Drepturile și privilegiile grupurilor încorporate în Active Directory
Drepturile și privilegiile grupurilor încorporate în Active Directory
Pentru a simplifica administrarea conturilor de utilizator, atribuiți mai întâi privilegii conturilor de grup, nu conturilor individuale de utilizator. La atribuirea privilegiilor contului de grup, utilizatorii primesc automat aceste privilegii atunci când devin membri ai acestui grup. Această metodă de administrare a privilegiilor este mult mai ușoară decât atribuirea privilegiilor individuale fiecărui cont de utilizator în momentul creării contului.
Lista grupurilor Active Directory încorporate
Deschiderea snap-in-ului ADUC (utilizatori și computere Active Directory) și vizionarea în containerul Builtin a unei astfel de liste de grupuri, fiecare având o descriere detaliată a aplicației. Cele mai utilizate în practică pot distinge:
Următorul tabel listează și descrie privilegiile acordate utilizatorului.
Valoare implicită
Funcționarea ca parte a sistemului de operare
Adăugați stații de lucru la domeniu
Identifică grupuri sau utilizatori care pot adăuga stații de lucru în domeniu. Acest drept de utilizator este utilizat numai pentru controlorii de domeniu. În mod implicit, acest drept are orice utilizator autentificat; de asemenea, poate crea până la 10 conturi de computere în domeniu.
Prin adăugarea unui cont la domeniu, computerul recunoaște conturile și grupurile care există în Active Directory Domain Services (AD DS).
Controlere de domeniu. „Autentificat“
Configurați cotele de memorie pentru proces
Identifică utilizatorii care pot schimba cantitatea maximă de memorie folosită de proces. Acest drept de utilizator este definit în obiectul Politici de grup "Controller de domeniu implicit" și în politica de securitate locală a stațiilor de lucru și a serverului.
Arhivarea fișierelor și a directoarelor
Identifică utilizatorii care pot ocoli permisiunile pentru fișiere, directoare, registru și alte obiecte persistente la copierea de rezervă a sistemului.
"Administratori" și "Operatori de arhive"
Bypass Cross Validation
Stabilește utilizatorii care pot examina arborii de directoare, chiar dacă acești utilizatori nu au permisiuni de director. Acest privilegiu nu permite utilizatorilor să vizualizeze conținutul directorului, ci permite doar o revizuire. Acest drept de utilizator este definit în obiectul Obiect de politică de grup "Controller de domeniu implicit" și în politica locală de securitate a serverului.
Stații de lucru și servere. "Administratori", "Operatori de arhivă", "Utilizatori de putere", "Utilizatori", "Toți" controlere de domeniu. "Administratori" și "Autentificați"
Schimbarea timpului de sistem
Specifică utilizatorii și grupurile care pot schimba ora și data pe ceasul intern al computerului. Utilizatorii care au acest drept pot schimba aspectul jurnalelor de evenimente. Dacă modificați ora sistemului evenimentului înregistrat va afișa noua dată, nu timpul efectiv de apariție utilizator sobytiya.Eto drept este definit în „Default Domain Controller“ GPO și politica de securitate locală de stații de lucru și servere.
Stații de lucru și servere. "Administratori" și "Power users" Controlere de domeniu. "Administratori" și "Operatori de servere"
Crearea unui fișier de paginare
Vă permite să creați un fișier swap și să schimbați dimensiunea acestuia. Pentru a face acest lucru, în grupul Setări performanță din fila Avansat din dialogul Proprietăți sistem, specificați dimensiunea fișierului de paginare pentru discul specific.
Crearea unui obiect tip token
Permite procesul de a crea token-ul, care poate fi apoi folosit pentru a avea acces la orice resursă locală atunci când se aplică NtCreateToken () sau alte API, creând token.Protsessy care necesită acest cont, în loc de a folosi un cont separat de utilizator cu privilegii de cont special atribuit ar trebui să se aplice „Local sistem ", care conține deja acest privilegiu.
Crearea obiectelor globale
Definește conturile care pot crea obiecte globale într-o sesiune Terminal Services sau Remote Desktop Services.
"Administratori" și "Sistem local"
Creați obiecte partajate permanente
Permite procesului să creeze un obiect de catalog în managerul de obiecte al sistemului de operare. Acest privilegiu este util pentru componentele care rulează pe kernel și care extind spațiul de nume al obiectului. Componentele care rulează în modul kernel au deja acest privilegiu, deci nu este necesar să le atribuiți.
Identifică utilizatorii care pot atașa un depanator la orice proces sau kernel. Dezvoltatorii care depanează propriile aplicații nu au nevoie să atribuie acest drept. Acest drept ar trebui atribuit dezvoltatorilor care depanctează noi componente ale sistemului. Acest drept oferă acces complet la componente importante ale sistemului de operare.
"Administratori" și "Sistem local"
Activați încrederea în conturile de computer și de utilizator atunci când le delegați
Acest drept de utilizator este definit în obiectul Politică de grup "Implicit Domain Controller" și în politica locală de securitate pentru stațiile de lucru și servere.
Controlere de domeniu. „Administratorii“
Forțată oprire la distanță
Stabilește care utilizator este autorizat să închidă de la distanță computerul. Utilizarea incorectă a acestui drept de utilizator poate duce la refuzarea serviciului. Acest drept de utilizator este definit în obiectul Obiect al politicii de grup "Implicit Domain Controller" și al politicii locale de securitate pentru stațiile de lucru și servere.
Stații de lucru și servere. Controlor de domeniu "Administratori". "Administratori" și "Operatori de servere"
Crearea de audituri de securitate
Împodobirea clientului după autentificare
Definește conturile cărora li se permite să se imortalizeze în alte conturi.
"Administratori" și "Serviciu"
Măriți prioritatea execuției
Determină care conturile pot folosi un proces care are drept de acces „proprietăți de înregistrare“ pentru un alt proces, pentru creșterea performanței a priorității atribuite unui alt proces. Un utilizator cu acest privilegiu poate schimba prioritatea procesului prin interfața cu utilizatorul Task Manager.
Încărcați și descărcați driverele dispozitivelor
Stabilește care dintre utilizatori pot încărca și descărca dinamic driverele de dispozitiv sau alte coduri în modul kernel. Acest drept de utilizator nu se aplică driverelor de dispozitive Plug and Play. Deoarece driverele de dispozitiv rulează ca programe de încredere (sau privilegiate), nu atribuiți acest privilegiu altor utilizatori. În schimb, utilizați API-ul StartService ().
Blocați paginile din memorie
Stabilește ce conturi pot utiliza procesele pentru stocarea datelor în memoria fizică pentru a împiedica reinițializarea datelor în memoria virtuală de pe disc. Utilizarea acestui privilegiu poate afecta semnificativ performanța sistemului prin reducerea volumului de memorie RAM (RAM) disponibilă.
Nu; Unele procese de sistem au acest privilegiu inițial
Gestiunea Auditului și a Securității
Modificarea setărilor pentru mediul hardware
Stabilește cine poate modifica valorile parametrilor mediului hardware. Variabilele de mediu hardware sunt parametrii stocați în memoria nevolatilă a computerelor a căror arhitectură este diferită de x86. Acțiunea parametrului depinde de procesor.
- Pe computerele de tip x86, singura valoare de mediu hardware care poate fi modificată prin atribuirea acestui drept de utilizator este parametrul Ultima configurare de succes. care ar trebui schimbate doar de sistem.
- În calculatoarele bazate pe procesoarele Itanium, datele de boot sunt stocate în memorie nevolatilă. Acest drept este necesar ca utilizatorul să efectueze programul Bootcfg.exe și modifica setările sistemului de operare Startup componentă implicit și caseta de dialog System Recovery Properties.
- Pe toate computerele, acest drept de utilizator este necesar pentru a instala și a actualiza Windows.
"Administratori" și "Sistem local"
Profilarea unui proces
Identifică utilizatorii care pot utiliza instrumente de monitorizare a performanței pentru a monitoriza performanța proceselor non-sistem.
"Administratori", "Utilizatori avansați" și "Sistem local"
Profilarea performanțelor sistemului
Identifică utilizatorii care pot utiliza instrumente de monitorizare a performanței pentru a monitoriza performanța proceselor sistemului.
"Administratori" și "Sistem local"
Deconectarea calculatorului de la stația de andocare
Stabilește dacă utilizatorul poate deconecta un computer portabil de la nodul de andocare fără să se conecteze. Dacă această politică este activată, utilizatorul trebuie să se conecteze înainte de a deconecta laptopul de la nodul de andocare. Dacă această politică este dezactivată, utilizatorul poate deconecta laptopul de la nodul de andocare fără să se conecteze la sistem.
Înlocuirea tokenului nivelului procesului
Determină conturi de utilizator poate iniția procesul de înlocuire a token-ul implicit asociat cu rularea de utilizator podprotsessom.Eto dreapta este definit în „Default Domain Controller“ GPO și politica de securitate locală de stații de lucru și servere.
"Serviciul Local" și "Serviciul de Rețea"
Restaurați fișierele și directoarele
Definește utilizatorii care se pot sustrage permisiunile de fișiere, directoare, registru și alte obiecte persistente în materie de recuperare a fișierelor de backup și directoare, precum și utilizatorii care pot asocia orice deținător de securitate valabil sub rezerva obekta.V special, acest utilizator drept este similar cu acordarea următoarelor permisiuni pentru utilizator sau grup pentru toate dosarele și fișierele din sistem:
- Răsfoiți folderele / Executați fișiere
- record
Stații de lucru și servere. "Administratori" și "Operatori de arhivă" Controlere de domeniu. "Administratori", "Operatori de arhivă" și "Operatori de servere"
Opriți sistemul
Identifică utilizatorii care, după conectarea la nivel local, pot închide sistemul de operare utilizând comanda Închidere. Folosirea incorectă a acestui drept al utilizatorului poate duce la refuzarea serviciului.
Stații de lucru. "Administratori", "Operatori de arhivă", "Utilizatori de putere", "Utilizatori". "Administratori", "Operatori de arhivă", "Utilizatori experimentați"
Controlere de domeniu. "Operatori de cont", "Administratori", "Operatori de arhivă", "Operatori de servere", "Operatori de tipărire"
Sincronizarea datelor din serviciul director
Specifică utilizatorii și grupurile care sunt autorizate să sincronizeze toate datele despre serviciile de director. Aceasta se numește și sincronizare Active Directory.
Schimbați proprietatea asupra fișierelor sau a altor obiecte
Definește utilizatorii care pot prelua în proprietate orice sistem obiect poate fixa, inclusiv: obiecte Active Directory, fișiere și foldere, imprimante, chei de registry, procese și fire.