Share via

帳戶許可權常數

  • 發行項

帳戶許可權會決定使用者帳戶可執行檔登入類型。 系統管理員會將帳戶許可權指派給使用者和群組帳戶。 每個使用者的帳戶許可權都包含授與使用者和使用者所屬群組的許可權。

系統管理員可以使用 本機安全性授權 單位 (LSA) 函式來處理帳戶許可權。 LsaAddAccountRightsLsaRemoveAccountRights函式會從帳戶新增或移除帳戶許可權。 LsaEnumerateAccountRights函式會列舉指定帳戶所持有的帳戶許可權。 LsaEnumerateAccountsWithUserRight函式會列舉保留指定帳戶許可權的帳戶。

下列帳戶許可權常數是用來控制帳戶的登入能力。 如果登入的帳戶沒有執行登入類型所需的帳戶許可權, LogonUserLsaLogonUser 函式會失敗。

常數/值 Description
SE_BATCH_LOGON_NAME
TEXT (「SeBatchLogonRight」)
帳戶必須使用批次登入類型登入。
SE_DENY_BATCH_LOGON_NAME
TEXT (「SeDenyBatchLogonRight」)
使用批次登入類型明確拒絕帳戶登入的許可權。
SE_DENY_INTERACTIVE_LOGON_NAME
TEXT (「SeDenyInteractiveLogonRight」)
使用互動式登入類型明確拒絕帳戶登入的許可權。
SE_DENY_NETWORK_LOGON_NAME
TEXT (「SeDenyNetworkLogonRight」)
使用網路登入類型明確拒絕登入帳戶的許可權。
SE_DENY_REMOTE_INTERACTIVE_LOGON_NAME
TEXT (「SeDenyRemoteInteractiveLogonRight」)
明確拒絕使用互動式登入類型從遠端登入的帳戶許可權。
SE_DENY_SERVICE_LOGON_NAME
TEXT (「SeDenyServiceLogonRight」)
使用服務登入類型明確拒絕登入帳戶的許可權。
SE_INTERACTIVE_LOGON_NAME
TEXT (「SeInteractiveLogonRight」)
需要帳戶才能使用互動式登入類型登入。
SE_NETWORK_LOGON_NAME
TEXT (「SeNetworkLogonRight」)
帳戶必須使用網路登入類型登入。
SE_REMOTE_INTERACTIVE_LOGON_NAME
TEXT (「SeRemoteInteractiveLogonRight」)
需要帳戶才能使用互動式登入類型從遠端登入。
SE_SERVICE_LOGON_NAME
TEXT (「SeServiceLogonRight」)
帳戶必須使用服務登入類型登入。

備註

SE_DENY許可權會覆寫對應的帳戶許可權。 系統管理員可以將SE_DENY許可權指派給帳戶,以覆寫帳戶因群組成員資格而可能擁有的任何登入許可權。 例如,您可以將SE_NETWORK_LOGON_NAME許可權指派給所有人,但將SE_DENY_NETWORK_LOGON_NAME許可權指派給系統管理員,以防止遠端系統管理電腦。

上述簡介中所述的所有 LSA 函式都支援帳戶許可權和 許可權。 不過,與許可權不同, LookupPrivilegeValueLookupPrivilegeName 函式不支援帳戶許可權。 如果 TokenGroups 而非 TokenPrivileges 指定為TokenInformationClass參數的值,GetTokenInformation函式將會取得帳戶許可權的相關資訊。

上述帳戶右常數在 Ntsecapi.h 中定義為字串。 例如,SE_INTERACTIVE_LOGON_NAME常數定義為 「SeInteractiveLogonRight」。

規格需求

需求
最低支援的用戶端
 Windows XP [僅限傳統型應用程式]
最低支援的伺服器
 Windows Server 2003 [僅限桌面應用程式]
標頭
Ntsecapi.h