Τα δικαιώματα χρήστη παρέχουν συγκεκριμένα προνόμια και δικαιώματα σύνδεσης σε χρήστες και ομάδες στο περιβάλλον υπολογιστών σας. Οι διαχειριστές μπορούν να αντιστοιχίζουν συγκεκριμένα δικαιώματα σε λογαριασμούς ομάδων ή σε λογαριασμούς μεμονωμένων χρηστών. Τα δικαιώματα αυτά εξουσιοδοτούν τους χρήστες να πραγματοποιούν συγκεκριμένες ενέργειες, όπως είναι η αλληλεπιδραστική σύνδεση σε κάποιο σύστημα ή η δημιουργία αντιγράφων ασφαλείας αρχείων και καταλόγων.
Για να διευκολύνετε τη διαχείριση των λογαριασμών των χρηστών, θα πρέπει να εκχωρείτε προνόμια κυρίως σε λογαριασμούς ομάδας, και όχι σε λογαριασμούς μεμονωμένων χρηστών. Όταν εκχωρείτε προνόμια σε ένα λογαριασμό ομάδας, αυτά εκχωρούνται αυτόματα στους χρήστες που γίνονται μέλη αυτής της ομάδας. Αυτή η μέθοδος διαχείρισης των προνομίων είναι πολύ ευκολότερη από την εκχώρηση μεμονωμένων προνομίων σε κάθε λογαριασμό χρήστη όταν αυτός δημιουργείται.
Στον παρακάτω πίνακα παρατίθενται και περιγράφονται τα προνόμια που μπορούν να εκχωρηθούν σε ένα χρήστη.
| Προνόμιο | Περιγραφή | Προεπιλεγμένη ρύθμιση |
|---|---|---|
|
Εκτέλεση ενεργειών ως μέρος του λειτουργικού συστήματος |
Επιτρέπει σε μια διεργασία να εκτελέσει ενέργειες σαν να ήταν οποιοσδήποτε χρήστης (απομίμηση), χωρίς έλεγχο ταυτότητας. Έτσι, η διεργασία μπορεί να αποκτήσει πρόσβαση στους ίδιους πόρους στους οποίους έχει πρόσβαση ο χρήστης. Οι διεργασίες που χρειάζονται αυτό το προνόμιο θα πρέπει να χρησιμοποιούν τον λογαριασμό Τοπικού συστήματος, ο οποίος το περιλαμβάνει ήδη, και όχι έναν ξεχωριστό λογαριασμό χρήστη στον οποίο θα πρέπει να εκχωρηθεί αυτό το προνόμιο. Δεν χρειάζεται να εκχωρήσετε αυτό το προνόμιο στους χρήστες, παρά μόνο αν ο οργανισμός σας χρησιμοποιεί διακομιστές στους οποίους εκτελούνται τα Windows 2000 ή Windows NT 4.0 και χρησιμοποιεί εφαρμογές οι οποίες ανταλλάσσουν κωδικούς πρόσβασης σε μορφή απλού κειμένου. |
Local System |
|
Προσθήκη σταθμών εργασίας σε έναν τομέα |
Καθορίζει τις ομάδες ή τους χρήστες που μπορούν να προσθέσουν σταθμούς εργασίας σε έναν τομέα. Αυτό το δικαίωμα χρήστη είναι έγκυρο μόνο σε ελεγκτές τομέα. Από προεπιλογή, αυτό το δικαίωμα το έχει κάθε χρήστης για τον οποίο έχει πραγματοποιηθεί έλεγχος ταυτότητας και μπορεί να δημιουργήσει μέχρι και 10 λογαριασμούς υπολογιστών στον τομέα. Η προσθήκη ενός λογαριασμού υπολογιστή στον τομέα επιτρέπει στον υπολογιστή να αναγνωρίσει λογαριασμούς και ομάδες που υπάρχουν στις υπηρεσίες τομέα Active Directory (AD DS). |
Ελεγκτές τομέα: Authenticated Users |
|
Ρύθμιση ορίων μεγέθους μνήμης για μια διεργασία |
Καθορίζει ποιος μπορεί να αλλάξει τη μέγιστη μνήμη που μπορεί να χρησιμοποιηθεί από μια διεργασία. Αυτό το δικαίωμα χρήστη ορίζεται στο αντικείμενο πολιτικής ομάδας (GPO) προεπιλεγμένου ελεγκτή τομέα και στην τοπική πολιτική ασφαλείας των σταθμών εργασίας και των διακομιστών. |
Administrators |
|
Δημιουργία αντιγράφων ασφαλείας αρχείων και καταλόγων |
Καθορίζει ποιος χρήστης μπορεί να παρακάμψει τα δικαιώματα αρχείων και φακέλων, μητρώου και λοιπά μόνιμα δικαιώματα αντικειμένου με σκοπό τη δημιουργία αντιγράφων ασφαλείας του συστήματος. |
Administrators και Backup Operators |
|
Παράκαμψη διέλευσης ελέγχου |
Καθορίζει ποιοι χρήστες μπορούν να αλλάξουν δένδρα καταλόγων ακόμα και αν δεν έχουν δικαιώματα στον κατάλογο που έχει υποστεί αλλαγή. Αυτό το δικαίωμα δεν επιτρέπει στο χρήστη την εμφάνιση των περιεχομένων ενός καταλόγου, αλλά μόνο την αλλαγή καταλόγων. Αυτό το δικαίωμα χρήστη ορίζεται στο αντικείμενο πολιτικής ομάδας (GPO) προεπιλεγμένου ελεγκτή τομέα και στην τοπική πολιτική ασφαλείας των σταθμών εργασίας και των διακομιστών. |
Σταθμοί εργασίας και διακομιστές: Administrators, Backup Operators, Power Users, Users και Everyone Ελεγκτές τομέα: Administrators και Authenticated Users |
|
Αλλαγή της ώρας συστήματος |
Καθορίζει ποιοι χρήστες και ποιες ομάδες μπορούν να αλλάξουν την ώρα και ημερομηνία στο εσωτερικό ρολόι του υπολογιστή. Οι χρήστες, στους οποίους έχει εκχωρηθεί αυτό το δικαίωμα χρήστη μπορούν να επηρεάσουν την εμφάνιση των αρχείων καταγραφής συμβάντων. Εάν αλλάξει η ώρα συστήματος, τα συμβάντα που καταγράφονται θα αντικατοπτρίζουν αυτήν τη νέα ώρα και όχι την πραγματική ώρα που παρουσιάστηκαν τα συμβάντα. Αυτό το δικαίωμα χρήστη ορίζεται στο αντικείμενο πολιτικής ομάδας (GPO) προεπιλεγμένου ελεγκτή τομέα και στην τοπική πολιτική ασφαλείας των σταθμών εργασίας και των διακομιστών. |
Σταθμοί εργασίας και διακομιστές: Administrators και Power Users Ελεγκτές τομέα: Administrators και Server Operators |
|
Δημιουργία αρχείου σελιδοποίησης |
Επιτρέπει στον χρήστη τη δημιουργία ενός αρχείου σελιδοποίησης και την αλλαγή του μεγέθους του. Αυτό γίνεται καθορίζοντας ένα μέγεθος αρχείου σελιδοποίησης για μια συγκεκριμένη μονάδα δίσκου στο παράθυρο Επιλογές επιδόσεων της καρτέλας Για προχωρημένους των Ιδιοτήτων συστήματος. |
Administrators |
|
Δημιουργία αντικειμένου διακριτικού |
Επιτρέπει σε μια διεργασία να δημιουργήσει ένα διακριτικό το οποίο στη συνέχεια μπορεί να χρησιμοποιήσει για να αποκτήσει πρόσβαση σε οποιονδήποτε τοπικό πόρο όταν η διεργασία χρησιμοποιεί το API NtCreateToken() ή άλλα API που αφορούν τη δημιουργία διακριτικών. Οι διεργασίες που χρειάζονται αυτό το προνόμιο θα πρέπει να χρησιμοποιούν τον λογαριασμό Τοπικού συστήματος, ο οποίος το περιλαμβάνει ήδη, και όχι έναν ξεχωριστό λογαριασμό χρήστη στον οποίο θα πρέπει να εκχωρηθεί αυτό το προνόμιο. |
Καμία |
|
Δημιουργία καθολικών αντικειμένων |
Καθορίζει ποιοι λογαριασμοί μπορούν να δημιουργούν καθολικά αντικείμενα σε μια περίοδο λειτουργίας Υπηρεσιών τερματικού ή Υπηρεσιών απομακρυσμένης επιφάνειας εργασίας. |
Administrators και Local System |
|
Δημιουργία μόνιμων κοινόχρηστων αντικειμένων |
Επιτρέπει σε μια διεργασία να δημιουργήσει ένα αντικείμενο καταλόγου στη διαχείριση αντικειμένων του λειτουργικού συστήματος. Αυτό το προνόμιο είναι χρήσιμο για στοιχεία λειτουργίας πυρήνα που επεκτείνουν το χώρο ονομάτων αντικειμένου. Στα στοιχεία που λειτουργούν σε λειτουργία πυρήνα έχει ήδη εκχωρηθεί αυτό το δικαίωμα χρήστη. Δεν είναι απαραίτητη η εκχώρησή του σε αυτά. |
Καμία |
|
Εντοπισμός σφαλμάτων σε προγράμματα |
Καθορίζει ποιοι χρήστες μπορούν να επισυνάψουν ένα πρόγραμμα εντοπισμού σφαλμάτων σε οποιαδήποτε διεργασία ή στον πυρήνα. Στους προγραμματιστές που εκτελούν εντοπισμό σφαλμάτων στις δικές τους εφαρμογές δεν απαιτείται η εκχώρηση αυτού του δικαιώματος χρήστη. Οι προγραμματιστές που εκτελούν εντοπισμό σφαλμάτων σε νέα στοιχεία του συστήματος θα χρειαστούν αυτό το δικαίωμα χρήστη. Αυτό το δικαίωμα χρήστη παρέχει πλήρη πρόσβαση σε ευαίσθητα και κρίσιμης σημασίας στοιχεία του λειτουργικού συστήματος. |
Administrators και Local System |
|
Ενεργοποίηση υπολογιστή και λογαριασμών χρηστών ως αξιόπιστων για ανάθεση |
Καθορίζει ποιοι χρήστες μπορούν να ορίσουν τη ρύθμιση Αξιόπιστο για ανάθεση σε ένα αντικείμενο χρήστη ή υπολογιστή. Ο χρήστης ή το αντικείμενο, στον /στο οποίο εκχωρείται αυτό το δικαίωμα πρέπει να έχει πρόσβαση εγγραφής στις σημαίες ελέγχου λογαριασμού στο αντικείμενο χρήστη ή υπολογιστή. Μια διεργασία διακομιστή που εκτελείται σε έναν υπολογιστή (ή σε περιβάλλον χρήστη) που θεωρείται αξιόπιστος για ανάθεση μπορεί να έχει πρόσβαση σε πόρους σε διαφορετικό υπολογιστή χρησιμοποιώντας διαπιστευτήρια τα οποία έχουν ανατεθεί σε έναν υπολογιστή-πελάτη, εφόσον στο λογαριασμό υπολογιστή-πελάτη δεν έχει οριστεί η σημαία ελέγχου λογαριασμού Δεν είναι δυνατή η ανάθεση του λογαριασμού. Αυτό το δικαίωμα χρήστη ορίζεται στο αντικείμενο πολιτικής ομάδας (GPO) προεπιλεγμένου ελεγκτή τομέα και στην τοπική πολιτική ασφαλείας των σταθμών εργασίας και των διακομιστών. |
Ελεγκτές τομέα: Administrators |
|
Επιβολή τερματισμού λειτουργίας από απομακρυσμένο σύστημα |
Καθορίζει ποιοι χρήστες επιτρέπεται να τερματίσουν τη λειτουργία ενός υπολογιστή από μια απομακρυσμένη τοποθεσία στο δίκτυο. Η κακή χρήση αυτού του δικαιώματος χρήστη μπορεί να έχει ως αποτέλεσμα την άρνηση υπηρεσίας. Αυτό το δικαίωμα χρήστη ορίζεται στο αντικείμενο πολιτικής ομάδας (GPO) προεπιλεγμένου ελεγκτή τομέα και στην τοπική πολιτική ασφαλείας των σταθμών εργασίας και των διακομιστών. |
Σταθμοί εργασίας και διακομιστές: Administrators Ελεγκτές τομέα: Administrators και Server Operators |
|
Δημιουργία ελέγχων ασφαλείας |
Καθορίζει ποιοι λογαριασμοί μπορούν να χρησιμοποιηθούν από μια διεργασία για την προσθήκη καταχωρήσεων στο αρχείο καταγραφής ασφαλείας. Το αρχείο καταγραφής ασφαλείας χρησιμοποιείται για την παρακολούθηση μη εξουσιοδοτημένης πρόσβασης στο σύστημα. Η κακή χρήση αυτού του δικαιώματος χρήστη μπορεί να έχει ως αποτέλεσμα τη δημιουργία πολλών συμβάντων ελέγχου, την πιθανή απόκρυψη αποδεικτικών στοιχείων μιας επίθεσης ή την πρόκληση άρνησης υπηρεσίας εάν είναι ενεργοποιημένη η ρύθμιση πολιτικής ασφαλείας Έλεγχος: Άμεσος τερματισμός λειτουργίας του συστήματος εάν δεν είναι δυνατή η καταχώρηση των ελέγχων ασφαλείας. Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα |
Local System |
|
Μίμηση ενός προγράμματος-πελάτη μετά τον έλεγχο ταυτότητας |
Καθορίζει σε ποιους λογαριασμούς θα επιτρέπεται να μιμούνται άλλους λογαριασμούς. |
Administrators και Service |
|
Αύξηση της προτεραιότητας προγραμματισμού |
Καθορίζει ποιοι λογαριασμοί μπορούν να χρησιμοποιήσουν μια διεργασία με πρόσβαση Write Property σε κάποια άλλη διεργασία για την αύξηση της προτεραιότητας εκτέλεσης που έχει αντιστοιχιστεί στην άλλη διεργασία. Ένας χρήστης με αυτό το δικαίωμα μπορεί να αλλάξει την προτεραιότητα προγραμματισμού μιας διεργασίας μέσω του περιβάλλοντος εργασίας χρήστη "Διαχείριση Εργασιών". |
Administrators |
|
Φόρτωση και κατάργηση φόρτωσης προγραμμάτων οδήγησης συσκευών |
Καθορίζει ποιοι χρήστες μπορούν να εκτελέσουν δυναμική φόρτωση και κατάργηση φόρτωσης προγραμμάτων οδήγησης συσκευής ή άλλου κώδικα σε λειτουργία πυρήνα. Αυτό το δικαίωμα χρήστη δεν εφαρμόζεται σε προγράμματα οδήγησης συσκευών Τοποθέτησης και Άμεσης Λειτουργίας. Επειδή τα προγράμματα οδήγησης συσκευών εκτελούνται ως αξιόπιστα προγράμματα (ή με πολλά προνόμια), δεν θα πρέπει να εκχωρήσετε αυτό το προνόμιο σε άλλους χρήστες. Αντιθέτως, χρησιμοποιήστε το API StartService(). |
Administrators |
|
Κλείδωμα σελίδων στη μνήμη |
Καθορίζει ποιοι λογαριασμοί μπορούν να χρησιμοποιήσουν μια διεργασία για τη διατήρηση δεδομένων στη φυσική μνήμη, εμποδίζοντας το σύστημα να διατηρήσει τα δεδομένα στην εικονική μνήμη, στο δίσκο. Η άσκηση αυτού του δικαιώματος μπορεί να επηρεάσει σε σημαντικό βαθμό την απόδοση του συστήματος, μειώνοντας το ποσοστό της διαθέσιμης μνήμης τυχαίας προσπέλασης (RAM). |
Καμία. Ορισμένες διεργασίες συστήματος έχουν ήδη αυτό το προνόμιο |
|
Διαχείριση αρχείου καταγραφής ελέγχου και ασφάλειας |
Καθορίζει ποιοι χρήστες μπορούν να προσδιορίσουν επιλογές ελέγχου πρόσβασης σε αντικείμενα για μεμονωμένους πόρους, όπως αρχεία, αντικείμενα υπηρεσίας καταλόγου Active Directory και κλειδιά μητρώου. Αυτή η ρύθμιση ασφαλείας δεν επιτρέπει σε έναν χρήστη να ενεργοποιήσει τον έλεγχο πρόσβασης σε αρχεία και αντικείμενα. Για να ενεργοποιηθεί αυτός ο έλεγχος, πρέπει να ενεργοποιηθεί η ρύθμιση ελέγχου πρόσβασης σε αντικείμενο στη διαδρομή Ρυθμίσεις υπολογιστή\Ρυθμίσεις Windows\Ρυθμίσεις ασφαλείας\Τοπικές πολιτικές\Πολιτικές ελέγχου. Για περισσότερες πληροφορίες, δείτε το θέμα Μπορείτε να προβάλετε τα συμβάντα που υπάγονται στον έλεγχο στο αρχείο καταγραφής ασφαλείας του προγράμματος προβολής συμβάντων. Ένας χρήστης με αυτό το προνόμιο μπορεί επίσης να προβάλει το αρχείο καταγραφής ασφαλείας και να εκτελέσει απαλοιφή των περιεχομένων του. |
Administrators |
|
Τροποποίηση τιμών περιβάλλοντος υλικολογισμικού |
Καθορίζει ποιος μπορεί να τροποποιήσει τις τιμές περιβάλλοντος του υλικολογισμικού. Οι μεταβλητές περιβάλλοντος υλικολογισμικού είναι ρυθμίσεις αποθηκευμένες στην σταθερή μνήμη RAM υπολογιστών που δεν βασίζονται σε επεξεργαστή x86. Το αποτέλεσμα της ρύθμισης εξαρτάται από τον επεξεργαστή.
|
Administrators και Local System |
|
Απλή διεργασία προφίλ |
Καθορίζει ποιοι χρήστες μπορούν να χρησιμοποιήσουν εργαλεία εποπτείας για να παρακολουθούν τις επιδόσεις διεργασιών που δεν ανήκουν στο σύστημα. |
Administrators, Power Users και Local System |
|
Προφίλ απόδοσης συστήματος |
Καθορίζει ποιοι χρήστες μπορούν να χρησιμοποιήσουν εργαλεία εποπτείας για να παρακολουθούν τις επιδόσεις διεργασιών του συστήματος. |
Administrators και Local System |
|
Αφαίρεση υπολογιστή από σταθμό αγκύρωσης |
Καθορίζει εάν ένας χρήστης μπορεί να αφαιρέσει έναν φορητό υπολογιστή από το σταθμό αγκύρωσης χωρίς να συνδεθεί. Εάν αυτή η πολιτική είναι ενεργοποιημένη, ο χρήστης πρέπει να συνδεθεί προτού αφαιρέσει τον φορητό υπολογιστή από το σταθμό αγκύρωσης. Εάν αυτή η πολιτική είναι απενεργοποιημένη, ο χρήστης μπορεί να αφαιρέσει τον φορητό υπολογιστή από το σταθμό αγκύρωσης χωρίς να συνδεθεί. |
Απενεργοποιημένη |
|
Αντικατάσταση διακριτικού επιπέδου διεργασίας |
Καθορίζει ποιοι λογαριασμοί χρηστών μπορούν να εκκινήσουν μια διεργασία για να αντικαταστήσουν το προεπιλεγμένο διακριτικό που έχει συσχετιστεί με μια δευτερεύουσα διεργασία που έχει ξεκινήσει. Αυτό το δικαίωμα χρήστη ορίζεται στο αντικείμενο πολιτικής ομάδας (GPO) προεπιλεγμένου ελεγκτή τομέα και στην τοπική πολιτική ασφαλείας των σταθμών εργασίας και των διακομιστών. |
Local Service και Network Service |
|
Επαναφορά αρχείων και καταλόγων |
Καθορίζει ποιοι χρήστες μπορούν να παρακάμψουν δικαιώματα αρχείων, καταλόγων, μητρώων και λοιπά μόνιμα δικαιώματα αντικειμένων κατά την επαναφορά αρχείων και καταλόγων από αντίγραφα ασφαλείας και καθορίζει ποιοι χρήστες μπορούν να ορίσουν οποιαδήποτε έγκυρη βασική αρχή ασφαλείας ως κάτοχο ενός αντικειμένου. Συγκεκριμένα, αυτό το δικαίωμα χρήστη είναι παρεμφερές με την εκχώρηση των ακόλουθων δικαιωμάτων σε ένα χρήστη ή σε μια ομάδα για όλα τα αρχεία και τους φακέλους στο σύστημα:
| Σταθμοί εργασίας και διακομιστές: Administrators και Backup Operators Ελεγκτές τομέα: Administrators, Backup Operators και Server Operators |
|
Τερματισμός λειτουργίας του συστήματος |
Καθορίζει ποιοι χρήστες που είναι συνδεδεμένοι τοπικά στον υπολογιστή μπορούν να τερματίσουν τη λειτουργία του λειτουργικού συστήματος χρησιμοποιώντας την εντολή Τερματισμός λειτουργίας. Η κακή χρήση αυτού του δικαιώματος χρήστη μπορεί να έχει ως αποτέλεσμα την άρνηση υπηρεσίας. | Σταθμοί εργασίας: Administrators, Backup Operators, Power Users και Users Διακομιστές: Administrators, Backup Operators και Power Users Ελεγκτές τομέα: Account Operators, Administrators, Backup Operators, Server Operators και Print Operators |
|
Συγχρονισμός δεδομένων υπηρεσίας καταλόγου |
Καθορίζει ποιοι χρήστες και ποιες ομάδες έχουν εξουσιοδότηση συγχρονισμού όλων των δεδομένων της υπηρεσίας καταλόγου. Αυτή η ρύθμιση είναι επίσης γνωστή και ως συγχρονισμός υπηρεσίας καταλόγου Active Directory. |
Καμία |
|
Ανάληψη κατοχής των αρχείων ή άλλων αντικειμένων |
Καθορίζει ποιοι χρήστες μπορούν να αναλάβουν την κατοχή οποιουδήποτε αντικειμένου με δυνατότητα ασφάλισης στο σύστημα, συμπεριλαμβανομένων των αντικειμένων της υπηρεσίας καταλόγου Active Directory, των αρχείων και των φακέλων, των εκτυπωτών, των κλειδιών μητρώου, των διεργασιών και των νημάτων. | Administrators |
Ορισμένα προνόμια μπορούν να παρακάμψουν τα δικαιώματα που έχουν οριστεί για ένα αντικείμενο. Για παράδειγμα, ένας χρήστης που έχει συνδεθεί σε ένα λογαριασμό τομέα ως μέλος της ομάδας Backup Operators έχει το δικαίωμα να εκτελεί λειτουργίες δημιουργίας αντιγράφων ασφαλείας για όλους τους διακομιστές τομέα. Ωστόσο, αυτό προϋποθέτει τη δυνατότητα ανάγνωσης όλων των αρχείων σε αυτούς τους διακομιστές, ακόμη και αρχείων οι κάτοχοι των οποίων έχουν ορίσει δικαιώματα που απαγορεύουν ρητά την πρόσβαση για όλους τους χρήστες, συμπεριλαμβανομένων των μελών της ομάδας Backup Operators. Ένα δικαίωμα χρήστη, σε αυτήν την περίπτωση το δικαίωμα δημιουργίας αντιγράφου ασφαλείας, έχει προτεραιότητα έναντι όλων των προνομίων επί αρχείων και καταλόγων. Για περισσότερες πληροφορίες, δείτε το θέμα
 | Σημείωση |
Για να δείτε τα προνόμια που έχετε, μπορείτε να πληκτρολογήσετε whoami /priv σε μια γραμμή εντολών. |