共用方式為


安全性管理功能

本節包含下列函式群組的主題:

附件回呼函式

下列支援函式是由安全性設定工具集提供,而且可由附件引擎和擴充功能嵌入式管理單元用來讀取和寫入組態資料。

回呼函式 描述
PFSCE_FREE_INFO
用來釋放這些支援函式所配置的記憶體。
PFSCE_LOG_INFO
用來將訊息記錄到組態記錄檔或分析記錄檔。
PFSCE_QUERY_INFO
用來查詢特定服務的組態和分析資訊。
PFSCE_SET_INFO
用來設定特定服務的組態和分析資訊。

附件引擎函式

函式 描述
SceSvcAttachmentAnalyze
由附件引擎 DLL 實作。 分析系統時,安全性設定引擎會呼叫此函式。
SceSvcAttachmentConfig
由附件引擎 DLL 實作。 設定系統時,安全性設定引擎會呼叫此函式。
SceSvcAttachmentUpdate
由附件引擎 DLL 實作。 當安全性設定引擎從附件嵌入式管理單元擴充功能收到設定更新要求時,會呼叫此函式。

LSA 原則函式

下列主題提供 本機安全性授權單位 (LSA) 原則函式的參考資訊。

主題 描述
原則函式
詳細資料函式,用來開啟本機 原則 物件,以及設定或擷取全域原則資訊。
帳戶函式
詳細資料用來管理帳戶許可權和建立和刪除使用者帳戶的函式。
信任的網域函式
詳細資料函式,用來建立和刪除信任的網域關聯性,以及設定和擷取這些信任網域的相關資訊。
私人資料函式
請勿使用 LSA 私人資料函式。 請改用 CryptProtectDataCryptUnprotectData 函式。
雜項函式
未在其他地方描述詳細資料函式。

原則函式

下列函式會列舉使用者帳戶和受信任的網域、接收原則變更通知,以及查閱帳戶名稱和 SID。

函式 描述
LsaEnumerateAccountsWithUserRight
列舉具有指定之使用者許可權的所有帳戶。
LsaEnumerateTrustedDomainsEx
列舉受信任的網域。
LsaLookupNames
將指定的名稱對應至其 SID。 傳回 SID 做為 RID/網域 SID 配對。
LsaLookupNames2
將指定的名稱對應至其 SID。 傳回 SID 做為單一元素。
LsaLookupPrivilegeValue
擷取本機 唯一識別碼 , (LUID) 由本機安全性授權單位 (LSA) 來表示指定的許可權名稱。
LsaLookupSids
將指定的帳號名稱對應至其 SID。
LsaRegisterPolicyChangeNotification
註冊事件物件,以在本機原則資訊變更時接收通知。
LsaUnregisterPolicyChangeNotification
取消註冊接收原則變更通知的事件物件。

帳戶函式

下列函式會新增、列舉和刪除帳戶的許可權。

函式 描述
LsaAddAccountRights
將許可權新增至帳戶。 如果帳戶尚未存在,則會建立該帳戶。
LsaEnumerateAccountRights
列舉授與給帳戶的許可權。
LsaRemoveAccountRights
從帳戶移除許可權。 移除擁有權限時,會刪除帳戶。

信任的網域函式

下列函式會建立、列舉和刪除信任的網域,並設定及擷取受信任的網域資訊。

函式 描述
LsaCreateTrustedDomainEx
建立新的 TrustedDomain 物件。
LsaDeleteTrustedDomain
移除 TrustedDomain 物件。
LsaEnumerateTrustedDomains
LsaEnumerateTrustedDomainsEx
列舉本機系統目前信任的網域。
LsaOpenTrustedDomainByName
開啟 TrustedDomain 物件的控制碼。
LsaQueryTrustedDomainInfo
擷取受信任網域的相關資訊。 網域是由 SID 指定。
LsaQueryTrustedDomainInfoByName
擷取受信任網域的相關資訊。 網域是以名稱指定。
LsaSetTrustedDomainInfoByName
設定受信任網域的資訊。 網域是以名稱指定。
LsaSetTrustedDomainInformation
設定受信任網域的資訊。 網域是由 SID 指定。

私人資料函式

請勿使用 LSA 私人資料函式。 請改用 CryptProtectDataCryptUnprotectData 函式。

函式 描述
LsaRetrievePrivateData
擷取和解密字串。
LsaStorePrivateData
加密並儲存字串。

雜項函式

LSA 原則 API 具有下列三個不符合其他 LSA 原則函式類別的函式。

函式 描述
LsaClose
關閉 Policy 物件的控制碼或 TrustedDomain 物件。
LsaFreeMemory
釋放 LSA 函式配置的緩衝區。
LsaNtStatusToWinError
NTSTATUS 值轉換為 Windows 錯誤碼。

受控服務帳戶函式

下列函式可用來建立、列舉、尋找和刪除受控服務帳戶。

函式 描述
NetAddServiceAccount
建立受控服務帳戶。
NetEnumerateServiceAccounts
列舉指定伺服器上的伺服器帳戶。
NetIsServiceAccount
測試指定的服務帳戶是否存在於指定伺服器上的 Netlogon 存放區中。
NetRemoveServiceAccount
Active Directory 資料庫刪除指定的服務帳戶。

密碼篩選函式

下列密碼篩選函式是由自訂 密碼篩選 DLL 實作,以提供密碼篩選和密碼變更通知。

函式 描述
InitializeChangeNotify
表示密碼篩選 DLL 已初始化。
PasswordChangeNotify
表示密碼已變更。
PasswordFilter
根據密碼原則驗證新的密碼。

更安全的函式

下列更安全的函式可用來檢查任何可執行檔的安全層級,以及記錄事件。

函式 描述
SaferCloseLevel 關閉使用 SaferIdentifyLevel 函式或 SaferCreateLevel 函式開啟的SAFER_LEVEL_HANDLE。
SaferComputeTokenFromLevel 使用SAFER_LEVEL_HANDLE所指定的限制來限制權杖。
SaferCreateLevel 開啟SAFER_LEVEL_HANDLE。
SaferGetLevelInformation 擷取原則層級的相關資訊。
SaferGetPolicyInformation 擷取原則的相關資訊。
SaferIdentifyLevel 擷取層級的相關資訊。
SaferiIsExecutableFileType 判斷指定的檔案是否為可執行檔。
SaferRecordEventLogEntry 將訊息傳送至事件記錄檔。
SaferSetLevelInformation 設定原則層級的相關資訊。
SaferSetPolicyInformation 設定全域原則控制項。