组策略说我应该拥有它

Question 1

您有权限，但是已禁用。这就是 PowerShell 告诉您的内容。

要关闭系统，可以使用 Win32API 函数InitiateSystemShutdown或者ExitWindowsEx：

ExitWindowsEx(EWX_POWEROFF, 0);

这些函数注意：

要关闭本地计算机，调用线必须具有 SE_SHUTDOWN_NAME 权限。默认情况下，用户可以启用 SE_SHUTDOWN_NAME他们登录的计算机上的权限，并且管理员可以在远程计算机上启用 SE_REMOTE_SHUTDOWN_NAME 权限。

如您所见，Windows 检查线特权（任何线程都有具有特权的令牌）。如果你调用ExitWindowsEx时没有SE_SHUTDOWN_NAME权限，该函数将失败并出现以下错误：

Error code: 1314
A required privilege is not held by the client

你创建的线程默认继承你的权限；但程序可以启用已使用以下命令授予的已禁用权限AdjustTokenPrivileges：

TOKEN_PRIVILEGES tp;
tp.PrivilegeCount = 1;
tp.Privileges[0].Luid = LookupPrivilegeValue(NULL, "SeShutdownPrivilege");
tp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;

HANDLE processToken = OpenProcessToken(GetCurrentProcess, TOKEN_ADJUST_PRIVILEGES);
AdjustTokenPrivileges(processToken, FALSE, &tp, 0, NULL, NULL);
CloseHandle(processToken);

更改令牌中的权限说：

AdjustTokenPrivileges 无法添加或删除权限来自令牌。它可以仅启用当前已禁用的现有权限或禁用当前启用的现有权限

那么，为什么默认情况下禁用此权限？为了确保没有程序可以意外关闭 Windows。应用程序应该明确请求此权限。

有一本古老但非常好的书：https://www.amazon.com/Programming-Windows-Security-Keith-Brown/dp/0201604426/关于所有这些事情。

Answer

您有权限，但是已禁用。这就是 PowerShell 告诉您的内容。

要关闭系统，可以使用 Win32API 函数InitiateSystemShutdown或者ExitWindowsEx：

ExitWindowsEx(EWX_POWEROFF, 0);

这些函数注意：

要关闭本地计算机，调用线必须具有 SE_SHUTDOWN_NAME 权限。默认情况下，用户可以启用 SE_SHUTDOWN_NAME他们登录的计算机上的权限，并且管理员可以在远程计算机上启用 SE_REMOTE_SHUTDOWN_NAME 权限。

如您所见，Windows 检查线特权（任何线程都有具有特权的令牌）。如果你调用ExitWindowsEx时没有SE_SHUTDOWN_NAME权限，该函数将失败并出现以下错误：

Error code: 1314
A required privilege is not held by the client

你创建的线程默认继承你的权限；但程序可以启用已使用以下命令授予的已禁用权限AdjustTokenPrivileges：

TOKEN_PRIVILEGES tp;
tp.PrivilegeCount = 1;
tp.Privileges[0].Luid = LookupPrivilegeValue(NULL, "SeShutdownPrivilege");
tp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;

HANDLE processToken = OpenProcessToken(GetCurrentProcess, TOKEN_ADJUST_PRIVILEGES);
AdjustTokenPrivileges(processToken, FALSE, &tp, 0, NULL, NULL);
CloseHandle(processToken);

更改令牌中的权限说：

AdjustTokenPrivileges 无法添加或删除权限来自令牌。它可以仅启用当前已禁用的现有权限或禁用当前启用的现有权限

那么，为什么默认情况下禁用此权限？为了确保没有程序可以意外关闭 Windows。应用程序应该明确请求此权限。

有一本古老但非常好的书：https://www.amazon.com/Programming-Windows-Security-Keith-Brown/dp/0201604426/关于所有这些事情。

Question 2

这是因为您的用户属于已启用该权限的组。

要亲自查看哪些组：

以管理员身份打开 PowerShell（或命令）提示符。
跑步secedit /export /areas USER_RIGHTS /cfg OUTFILE.CFG。
在记事本或类似程序中查看 OutFile.cfg 的内容，并查找SeShutdownPrivilege条目。您将（应该）看到已启用该权限的用户和/或组的几个 SID。

因此我列出了三个短 SID。短 SID 通常是计算机级别的帐户/组。例如，其中一个是S-1-5-32-545。

使用 PowerShell 我们可以确定 SID 代表哪个帐户/组：

$objSID = New-Object System.Security.Principal.SecurityIdentifier ("S-1-5-32-545")
$objUser = $objSID.Translate([System.Security.Principal.NTAccount])
$objUser.Value

这将返回BUILTIN\Users。

由于您是该计算机上的用户，因此您自动成为该组的成员，这意味着您可以关闭该计算机。

另外两个是S-1-5-32-544和S-1-5-32-551。这些是标准BUILTIN\Administrators组和BUILTIN\Backup Operators组。它们与您在对话框中看到的组一致secpol.msc。

Answer

这是因为您的用户属于已启用该权限的组。

要亲自查看哪些组：

以管理员身份打开 PowerShell（或命令）提示符。
跑步secedit /export /areas USER_RIGHTS /cfg OUTFILE.CFG。
在记事本或类似程序中查看 OutFile.cfg 的内容，并查找SeShutdownPrivilege条目。您将（应该）看到已启用该权限的用户和/或组的几个 SID。

因此我列出了三个短 SID。短 SID 通常是计算机级别的帐户/组。例如，其中一个是S-1-5-32-545。

使用 PowerShell 我们可以确定 SID 代表哪个帐户/组：

$objSID = New-Object System.Security.Principal.SecurityIdentifier ("S-1-5-32-545")
$objUser = $objSID.Translate([System.Security.Principal.NTAccount])
$objUser.Value

这将返回BUILTIN\Users。

由于您是该计算机上的用户，因此您自动成为该组的成员，这意味着您可以关闭该计算机。

另外两个是S-1-5-32-544和S-1-5-32-551。这些是标准BUILTIN\Administrators组和BUILTIN\Backup Operators组。它们与您在对话框中看到的组一致secpol.msc。

组策略说我应该拥有它

组策略说我应该拥有它

额外阅读

答案1

答案2

相关内容