권한 상수(권한 부여)

  • 아티클

권한은 사용자 계정이 수행할 수 있는 시스템 작업의 유형을 결정합니다. 관리자는 사용자 및 그룹 계정에 권한을 할당합니다. 각 사용자의 권한에는 사용자 및 사용자가 속한 그룹에 부여된 권한이 포함됩니다.

액세스 토큰 권한을 가져오고 조정하는 함수는 LUID(로컬 고유 식별자) 형식을 사용하여 권한을 식별합니다. LookupPrivilegeValue 함수를 사용하여 권한 상수에 해당하는 로컬 시스템에서 LUID를 확인합니다. LookupPrivilegeName 함수를 사용하여 LUID해당 문자열 상수로 변환합니다.

운영 체제는 다음 표의 설명 열에서 "사용자 권한" 뒤에 있는 문자열을 사용하여 권한을 나타냅니다. 운영 체제는 로컬 보안 설정 MMC(Microsoft Management Console) 스냅인의 사용자 권한 할당 노드에 있는 정책 열에 사용자 오른쪽 문자열을 표시합니다.

예시

BOOL EnablePrivilege()
{
    LUID PrivilegeRequired ;
    BOOL bRes = FALSE;
  
    bRes = LookupPrivilegeValue(NULL, SE_DEBUG_NAME, &PrivilegeRequired);

    // ...

    return bRes;
}

GitHub의 Windows 클래식 샘플 예제입니다.

상수

상수/값 설명
SE_ASSIGNPRIMARYTOKEN_NAME
TEXT("SeAssignPrimaryTokenPrivilege")
 프로세스의 기본 토큰할당하는 데 필요합니다.
사용자 권한: 프로세스 수준 토큰을 대체합니다.
SE_AUDIT_NAME
TEXT("SeAuditPrivilege")
 감사 로그 항목을 생성하는 데 필요합니다. 이 권한을 부여하여 서버를 보호합니다.
사용자 권한: 보안 감사를 생성합니다.
SE_BACKUP_NAME
TEXT("SeBackupPrivilege")
 백업 작업을 수행하는 데 필요합니다. 이 권한으로 인해 시스템은 파일에 대해 지정된 ACL(액세스 제어 목록)에 관계없이 모든 파일에 대한 모든 읽기 액세스 제어를 부여합니다. 읽기 이외의 액세스 요청은 여전히 ACL을 사용하여 평가됩니다. 이 권한은 RegSaveKey RegSaveKeyEx함수에 필요합니다. 이 권한이 유지되는 경우 다음 액세스 권한이 부여됩니다.
  • READ_CONTROL
  • ACCESS_SYSTEM_SECURITY
  • FILE_GENERIC_READ
  • FILE_TRAVERSE
사용자 권한: 파일 및 디렉터리를 백업합니다.
파일이 이동식 드라이브에 있고 "이동식 스토리지 감사"를 사용하는 경우 SE_SECURITY_NAME ACCESS_SYSTEM_SECURITY 있어야 합니다.
SE_CHANGE_NOTIFY_NAME
TEXT("SeChangeNotifyPrivilege")
 파일 또는 디렉터리에 대한 변경 알림을 받는 데 필요합니다. 또한 이 권한으로 인해 시스템은 모든 순회 액세스 검사 건너뜁니다. 기본적으로 모든 사용자에 대해 사용하도록 설정됩니다.
사용자 권한: 트래버스 검사 무시합니다.
SE_CREATE_GLOBAL_NAME
TEXT("SeCreateGlobalPrivilege")
 터미널 서비스 세션 중에 전역 네임스페이스에 명명된 파일 매핑 개체를 만드는 데 필요합니다. 이 권한은 관리자, 서비스 및 로컬 시스템 계정에 대해 기본적으로 사용하도록 설정됩니다.
사용자 권한: 전역 개체를 만듭니다.
SE_CREATE_PAGEFILE_NAME
TEXT("SeCreatePagefilePrivilege")
 페이징 파일을 만드는 데 필요합니다.
사용자 권한: 페이지 파일을 만듭니다.
SE_CREATE_PERMANENT_NAME
TEXT("SeCreatePermanentPrivilege")
 영구 개체를 만드는 데 필요합니다.
사용자 권한: 영구 공유 개체를 만듭니다.
SE_CREATE_SYMBOLIC_LINK_NAME
TEXT("SeCreateSymbolicLinkPrivilege")
 기호 링크를 만드는 데 필요합니다.
사용자 권한: 바로 가기 링크를 만듭니다.
SE_CREATE_TOKEN_NAME
TEXT("SeCreateTokenPrivilege")
 기본 토큰을 만드는 데 필요합니다.
사용자 권한: 토큰 개체를 만듭니다.
"토큰 개체 만들기" 정책을 사용하여 사용자 계정에 이 권한을 추가할 수 없습니다. 또한 Windows API를 사용하여 소유 프로세스에 이 권한을 추가할 수 없습니다.Windows Server 2003 및 WINDOWS XP SP1 이하: Windows API는 소유 프로세스에 이 권한을 추가할 수 있습니다.
SE_DEBUG_NAME
TEXT("SeDebugPrivilege")
 다른 계정이 소유한 프로세스를 디버그하고 프로세스의 메모리를 조정하는 데 필요합니다.
사용자 권한: 프로그램 디버그
SE_DELEGATE_SESSION_USER_IMPERSONATE_NAME
TEXT("SeDelegateSessionUserImpersonatePrivilege")
 동일한 세션에서 다른 사용자에 대한 가장 토큰을 가져오는 데 필요합니다.
사용자 권한: 다른 사용자를 가장합니다.
SE_ENABLE_DELEGATION_NAME
TEXT("SeEnableDelegationPrivilege")
 사용자 및 컴퓨터 계정을 위임에 대해 신뢰할 수 있는 계정으로 표시하는 데 필요합니다.
사용자 권한: 위임에 대해 컴퓨터 및 사용자 계정을 신뢰할 수 있도록 설정합니다.
SE_IMPERSONATE_NAME
TEXT("SeImpersonatePrivilege")
 가장하는 데 필요합니다.
사용자 권한: 인증 후 클라이언트를 가장합니다.
SE_INC_BASE_PRIORITY_NAME
TEXT("SeIncreaseBasePriorityPrivilege")
 프로세스의 기본 우선 순위를 늘리는 데 필요합니다.
사용자 권한: 예약 우선 순위를 높입니다.
SE_INCREASE_QUOTA_NAME
TEXT("SeIncreaseQuotaPrivilege")
 프로세스에 할당된 할당량을 늘리는 데 필요합니다.
사용자 권한: 프로세스에 대한 메모리 할당량을 조정합니다.
SE_INC_WORKING_SET_NAME
TEXT("SeIncreaseWorkingSetPrivilege")
 사용자의 컨텍스트에서 실행되는 애플리케이션에 더 많은 메모리를 할당하는 데 필요합니다.
사용자 권한: 프로세스 작업 집합을 늘입니다.
SE_LOAD_DRIVER_NAME
TEXT("SeLoadDriverPrivilege")
 디바이스 드라이버를 로드하거나 언로드하는 데 필요합니다.
사용자 권한: 디바이스 드라이버를 로드하고 언로드합니다.
SE_LOCK_MEMORY_NAME
TEXT("SeLockMemoryPrivilege")
 메모리의 실제 페이지를 잠그는 데 필요합니다.
사용자 권한: 메모리의 페이지를 잠급 수 있습니다.
SE_MACHINE_ACCOUNT_NAME
TEXT("SeMachineAccountPrivilege")
 컴퓨터 계정을 만드는 데 필요합니다.
사용자 권한: 수행할 워크스테이션을 추가합니다기본.
SE_MANAGE_VOLUME_NAME
TEXT("SeManageVolumePrivilege")
 볼륨 관리 권한을 사용하도록 설정하는 데 필요합니다.
사용자 권한: 볼륨 기본 테넌트 작업을 수행합니다.
SE_PROF_SINGLE_PROCESS_NAME
TEXT("SeProfileSingleProcessPrivilege")
 단일 프로세스에 대한 프로파일링 정보를 수집하는 데 필요합니다.
사용자 권한: 단일 프로세스 프로파일
SE_RELABEL_NAME
TEXT("SeRelabelPrivilege")
 개체의 필수 무결성 수준을 수정하는 데 필요합니다.
사용자 권한: 개체 레이블을 수정합니다.
SE_REMOTE_SHUTDOWN_NAME
TEXT("SeRemoteShutdownPrivilege")
 네트워크 요청을 사용하여 시스템을 종료하는 데 필요합니다.
사용자 권한: 원격 시스템에서 강제로 종료합니다.
SE_RESTORE_NAME
TEXT("SeRestorePrivilege")
 복원 작업을 수행하는 데 필요합니다. 이 권한으로 인해 시스템에서 파일에 대해 지정된 ACL에 관계없이 모든 파일에 대한 모든 쓰기 액세스 제어를 부여합니다. 쓰기 이외의 액세스 요청은 여전히 ACL을 사용하여 평가됩니다. 또한 이 권한을 사용하면 유효한 사용자 또는 그룹 SID를 파일의 소유자로 설정할 수 있습니다. 이 권한은 RegLoadKey 함수에 필요합니다. 이 권한이 유지되는 경우 다음 액세스 권한이 부여됩니다.
  • WRITE_DAC
  • WRITE_OWNER
  • ACCESS_SYSTEM_SECURITY
  • FILE_GENERIC_WRITE
  • FILE_ADD_FILE
  • FILE_ADD_SUBDIRECTORY
  • Delete
사용자 권한: 파일 및 디렉터리를 복원합니다.
파일이 이동식 드라이브에 있고 "이동식 스토리지 감사"를 사용하는 경우 SE_SECURITY_NAME ACCESS_SYSTEM_SECURITY 있어야 합니다.
SE_SECURITY_NAME
TEXT("SeSecurityPrivilege")
 감사 메시지 제어 및 보기와 같은 여러 보안 관련 기능을 수행하는 데 필요합니다. 이 권한은 해당 소유자를 보안 운영자로 식별합니다.
사용자 권한: 감사 및 보안 로그를 관리합니다.
SE_SHUTDOWN_NAME
TEXT("SeShutdownPrivilege")
 로컬 시스템을 종료하는 데 필요합니다.
사용자 권한: 시스템을 종료합니다.
SE_SYNC_AGENT_NAME
TEXT("SeSyncAgentPrivilege")
 do기본 컨트롤러가 Lightweight Directory Access Protocol 디렉터리 동기화 서비스를 사용하는 데 필요합니다. 이 권한을 통해 소유자는 개체 및 속성에 대한 보호와 관계없이 디렉터리의 모든 개체와 속성을 읽을 수 있습니다. 기본적으로 do기본 컨트롤러의 관리istrator 및 LocalSystem 계정에 할당됩니다.
사용자 권한: 디렉터리 서비스 데이터를 동기화합니다.
SE_SYSTEM_ENVIRONMENT_NAME
TEXT("SeSystemEnvironmentPrivilege")
 구성 정보를 저장하기 위해 이 유형의 메모리를 사용하는 시스템의 비휘발성 RAM을 수정하는 데 필요합니다.
사용자 권한: 펌웨어 환경 값을 수정합니다.
SE_SYSTEM_PROFILE_NAME
TEXT("SeSystemProfilePrivilege")
 전체 시스템에 대한 프로파일링 정보를 수집하는 데 필요합니다.
사용자 권한: 프로필 시스템 성능입니다.
SE_SYSTEMTIME_NAME
TEXT("SeSystemtimePrivilege")
 시스템 시간을 수정하는 데 필요합니다.
사용자 권한: 시스템 시간을 변경합니다.
SE_TAKE_OWNERSHIP_NAME
TEXT("SeTakeOwnershipPrivilege")
 임의 액세스 권한을 부여하지 않고 개체의 소유권을 가져와야 합니다. 이 권한을 통해 소유자 값은 소유자가 개체의 소유자로 합법적으로 할당할 수 있는 값으로만 설정할 수 있습니다.
사용자 권한: 파일 또는 기타 개체의 소유권을 가져옵니다.
SE_TCB_NAME
TEXT("SeTcbPrivilege")
 이 권한은 해당 소유자를 신뢰할 수 있는 컴퓨터 기반의 일부로 식별합니다. 신뢰할 수 있는 일부 보호된 하위 시스템에는 이 권한이 부여됩니다.
사용자 권한: 운영 체제의 일부로 작동합니다.
SE_TIME_ZONE_NAME
TEXT("SeTimeZonePrivilege")
 컴퓨터의 내부 시계와 연결된 표준 시간대를 조정하는 데 필요합니다.
사용자 권한: 표준 시간대를 변경합니다.
SE_TRUSTED_CREDMAN_ACCESS_NAME
TEXT("SeTrustedCredManAccessPrivilege")
 신뢰할 수 있는 호출자로 자격 증명 관리자에 액세스하는 데 필요합니다.
사용자 권한: 신뢰할 수 있는 호출자로 자격 증명 관리자에 액세스합니다.
SE_UNDOCK_NAME
TEXT("SeUndockPrivilege")
 노트북의 도킹을 취소하는 데 필요합니다.
사용자 권한: 도킹 스테이션에서 컴퓨터를 제거합니다.
SE_UNSOLICITED_INPUT_NAME
TEXT("SeUnsolicitedInputPrivilege")
 터미널 디바이스에서 원치 않는 입력을 읽는 데 필요합니다.
사용자 권한: 해당 없음

설명

권한 상수는 Winnt.h에서 문자열로 정의됩니다. 예를 들어 SE_AUDIT_NAME 상수는 "SeAuditPrivilege"로 정의됩니다.

요구 사항

요구 사항
지원되는 최소 클라이언트
 Windows XP [데스크톱 앱만 해당]
지원되는 최소 서버
 Windows Server 2003[데스크톱 앱만 해당]
헤더
Winnt.h

참고 항목

권한