账户权限与特权

账户权限是用于确定账户可以执行的登录类型，管理员向用户和组账户分配账户权限，每个用户的账户权限包括向用户授予的权限以及用户所属的组

登录类型包括

• 交互式 Interactive

• 网络 Network

• 批处理 Batch

• 服务 Service

• 终端服务器客户端 Terminal Server client

系统管理员通过LSA函数处理账户权限，以下是一些函数

• LsaAddAccountRights和 LsaRemoveAccountRights 函数添加或删除帐户权限

• LsaEnumerateAccountRights*函数枚举指定帐户持有的帐户权限

• LsaEnumerateAccountsWithUserRight 函数枚举具有指定帐户权限的帐户

在gpedit.msc->计算机配置->安全设置->本地策略->用户权限分配中所有带登录字眼的都是账户权限，其他都是特权

特权是账户在本地计算机上执行各种操作系统相关操作的权限

特权是通过LUID标识的，在访问特权前都需要调用 LookupPrivilegeName函数将 LUID 转换为其相应的字符串常量

特权常量

系统管理员可以通过LSA函数处理账户特权，以下是一些函数：

• LsaAddAccountRights 和 LsaRemoveAccountRights 函数添加或删除帐户中的特权

• LsaEnumerateAccountRights函数枚举指定帐户持有的权限

• LsaEnumerateAccountsWithUserRight函数枚举具有指定特权的帐户

与账户权限不同，特权可以启动或禁用，有些特权在需要使用时才会启用，以防止进程无意间导致安全事故，如：

虽然特权那里为禁用，但是当使用时就会开启

点击更改日期和时间格式，重新打开SystemSettings.exe的属性就会发现该特权开启了

有些特权是可以直接赋给用户然后就可以执行，但是有些特权只能在高完整性级别下使用，这些特权极为强大，例如：

• SeDebugPrivilege 调试程序

• SeTakeOwnshipPrivilege 取得所有权

• SeRestorePrivilege 还原文件和目录

• SeLoadDriverPrivilege 加载和卸载设备驱动程序

• SeCreateTokenPrivilege 创建令牌对象

• SeTcbPrivilege 以操作系统方式执行

这里给test1用户增加更改系统时间的特权，然后在中完整性级别的cmd下就直接执行了

这里给test2用户增加了上面所述的极为强大的特权，可以发现在中完整性级别的cmd中是没有这些特权的，在高完整性的cmd才中有这些特权