XProfan

Deutsch

Beschreibung:

Die API LsaRemoveAccountRights entfernt von einem Account Privilegien, sofern es sich hier nicht um Gruppenprivilegien handelt. Diese Funktion gibt es nur unter NT-basierten Windowssystemen. Privilegien werden erst nach dem erneuten Einloggen des speziellen Users aus dem Account entfernt.

Deklaration:

DEF @LsaRemoveAccountRights(5) !advapi32,LsaRemoveAccountRights

Parameter:

1.Parameter: Das mit LSAOpenPolicy erhaltene Handle des Policy Objektes als Longint. Das Handle muß mit POLICY_LOOKUP_NAMES geöffnet werden.

2.Parameter: Bereichsvariable mit dem SID des Accounts, aus dem die Privilegien entfernt werden sollen.

3.Parameter: Flag der angibt, ob alle Privilegien entfernt werdcen sollen. =>
·1 = Alle Privilegien werden entfernt.
·0 = Nur die in Parameter 4 angegebenen Privilegien werden entfernt.

4.Parameter: Bereichvariable mit einem Array aus LSA_UNICODE_STRING Strukturen, die Angaben über die zu entfernenden Privilegien enthält. =>
·Byte 0-1 = Die Lange des Strings in Bytes, auf den Byte 4-7 verweist.
·Byte 2-3 = Die Länge des Bereichs in Bytes, auf den Byte 4-7 verweist.
·Byte 4-7 = Beliebig, aber ausreichend große Bereichsvariable mit einem String im Unicode Format, der den Namen eines hinzuzufügenden Privilegs enthält.
·Byte 8-9 = Die Lange des Strings in Bytes, auf den Byte 12-15 verweist.
·Byte 10-11 = Die Länge des Bereichs in Bytes, auf den Byte 12-15 verweist.
·Byte 12-15 = Beliebig, aber ausreichend große Bereichsvariable mit einem String im Unicode Format, der den Namen eines hinzuzufügenden Privilegs enthält.
·usw...

5.Parameter: Die Anzahl der zu entfernenden Privilegien aus Parameter 4.

Rückgabewert:

0 bei Erfolg, ansonsten ein NT-Status Fehlercode (LongInt), der mit LsaNtStatusToWinError in einen Systemfehlercode umgewandelt werden kann.

Beispiele:

Kompilieren Markieren Separieren

DEF @LsaOpenPolicy(4) !"advapi32","LsaOpenPolicy"
DEF @LsaClose(1) !"advapi32","LsaClose"
DEF @LsaNtStatusToWinError(1) !"advapi32","LsaNtStatusToWinError"
DEF @LsaRemoveAccountRights(5) !"advapi32","LsaRemoveAccountRights"
DEF @MultiByteToWideChar(6) !"kernel32","MultiByteToWideChar"
DEF @LookupAccountName(7) !"advapi32","LookupAccountNameA"
DEF @GetACP(0) !"kernel32","GetACP"
Declare Fehler&,UNICODE#,Attribut#,POLICY_Handle#
Declare Policy_Handle&,PrivilegSET#,PRIVILEG#
Declare SID#,DOMAIN#,SID_TYPE_INDICATOR#,DOMAIN#,Attribut#,ALLPRIVS#,COUNT#,SID#,DOMAINNAME_SIZE_ADDR#
Declare SYSTEM$,DOMAIN$,SID_Size#,Account$
Struct LSA_UNICODE_STRING=Length%,MaximumLength%,Buffer&
DIM UNICODE#,LSA_UNICODE_STRING
Clear UNICODE#
Struct LSA_OBJECT_ATTRIBUTES=Length&,RootDirectory&,Length%,MaximumLength%,Buffer&,Attributes&,SecurityDescriptor#(4),SecurityQualityOfService#(4)
DIM Attribut#,LSA_OBJECT_ATTRIBUTES
Clear Attribut#
DIM ALLPRIVS#,2000
DIM COUNT#,4
DIM DOMAIN#,256
DIM SID#,800
DIM SID_Size#,4
DIM DOMAINNAME_SIZE_ADDR#,4
DIM SID_TYPE_INDICATOR#,256
DIM POLICY_Handle#,4
DIM PRIVILEG#,100
DIM PrivilegSET#,100
Windowstyle 31
Windowtitle "Aus einem Account das Privileg zum Ändern der Systemzeit entfernen."
Window 0,0-640,440
CLEAR SID#,DOMAIN#,SID_TYPE_INDICATOR#,DOMAIN#,Attribut#,ALLPRIVS#,COUNT#,SID#,DOMAINNAME_SIZE_ADDR#
Long SID_Size#,0=800
LONG DOMAINNAME_SIZE_ADDR#,0=255
LET SYSTEM$=""
LET ACCOUNT$=@input$("Accountnamen eingeben (kein Alias):","Account","Gast")
LET Fehler&=@LookupAccountName(@ADDR(System$),@addr(ACCOUNT$),SID#,SID_Size#,DOMAIN#,DOMAINNAME_SIZE_ADDR#,SID_TYPE_INDICATOR#)
Print "Rückmeldung von LookupAccountName="+@STR$(Fehler&)

If Fehler&=1

    LET Fehler&=@LsaOpenPolicy(0,Attribut#,$10 | $0800,POLICY_Handle#)
    Print "Rückmeldung von LsaOpenPolicy="+@STR$(Fehler&)
    Let Fehler&=@LsaNtStatusToWinError(Fehler&)
    PRINT "LsaOpenPolicy Rückmeldung umgewandelt in Windows Fehlercode="+@STR$(Fehler&)
    LET Policy_Handle&=@LONG(POLICY_Handle#,0)
    Print "Geliefertes Handle="+@STR$(Policy_Handle&)

    IF Fehler&=0

        CLEAR UNICODE#,PrivilegSET#,PRIVILEG#
        STRING PrivilegSET#,0="SeSystemtimePrivilege"
        LET Fehler&=@MultiByteToWideChar(@GetACP(),0,PRIVILEGSET#,-1,PRIVILEG#,100)
        Print "Rückmeldung von MultiByteToWideChar="+@STR$(Fehler&)
        UNICODE#.Buffer&=PRIVILEG#
        UNICODE#.Length%=@LEN("SeSystemtimePrivilege")*2
        UNICODE#.MaximumLength%=100
        LET Fehler&=@LsaRemoveAccountRights(Policy_Handle&,SID#,0,UNICODE#,1)
        Print "Rückmeldung von LsaRemoveAccountRights="+@STR$(Fehler&)
        Let Fehler&=@LsaNtStatusToWinError(Fehler&)
        PRINT "LsaRemoveAccountRights Rückmeldung umgewandelt in Windows Fehlercode="+@STR$(Fehler&)
        LET Fehler&=@LsaClose(Policy_Handle&,0)
        Print "Rückmeldung von LsaClose="+@STR$(Fehler&)
        Let Fehler&=@LsaNtStatusToWinError(Fehler&)
        PRINT "LsaClose Rückmeldung umgewandelt in Windows Fehlercode="+@STR$(Fehler&)

    Endif

endif

Dispose POLICY_Handle#
Dispose ALLPRIVS#
Dispose COUNT#
Dispose DOMAIN#
Dispose SID#
Dispose SID_Size#
Dispose DOMAINNAME_SIZE_ADDR#
Dispose SID_TYPE_INDICATOR#
Dispose POLICY_Handle#
Dispose PRIVILEG#
Dispose PrivilegSET#

While 0=0

    Waitinput

Wend