訓練
模組
保護 Windows Server 使用者帳戶 - Training
確保使用者帳戶的最低權限,並將其放在受保護的使用者群組中,以保護 Active Directory 環境。 了解如何限制驗證範圍,以及補救可能不安全的帳戶。
安全性與身分識別會使用此標頭。 如需詳細資訊,請參閱:
ntsecapi.h 包含下列程式設計介面:
AuditComputeEffectivePolicyBySid 計算指定之安全性主體的一或多個子類別的有效稽核原則。 函式會結合系統稽核原則與每個用戶原則,以計算有效的稽核原則。 |
AuditComputeEffectivePolicyByToken 針對與指定令牌相關聯的安全性主體,計算一或多個子類別的有效稽核原則。 函式會結合系統稽核原則與每個用戶原則,以計算有效的稽核原則。 |
AuditEnumerateCategories 列舉可用的稽核原則類別。 |
AuditEnumeratePerUserPolicy 列舉指定個別使用者稽核原則的使用者。 |
AuditEnumerateSubCategories 列舉可用的稽核原則子類別。 |
AuditFree 釋放由稽核函式為指定緩衝區配置的記憶體。 |
AuditLookupCategoryGuidFromCategoryId 擷取表示指定之稽核原則類別目錄的 GUID 結構。 |
AuditLookupCategoryIdFromCategoryGuid 擷取表示指定之稽核原則類別目錄之POLICY_AUDIT_EVENT_TYPE列舉的專案。 |
AuditLookupCategoryNameA 擷取指定之稽核原則類別的顯示名稱。 (ANSI) |
AuditLookupCategoryNameW 擷取指定之稽核原則類別的顯示名稱。 (Unicode) |
AuditLookupSubCategoryNameA 擷取指定之稽核原則子類別的顯示名稱。 (ANSI) |
AuditLookupSubCategoryNameW 擷取指定之稽核原則子類別的顯示名稱。 (Unicode) |
AuditQueryGlobalSaclA 擷取全域系統訪問控制清單, (SACL) 委派稽核訊息的存取權。 (ANSI) |
AuditQueryGlobalSaclW 擷取全域系統訪問控制清單, (SACL) 委派稽核訊息的存取權。 (Unicode) |
AuditQueryPerUserPolicy 擷取指定主體之一或多個稽核原則子類別中的每個使用者稽核原則。 |
AuditQuerySecurity 擷取委派稽核原則存取權的安全性描述元。 |
AuditQuerySystemPolicy 擷取一或多個稽核原則子類別的系統稽核原則。 |
AuditSetGlobalSaclA 設定全域系統訪問控制清單, (SACL) 委派稽核訊息的存取權。 (ANSI) |
AuditSetGlobalSaclW 設定全域系統訪問控制清單, (SACL) 委派稽核訊息的存取權。 (Unicode) |
AuditSetPerUserPolicy 在指定主體的一或多個稽核子類別中設定每個使用者稽核原則。 |
AuditSetSecurity 設定委派稽核原則存取權的安全性描述元。 |
AuditSetSystemPolicy 設定一或多個稽核原則子類別的系統稽核原則。 |
LsaAddAccountRights 將一或多個許可權指派給帳戶。 |
LsaCallAuthenticationPackage 由登入應用程式用來與驗證套件通訊。 |
LsaClose LsaClose 函式會關閉 Policy 或 TrustedDomain 物件的句柄。 |
LsaConnectUntrusted 建立與 LSA 伺服器的不受信任連線。 |
LsaCreateTrustedDomainEx LsaCreateTrustedDomainEx 函式會建立新的 TrustedDomain 物件來建立新的信任網域。 |
LsaDeleteTrustedDomain LsaDeleteTrustedDomain 函式會從系統的信任網域清單中移除信任的網域,並刪除相關聯的 TrustedDomain 物件。 |
LsaDeregisterLogonProcess 刪除呼叫端的登入應用程式內容,並關閉與 LSA 伺服器的連線。 |
LsaEnumerateAccountRights LsaEnumerateAccountRights 函式會列舉指派給帳戶的許可權。 |
LsaEnumerateAccountsWithUserRight 會傳回本機安全性授權單位 (LSA) 原則物件中保存指定許可權的帳戶。 |
LsaEnumerateLogonSessions 擷取 (LUID) 和會話數目的現有登入會話標識碼集。 |
LsaEnumerateTrustedDomains LsaEnumerateTrustedDomains 函式會擷取受信任網域的名稱和 SID,以驗證登入認證。 |
LsaEnumerateTrustedDomainsEx 傳回本機系統信任之網域的相關信息。 |
LsaFreeMemory LsaFreeMemory 函式會釋放 LSA 函式呼叫為輸出緩衝區配置的記憶體。 |
LsaFreeReturnBuffer 釋放先前由 LSA 配置的緩衝區所使用的記憶體。 |
LsaGetLogonSessionData 擷取指定登入會話的相關信息。 |
LsaLogonUser 使用預存認證資訊驗證安全性主體的登入數據。 |
LsaLookupAuthenticationPackage 取得驗證套件的唯一標識碼。 |
LsaLookupNames 擷取對應至使用者、群組或本地組名稱陣列的安全性標識碼 (SID) 。 |
LsaLookupNames2 擷取指定帳戶名稱 (SID) 的安全性識別碼。 LsaLookupNames2 可以查閱 Windows 樹系中任何網域中任何帳戶的 SID。 |
LsaLookupSids 查閱對應至安全性標識碼陣列的名稱, (SID) 。 如果 LsaLookupSids 找不到對應至 SID 的名稱,則函式會以字元形式傳回 SID。 |
LsaLookupSids2 查閱對應至安全性標識碼陣列的名稱, (SID) 並支援因特網提供者身分識別。 如果 LsaLookupSids2 找不到對應至 SID 的名稱,則函式會以字元形式傳回 SID。 |
LsaNtStatusToWinError LsaNtStatusToWinError 函式會將 LSA 函式傳回的 NTSTATUS 程式代碼轉換為 Windows 錯誤碼。 |
LsaOpenPolicy 開啟本機或遠端系統上 Policy 物件的句柄。 |
LsaOpenTrustedDomainByName LsaOpenTrustedDomainByName 函式會開啟遠端信任網域的 LSA 原則句柄。 您可以將此句柄傳遞至 LSA 函式呼叫,以設定或查詢遠端電腦的 LSA 原則。 |
LsaQueryDomainInformationPolicy 從 Policyobject 擷取網域資訊。 |
LsaQueryForestTrustInformation 擷取指定本機安全性授權單位 TrustedDomain 物件的樹系信任資訊。 |
LsaQueryInformationPolicy 擷取 Policy 物件的相關信息。 |
LsaQueryTrustedDomainInfo LsaQueryTrustedDomainInfo 函式會擷取信任網域的相關信息。 |
LsaQueryTrustedDomainInfoByName LsaQueryTrustedDomainInfoByName 函式會傳回信任網域的相關信息。 |
LsaRegisterLogonProcess 建立與 LSA 伺服器的連線,並確認呼叫端是登入應用程式。 |
LsaRegisterPolicyChangeNotification LsaRegisterPolicyChangeNotification 函式會向本機安全性授權單位註冊事件句柄, (LSA) 。 每當修改指定的 LSA 原則時,就會發出此事件句柄的訊號。 |
LsaRemoveAccountRights 從帳戶中移除一或多個許可權。 |
LsaRetrievePrivateData 請勿使用 LSA 私人數據函式進行一般數據加密和解密。 請改用 CryptProtectData 和 CryptUnprotectData 函式。 (LsaRetrievePrivateData) |
LsaSetDomainInformationPolicy 將網域資訊設定為 Policyobject。 |
LsaSetForestTrustInformation 設定指定本機安全性授權單位 TrustedDomain 物件的樹系信任資訊。 |
LsaSetInformationPolicy 修改 Policy 物件中的資訊。 |
LsaSetTrustedDomainInfoByName LsaSetTrustedDomainInfoByName 函式會設定 TrustedDomain 物件的值。 |
LsaSetTrustedDomainInformation LsaSetTrustedDomainInformation 函式會修改原則物件與信任網域的相關信息。 |
LsaStorePrivateData 請勿使用 LSA 私人數據函式進行一般數據加密和解密。 請改用 CryptProtectData 和 CryptUnprotectData 函式。 只有在需要操作 LSA 秘密 (LsaStorePrivateData) 時,才使用 LSA 私人數據函式 |
LsaUnregisterPolicyChangeNotification LsaUnregisterPolicyChangeNotification 函式會停用先前註冊的通知事件。 |
RtlDecryptMemory 解密先前由 RtlEncryptMemory 函式加密的記憶體內容。 |
RtlEncryptMemory 加密記憶體內容。 |
RtlGenRandom 產生虛擬隨機數。 |
PSAM_INIT_NOTIFICATION_ROUTINE InitializeChangeNotify 函式是由密碼篩選 DLL 實作。 此函式會初始化 DLL。 |
PSAM_PASSWORD_FILTER_ROUTINE 由密碼篩選 DLL 實作。 此函式傳回的值會決定系統是否接受新密碼。 |
PSAM_PASSWORD_NOTIFICATION_ROUTINE 由密碼篩選 DLL 實作。 它會通知 DLL 密碼已變更。 |
AUDIT_POLICY_INFORMATION 指定安全性事件類型和稽核該類型的時機。 |
DOMAIN_PASSWORD_INFORMATION 包含網域密碼原則的相關信息,例如密碼的最小長度,以及唯一密碼必須如何。 |
KERB_ADD_BINDING_CACHE_ENTRY_EX_REQUEST 允許用戶系結至特定域控制器 (DC) ,覆寫 Kerberos 網域系結快取。 |
KERB_ADD_BINDING_CACHE_ENTRY_REQUEST 指定要加入系結快取項目的訊息。 |
KERB_ADD_CREDENTIALS_REQUEST 指定要新增、移除或取代登入工作階段額外伺服器認證的訊息。 |
KERB_ADD_CREDENTIALS_REQUEST_EX 指定要新增、移除或取代登入會話的額外伺服器認證,以及服務主體名稱 (SPN) 與該認證相關聯。 |
KERB_BINDING_CACHE_ENTRY_DATA 指定系結快取項目的數據。 |
KERB_CERTIFICATE_HASHINFO 提供憑證哈希的承載資訊。 |
KERB_CERTIFICATE_INFO 包含憑證資訊。 |
KERB_CERTIFICATE_LOGON 包含智慧卡登入會話的相關信息。 (KERB_CERTIFICATE_LOGON) |
KERB_CERTIFICATE_S4U_LOGON 包含使用者 (S4U) 登入之服務憑證的相關信息。 |
KERB_CERTIFICATE_UNLOCK_LOGON 包含用來解除鎖定在互動式智慧卡登入會話期間鎖定之工作站的資訊。 |
KERB_CHANGEPASSWORD_REQUEST 包含用來變更密碼的資訊。 |
KERB_CLEANUP_MACHINE_PKINIT_CREDS_REQUEST 從電腦清除 PKINIT 裝置認證。 |
KERB_CRYPTO_KEY 包含 Kerberos 密碼編譯會話金鑰的相關信息。 |
KERB_EXTERNAL_NAME 包含外部名稱的相關信息。 |
KERB_EXTERNAL_TICKET 包含外部票證的相關信息。 |
KERB_INTERACTIVE_LOGON 包含互動式登入會話的相關信息。 |
KERB_INTERACTIVE_PROFILE KERB_INTERACTIVE_PROFILE 結構包含互動式登入配置檔的相關信息。 LsaLogonUser 函式會使用此結構。 |
KERB_INTERACTIVE_UNLOCK_LOGON 包含用來解除鎖定互動式登入會話期間鎖定之工作站的資訊。 |
KERB_PURGE_BINDING_CACHE_REQUEST 刪除系結快取的要求。 |
KERB_PURGE_TKT_CACHE_REQUEST 包含用來從票證快取中刪除項目的資訊。 |
KERB_QUERY_BINDING_CACHE_REQUEST 包含用來查詢系結快取的資訊。 |
KERB_QUERY_BINDING_CACHE_RESPONSE 包含查詢系結快取的結果。 |
KERB_QUERY_DOMAIN_EXTENDED_POLICIES_REQUEST 包含用來查詢網域以取得擴充原則的資訊。 |
KERB_QUERY_DOMAIN_EXTENDED_POLICIES_RESPONSE 包含查詢指定網域之擴充原則的結果。 |
KERB_QUERY_TKT_CACHE_REQUEST 包含用來查詢票證快取的資訊。 |
KERB_QUERY_TKT_CACHE_RESPONSE 包含查詢票證快取的結果。 |
KERB_RETRIEVE_TKT_REQUEST 包含用來擷取票證的資訊。 |
KERB_RETRIEVE_TKT_RESPONSE 包含從擷取票證的回應。 |
KERB_S4U_LOGON 包含使用者 (S4U) 登入之服務的相關信息。 |
KERB_SMART_CARD_LOGON 包含智慧卡登入會話的相關信息。 (KERB_SMART_CARD_LOGON) |
KERB_SMART_CARD_UNLOCK_LOGON 包含用來解除鎖定智慧卡登入會話期間鎖定之工作站的資訊。 |
KERB_TICKET_CACHE_INFO 包含快取 Kerberos 票證的相關信息。 Kerberos 票證定義於因特網 RFC 4120 中。 如需詳細資訊,請參閱http://www.ietf.org。 |
KERB_TICKET_LOGON 包含網路登入的配置檔資訊。 |
KERB_TICKET_PROFILE KERB_TICKET_PROFILE 結構包含互動式登入配置檔的相關信息。 此結構是由 LsaLogonUser 傳回。 |
KERB_TICKET_UNLOCK_LOGON 包含解除鎖定工作站的資訊。 |
LSA_AUTH_INFORMATION LSA_AUTH_INFORMATION 結構包含受信任網域的驗證資訊。 |
LSA_ENUMERATION_INFORMATION LSA_ENUMERATION_INFORMATION 結構會與 LsaEnumerateAccountsWithUserRight 函式搭配使用,以傳回 SID 的指標。 |
LSA_FOREST_TRUST_BINARY_DATA 包含本機安全性授權單位樹系信任作業中使用的二進位數據。 |
LSA_FOREST_TRUST_COLLISION_INFORMATION 包含本機安全性授權單位樹系信任衝突的相關信息。 |
LSA_FOREST_TRUST_COLLISION_RECORD 包含本機安全性授權單位樹系信任衝突的相關信息。 |
LSA_FOREST_TRUST_DOMAIN_INFO 包含網域的識別資訊。 |
LSA_FOREST_TRUST_INFORMATION 包含本機安全性授權單位樹系信任資訊。 |
LSA_FOREST_TRUST_RECORD 代表本機安全性授權單位樹系信任記錄。 |
LSA_LAST_INTER_LOGON_INFO 包含登入會話的相關信息。 (LSA_LAST_INTER_LOGON_INFO) |
LSA_TRANSLATED_SID 與 LsaLookupNames 函式搭配使用,可傳回識別帳戶之 SID 的相關信息。 |
MSV1_0_INTERACTIVE_LOGON 包含互動式登錄的相關信息。 |
MSV1_0_INTERACTIVE_PROFILE MSV1_0_INTERACTIVE_PROFILE 結構包含互動式登入配置檔的相關信息。 LsaLogonUser 函式會使用此結構。 |
MSV1_0_LM20_LOGON 包含網路登入中使用的登入資訊。 |
MSV1_0_LM20_LOGON_PROFILE 包含網路登入會話的相關信息。 |
MSV1_0_SUBAUTH_LOGON 由子驗證 DLL 使用。 |
MSV1_0_SUBAUTH_REQUEST 包含要傳遞至子驗證套件的資訊。 |
MSV1_0_SUBAUTH_RESPONSE 包含來自子驗證套件的回應。 |
MSV1_0_SUPPLEMENTAL_CREDENTIAL MSV1_0_SUPPLEMENTAL_CREDENTIAL 結構可用來將認證從 Kerberos 或自定義驗證套件傳遞至 MSV1_0。 |
PKU2U_CERT_BLOB 指定 PKU2U 憑證數據。 |
PKU2U_CERTIFICATE_S4U_LOGON 指定用於 S4U 登入的憑證。 |
PKU2U_CREDUI_CONTEXT 指定 PKU2U 用戶端內容。 |
POLICY_AUDIT_EVENTS_INFO POLICY_AUDIT_EVENTS_INFO 結構可用來設定和查詢系統的稽核規則。 |
POLICY_AUDIT_SID_ARRAY 指定代表 Windows 使用者或群組的 SID 結構陣列。 |
POLICY_LSA_SERVER_ROLE_INFO 用來設定及查詢 LSA 伺服器的角色。 |
POLICY_MODIFICATION_INFO POLICY_MODIFICATION_INFO 結構可用來查詢 LSA 資料庫建立時間和上次修改的相關信息。 |
POLICY_PRIMARY_DOMAIN_INFO PolicyPrimaryDomainInformation 值和POLICY_PRIMARY_DOMAIN_INFO結構已過時。 請改用 PolicyDnsDomainInformation 和 POLICY_DNS_DOMAIN_INFO 結構。 |
SECURITY_LOGON_SESSION_DATA 包含登入會話的相關信息。 (SECURITY_LOGON_SESSION_DATA) |
TRUSTED_DOMAIN_AUTH_INFORMATION TRUSTED_DOMAIN_AUTH_INFORMATION 結構可用來擷取受信任網域的驗證資訊。 當其 InformationClass 參數設定為 TrustedDomainAuthInformation 時,LsaQueryTrustedDomainInfo 函式會使用此結構。 |
TRUSTED_DOMAIN_FULL_INFORMATION 用來擷取信任網域的完整資訊。 |
TRUSTED_DOMAIN_INFORMATION_EX 用來擷取受信任網域的擴充資訊。 |
TRUSTED_DOMAIN_NAME_INFO 用來查詢或設定受信任網域的名稱。 |
TRUSTED_PASSWORD_INFO TRUSTED_PASSWORD_INFO 結構可用來查詢或設定受信任網域的密碼。 |
TRUSTED_POSIX_OFFSET_INFO 用來查詢或設定用來產生 Posix 使用者和群組識別碼的值。 |
KERB_CERTIFICATE_INFO_TYPE 指定提供的憑證信息類型。 |
KERB_LOGON_SUBMIT_TYPE 識別所要求的登入類型。 |
KERB_PROFILE_BUFFER_TYPE 清單 傳回的登入配置檔類型。 |
KERB_PROTOCOL_MESSAGE_TYPE 清單呼叫 LsaCallAuthenticationPackage 函式,以傳送至 Kerberos 驗證套件的訊息類型。 |
LSA_FOREST_TRUST_COLLISION_RECORD_TYPE 定義本機安全性授權單位樹系信任記錄之間可能發生的衝突類型。 |
LSA_FOREST_TRUST_RECORD_TYPE 定義本機安全性授權單位樹系信任記錄的類型。 |
MSV1_0_LOGON_SUBMIT_TYPE 指出所要求的登入類型。 |
MSV1_0_PROFILE_BUFFER_TYPE 清單 傳回的登入配置檔類型。 |
MSV1_0_PROTOCOL_MESSAGE_TYPE 清單 可藉由呼叫 LsaCallAuthenticationPackage 函式傳送至MSV1_0驗證套件的訊息類型。 |
PKU2U_LOGON_SUBMIT_TYPE 指出在PKU2U_CERTIFICATE_S4U_LOGON 結構中傳遞的登入訊息類型。 |
POLICY_AUDIT_EVENT_TYPE POLICY_AUDIT_EVENT_TYPE列舉會定義值,指出系統可以稽核的事件類型。 |
POLICY_DOMAIN_INFORMATION_CLASS 定義原則網域信息的類型。 |
POLICY_INFORMATION_CLASS 定義值,指出在 Policy 物件中設定或查詢的資訊類型。 |
POLICY_LSA_SERVER_ROLE 定義值,指出 LSA 伺服器的角色。 |
POLICY_NOTIFICATION_INFORMATION_CLASS POLICY_NOTIFICATION_INFORMATION_CLASS列舉定義應用程式可以要求變更通知的原則資訊和原則網域信息類型。 |
POLICY_SERVER_ENABLE_STATE POLICY_SERVER_ENABLE_STATE列舉代表 LSA 伺服器的狀態,無論是啟用還是停用。 某些作業只能在啟用的 LSA 伺服器上執行。 |
SECURITY_LOGON_TYPE 指出登入程式所要求的登入類型。 |
TRUSTED_INFORMATION_CLASS TRUSTED_INFORMATION_CLASS列舉型別會定義值,指出要設定或查詢受信任網域的信息類型。 |
訓練
模組
保護 Windows Server 使用者帳戶 - Training
確保使用者帳戶的最低權限,並將其放在受保護的使用者群組中,以保護 Active Directory 環境。 了解如何限制驗證範圍,以及補救可能不安全的帳戶。
文件
LsaLookupAuthenticationPackage 函式 (ntsecapi.h) - Win32 apps
取得驗證套件的唯一標識碼。
LsaConnectUntrusted 函式 (ntsecapi.h) - Win32 apps
建立與 LSA 伺服器的不受信任連線。
LSA_UNICODE_STRING (lsalookup.h) - Win32 apps
LSA_UNICODE_STRING結構是由各種本機安全性授權單位 (LSA) 函式用來指定 Unicode 字串。