 계정 권한을 추가하거나 제거합니다. LsaEnumerateAccountRights 함수는 지정된 계정에서 보유한 계정 권한을 열거합니다. LsaEnumerateAccountsWithUserRight 함수는 지정된 계정을 보유하는 계정을 열거합니다.

다음 계정 오른쪽 상수는 계정의 로그온 기능을 제어하는 데 사용됩니다. 로그온 중인 계정에 수행되는 로그온 유형에 필요한 계정 권한이 없으면 LogonUser 또는 LsaLogonUser 함수가 실패합니다.

상수/값 설명
SE_BATCH_LOGON_NAME
TEXT("SeBatchLogonRight")
계정이 일괄 로그온 유형을 사용하여 로그온하는 데 필요합니다.
SE_DENY_BATCH_LOGON_NAME
TEXT("SeDenyBatchLogonRight")
일괄 로그온 유형을 사용하여 로그온할 수 있는 권한을 계정에 명시적으로 거부합니다.
SE_DENY_INTERACTIVE_LOGON_NAME
TEXT("SeDenyInteractiveLogonRight")
대화형 로그온 유형을 사용하여 로그온할 수 있는 권한을 계정에 명시적으로 거부합니다.
SE_DENY_NETWORK_LOGON_NAME
TEXT("SeDenyNetworkLogonRight")
네트워크 로그온 유형을 사용하여 로그온할 수 있는 권한을 계정에 명시적으로 거부합니다.
SE_DENY_REMOTE_INTERACTIVE_LOGON_NAME
TEXT("SeDenyRemoteInteractiveLogonRight")
대화형 로그온 유형을 사용하여 원격으로 로그온할 수 있는 권한을 계정에 명시적으로 거부합니다.
SE_DENY_SERVICE_LOGON_NAME
TEXT("SeDenyServiceLogonRight")
서비스 로그온 유형을 사용하여 로그온할 수 있는 권한을 계정에 명시적으로 거부합니다.
SE_INTERACTIVE_LOGON_NAME
TEXT("SeInteractiveLogonRight")
계정이 대화형 로그온 유형을 사용하여 로그온하는 데 필요합니다.
SE_NETWORK_LOGON_NAME
TEXT("SeNetworkLogonRight")
계정이 네트워크 로그온 유형을 사용하여 로그온하는 데 필요합니다.
SE_REMOTE_INTERACTIVE_LOGON_NAME
TEXT("SeRemoteInteractiveLogonRight")
대화형 로그온 유형을 사용하여 계정이 원격으로 로그온하는 데 필요합니다.
SE_SERVICE_LOGON_NAME
TEXT("SeServiceLogonRight")
계정에서 서비스 로그온 유형을 사용하여 로그온하는 데 필요합니다.

설명

SE_DENY 권한은 해당 계정 권한을 재정의합니다. 관리자는 계정에 SE_DENY 권한을 할당하여 그룹 멤버 자격의 결과로 계정에 있을 수 있는 모든 로그온 권한을 재정의할 수 있습니다. 예를 들어 모든 사용자에게 SE_NETWORK_LOGON_NAME 권한을 할당할 수 있지만 컴퓨터의 원격 관리를 방지하기 위해 관리자에게 SE_DENY_NETWORK_LOGON_NAME 권한을 할당할 수 있습니다.

위의 소개에 언급된 모든 LSA 함수는 계정 권한과 권한을 모두 지원 합니다. 그러나 권한과 달리 계정 권한은 LookupPrivilegeValueLookupPrivilegeName 함수에서 지원되지 않습니다. TokenPrivileges가 아닌 TokenGroups가 TokenInformationClass 매개 변수의 값으로 지정된 경우 GetTokenInformation 함수는 계정 권한에 대한 정보를 가져옵니다.

위의 계정 오른쪽 상수는 Ntsecapi.h에서 문자열로 정의됩니다. 예를 들어 SE_INTERACTIVE_LOGON_NAME 상수는 "SeInteractiveLogonRight"로 정의됩니다.

요구 사항

요구 사항
지원되는 최소 클라이언트
Windows XP [데스크톱 앱만 해당]
지원되는 최소 서버
Windows Server 2003 [데스크톱 앱만 해당]
헤더
Ntsecapi.h