Kiváltságok
A jogosultsági egy fiók( például egy felhasználó vagy csoportfiók) jogosultsága a helyi számítógépen különböző rendszerekkel kapcsolatos műveletek végrehajtására, például a rendszer leállítására, az eszközillesztők betöltésére vagy a rendszeridő módosítására. A jogosultságok kétféleképpen különböznek a hozzáférési jogosultságoktól:
- A jogosultságok szabályozzák a rendszererőforrásokhoz és a rendszerhez kapcsolódó feladatokhoz való hozzáférést, míg a hozzáférési jogosultságok biztonságos objektumokhoz való hozzáférést.
- A rendszergazda jogosultságokat rendel a felhasználói és csoportfiókokhoz, míg a rendszer az objektum DACL-jében megadott hozzáférési jogosultságok alapján biztosít vagy tagad meg hozzáférést egy biztonságos objektumhoz.
Minden rendszer rendelkezik egy fiókadatbázissal, amely a felhasználói és csoportfiókok által birtokolt jogosultságokat tárolja. Amikor egy felhasználó bejelentkezik, a rendszer létrehoz egy hozzáférési jogkivonatot, amely tartalmazza a felhasználó jogosultságainak listáját, beleértve a felhasználónak vagy azoknak a csoportoknak nyújtott jogosultságokat is, amelyekhez a felhasználó tartozik. Vegye figyelembe, hogy a jogosultságok csak a helyi számítógépre vonatkoznak; A tartományi fiókok különböző jogosultságokkal rendelkezhetnek a különböző számítógépeken.
Amikor a felhasználó privilegizált műveletet próbál végrehajtani, a rendszer ellenőrzi a felhasználó hozzáférési jogkivonatát annak megállapításához, hogy a felhasználó rendelkezik-e a szükséges jogosultságokkal, és ha igen, ellenőrzi, hogy engedélyezve vannak-e a jogosultságok. Ha a felhasználó nem hajtja végre ezeket a teszteket, a rendszer nem hajtja végre a műveletet.
A hozzáférési jogkivonatban tárolt jogosultságok meghatározásához hívja meg a GetTokenInformation függvényt, amely azt is jelzi, hogy mely jogosultságok engedélyezettek. A legtöbb jogosultság alapértelmezés szerint le van tiltva.
A Windows API sztringállandók készletét határozza meg, például SE_ASSIGNPRIMARYTOKEN_NAME a különböző jogosultságok azonosításához. Ezek az állandók minden rendszeren azonosak, és a Winnt.h-ban vannak definiálva. A Windows által definiált jogosultságok táblázatát a Privilege Constantscímű témakörben talál. A hozzáférési jogkivonatok jogosultságait lekérő és módosító függvények azonban a LUID típust használják a jogosultságok azonosításához. A jogosultságok LUID értékei számítógépenként eltérhetnek, és az egyik rendszerindítástól a másikig ugyanazon a számítógépen. Az aktuális LUID lekéréséhez, amely az egyik sztringállandónak felel meg, használja a LookupPrivilegeValue függvényt. A LookupPrivilegeName függvénnyel konvertálhat egy LUID- a megfelelő sztringállandóvá.
A rendszer megjelenítendő neveket biztosít, amelyek az egyes jogosultságokat írják le. Ezek akkor hasznosak, ha meg kell jelenítenie egy jogosultság leírását a felhasználó számára. A LookupPrivilegeDisplayName függvénnyel lekérheti a jogosultságok sztringállandójának megfelelő leírási sztringet. Az amerikai angol nyelvet használó rendszereken például a SE_SYSTEMTIME_NAME jogosultság megjelenítendő neve "A rendszeridő módosítása".
A PrivilegeCheck függvénnyel megállapíthatja, hogy egy hozzáférési jogkivonat rendelkezik-e adott jogosultságkészlettel. Ez elsősorban az ügyfélnek megszemélyesítő kiszolgálóalkalmazások esetében hasznos.
A rendszergazda rendszergazdai eszközökkel , például a User Managerrel adhat hozzá vagy távolíthat el jogosultságokat a felhasználói és csoportfiókokhoz. A rendszergazdák programozott módon használhatják a Local Security Authority (LSA) függvényeket a jogosultságok használatához. Az LsaAddAccountRights és LsaRemoveAccountRights függvények jogosultságokat adnak hozzá vagy távolítanak el egy fiókból. A LsaEnumerateAccountRights függvény számba veszi a megadott fiókhoz tartozó jogosultságokat. A LsaEnumerateAccountsWithUserRight függvény számba adja a megadott jogosultsággal rendelkező fiókokat.
Kapcsolódó témakörök