Privileges
Een bevoegdheid is het recht van een account, zoals een gebruikers- of groepsaccount, om verschillende systeemgerelateerde bewerkingen uit te voeren op de lokale computer, zoals het afsluiten van het systeem, het laden van apparaatstuurprogramma's of het wijzigen van de systeemtijd. Bevoegdheden verschillen op twee manieren van toegangsrechten:
- Bevoegdheden beheren de toegang tot systeemresources en systeemgerelateerde taken, terwijl toegangsrechtenbeheer voor beveiligbare objecten.
- Een systeembeheerder wijst bevoegdheden toe aan gebruikers- en groepsaccounts, terwijl het systeem toegang verleent of weigert tot een beveiligbaar object op basis van de toegangsrechten die zijn verleend in de ACL's van het object.
Elk systeem heeft een accountdatabase waarin de bevoegdheden van gebruikers- en groepsaccounts worden opgeslagen. Wanneer een gebruiker zich aanmeldt, produceert het systeem een toegangstoken met een lijst met de bevoegdheden van de gebruiker, inclusief de bevoegdheden van de gebruiker, met inbegrip van de machtigingen die aan de gebruiker zijn verleend of aan groepen waartoe de gebruiker behoort. Houd er rekening mee dat de bevoegdheden alleen van toepassing zijn op de lokale computer; een domeinaccount kan verschillende bevoegdheden hebben op verschillende computers.
Wanneer de gebruiker probeert een bevoegde bewerking uit te voeren, controleert het systeem het toegangstoken van de gebruiker om te bepalen of de gebruiker over de benodigde bevoegdheden beschikt. Als dat het zo is, controleert het of de bevoegdheden zijn ingeschakeld. Als de gebruiker deze tests mislukt, voert het systeem de bewerking niet uit.
Als u de bevoegdheden in een toegangstoken wilt bepalen, roept u de functie GetTokenInformation aan, waarmee ook wordt aangegeven welke bevoegdheden zijn ingeschakeld. De meeste bevoegdheden zijn standaard uitgeschakeld.
De Windows-API definieert een set tekenreeksconstanten, zoals SE_ASSIGNPRIMARYTOKEN_NAME, om de verschillende bevoegdheden te identificeren. Deze constanten zijn hetzelfde op alle systemen en worden gedefinieerd in Winnt.h. Zie Privilege Constantsvoor een tabel met de bevoegdheden die zijn gedefinieerd door Windows. De functies die de bevoegdheden in een toegangstoken ophalen en aanpassen, gebruiken echter het LUID--type om bevoegdheden te identificeren. De LUID- waarden voor een bevoegdheid kunnen verschillen van de ene computer naar de andere, en van het ene naar het andere opstarten op dezelfde computer. Als u de huidige LUID- wilt ophalen die overeenkomt met een van de tekenreeksconstanten, gebruikt u de functie LookupPrivilegeValue. Gebruik de functie LookupPrivilegeName om een LUID- te converteren naar de bijbehorende tekenreeksconstante.
Het systeem biedt een set weergavenamen die elk van de bevoegdheden beschrijven. Dit is handig wanneer u een beschrijving van een bevoegdheid voor de gebruiker moet weergeven. Gebruik de functie LookupPrivilegeDisplayName om een beschrijvingstekenreeks op te halen die overeenkomt met de tekenreeksconstante voor een bevoegdheid. Op systemen die amerikaans Engels gebruiken, is de weergavenaam voor de SE_SYSTEMTIME_NAME-bevoegdheid bijvoorbeeld 'De systeemtijd wijzigen'.
U kunt de functie PrivilegeCheck gebruiken om te bepalen of een toegangstoken een opgegeven set bevoegdheden bevat. Dit is vooral handig voor servertoepassingen die een client imiteren.
Een systeembeheerder kan beheerprogramma's, zoals User Manager, gebruiken om bevoegdheden voor gebruikers- en groepsaccounts toe te voegen of te verwijderen. Beheerders kunnen programmatisch de LSA-functies (Local Security Authority) gebruiken om met bevoegdheden te werken. De functies LsaAddAccountRights en LsaRemoveAccountRights bevoegdheden toevoegen aan of verwijderen uit een account. De LsaEnumerateAccountRights-functie inventariseert de bevoegdheden die zijn opgeslagen door een opgegeven account. De functie LsaEnumerateAccountsWithUserRight inventariseert de accounts met een opgegeven bevoegdheid.
Verwante onderwerpen