تمنح حقوق المستخدم امتيازات معينة وحقوق تسجيل الدخول للمستخدمين والمجموعات في بيئة العمل. ويمكن للمسؤولين تعيين حقوق معينة لحسابات مجموعات أو لحسابات مستخدمين فرديين. تخول هذه الحقوق للمستخدمين تنفيذ إجراءات معينة، مثل تسجيل الدخول إلى أحد الأنظمة بشكل تفاعلي، أو نسخ الملفات والدلائل احتياطياً.
لإضفاء المزيد من السهولة على إدارة حساب المستخدمين، يجب تعيين امتيازات لحسابات المجموعات بشكل أساسي، بدلاً من تعيينها لحسابات المستخدمين الفرديين. وعند تعيين امتيازات لحساب مجموعة، يتم منح هذه الامتيازات للمستخدمين إذا ما أصبحوا أعضاءً في هذه المجموعة. يتميز أسلوب إدارة الامتيازات هذا بأنه أكثر سهولة من أسلوب تعيين الامتيازات الفردية لكل حساب من حسابات المستخدمين عند إنشاء الحساب.
يحتوي الجدول التالي على الامتيازات التي يمكن منحها للمستخدم مع توفير وصف لكل منها.
| الامتياز | الوصف | الإعداد الافتراضي |
|---|---|---|
|
Act as part of the operating system |
يسمح هذا لأي عملية بانتحال صفة أي مستخدم بدون مصادقة. ومن ثم، يمكن للعملية الوصول إلى نفس الموارد المحلية التي يصل إليها هذا المستخدم. يجب على العمليات التي تتطلب هذا الامتياز استخدام حساب Local System، الذي يحتوي على هذا الامتياز مسبقاً، بدلاً من استخدام حساب مستخدم منفصل تم تعيين هذا الامتياز له بشكل خاص. لن تكون بحاجة إلى تعيين هذا الامتياز للمستخدمين، إلا إذا كانت المؤسسة تستخدم خوادم تعمل باستخدام Windows 2000 أو Windows NT 4.0 وتستخدم تطبيقات تقوم بتبادل كلمات المرور في نص عادي. |
Local System |
|
Add workstations to a domain |
يحدد المجموعات أو المستخدمين الذين يمكنهم إضافة محطات عمل إلى مجال. يكون حق المستخدم هذا صحيحاً فقط على وحدات التحكم بالمجال. يكون لأي مستخدم مصادق عليه هذا الحق بشكل افتراضي ويمكنه إنشاء ما يصل إلى 10 حسابات كمبيوتر في المجال. تعمل إضافة حساب كمبيوتر إلى مجال على السماح للكمبيوتر بالتعرف على الحسابات والمجموعات الموجودة في خدمات مجال Active Directory (AD DS). |
وحدات التحكم بالمجال: Authenticated Users |
|
Adjust memory quotas for a process |
يحدد من يمكنه تغيير الحد الأقصى للذاكرة الذي يمكن لإحدى العمليات استخدامه. يتم تعريف حق المستخدم هذا في 'كائن نهج المجموعة' (Group Policy object) (GPO) الخاص بوحدة التحكم بالمجال الافتراضية وفي نهج الأمان المحلي الخاص بمحطات العمل والخوادم. |
Administrators |
|
Back up files and directories |
يحدد المستخدمين الذين يمكنهم تجاوز أذونات الملفات والدلائل والسجلات والكائنات الدائمة الأخرى الخاصة بأغراض النسخ الاحتياطي للنظام. |
Administrators و Backup Operators |
|
Bypass traverse checking |
يحدد المستخدمين الذين يمكنهم تجاوز أشجار الدليل على الرغم من عدم امتلاك المستخدم لأذونات على الدليل الذي يتم اجتيازه. لا يسمح هذا الامتياز للمستخدم بسرد محتويات الدليل، فقط لاجتياز الدلائل. يتم تعريف حق المستخدم هذا في GPO الخاص بوحدة التحكم بالمجال الافتراضية وفي نهج الأمان المحلي الخاص بمحطات العمل والخوادم. |
محطات العمل والخوادم: Administrators و Backup Operators و Power Users و Users و Everyone وحدات التحكم بالمجال: Administrators و Authenticated Users |
|
Change the system time |
يحدد المستخدمين والمجموعات الذين يمكنهم تغيير الوقت والتاريخ على الساعة الداخلية الخاصة بالكمبيوتر. يمكن للمستخدمين الذين يتم تعيين حق المستخدم هذا لهم التأثير على مظهر سجلات الأحداث. وإذا تم تغيير وقت النظام، ستعكس الأحداث التي تم تسجيلها هذا الوقت الجديد، وليس الوقت الحقيقي لوقوع الأحداث. يتم تعريف حق المستخدم هذا في GPO الخاص بوحدة التحكم بالمجال الافتراضية وفي نهج الأمان المحلي الخاص بمحطات العمل والخوادم. |
محطات العمل والخوادم: Administrators و Power Users وحدات التحكم بالمجال: Administrators و Server Operators |
|
Create a pagefile |
يسمح للمستخدم بإنشاء حجم ملف ترحيل الصفحات وتغييره. ويتم ذلك عن طريق تحديد حجم ملف ترحيل الصفحات لمحرك أقراص خاص ضمن Performance Options الموجود في علامة التبويب Advanced الموجودة في System properties. |
Administrators |
|
Create a token object |
يسمح لإحدى العمليات بإنشاء رمز مميز يمكن استخدامه للوصول إلى أي من الموارد المحلية عندما تستخدم العملية NtCreateToken() أو واجهات برمجة التطبيقات (API) الأخرى الخاصة بإنشاء الرمز المميز. يجب على العمليات التي تتطلب هذا الامتياز استخدام حساب Local System، الذي يحتوي على هذا الامتياز مسبقاً، بدلاً من استخدام حساب مستخدم منفصل تم تعيين هذا الامتياز له بشكل خاص. |
No one |
|
Create global objects |
يحدد الحسابات التي يمكنها إنشاء كائنات عمومية في جلسات العمل الخاصة 'بالخدمات الطرفية' (Terminal Services) أو 'خدمات سطح المكتب البعيد' (Remote Desktop Services). |
Administrators و Local System |
|
Create permanent shared objects |
يسمح لإحدى العمليات بإنشاء كائن للدليل في إدارة كائنات نظام التشغيل. يكون هذا الامتياز مفيداً لمكونات وضع kernel التي تقوم بتوسيع مساحة اسم الكائن. يكون للكائنات التي تعمل مسبقاً في وضع kernel هذا الامتياز بشكل أساسي، لذا فليس من الضروري تعيين هذا الامتياز لها. |
No one |
|
Debug programs |
يحدد المستخدمين الذين يمكنهم إرفاق مصحح أخطاء مع أي عملية أو مع kernel. فلا يحتاج المطورون الذين يقومون بتصحيح التطبيقات الخاصة بهم إلى تعيين حق المستخدم هذا. أما المطورون الذين يقومون بتصحيح مكونات نظام جديد فيحتاجون إلى تعيين حق المستخدم هذا لهم. يوفر حق المستخدم هذا وصولاً كاملاً إلى مكونات نظام التشغيل الهامة والحساسة. |
Administrators و Local System |
|
Enable computer and user accounts to be trusted for delegation |
يحدد المستخدمين الذين يمكنهم تعيين إعداد Trusted for Delegation لكائن مستخدم أو كمبيوتر. يجب أن يكون للمستخدم أو الكائن الذي يتم منحه هذا الامتياز حق وصول الكتابة إلى إشارات تحكم الحساب على كائن المستخدم أو الكمبيوتر. يمكن لعملية الخادم التي يتم تشغيلها على كمبيوتر (أو ضمن سياق مستخدم) والموثوق بها للتفويض، الوصول إلى الموجودة الموارد على كمبيوتر آخر عن طريق استخدام بيانات الاعتماد المفوضة الخاصة بعميل، طالما أن حساب المستخدم لم يتم تعيين إشارة تحكم الحساب Account cannot be delegated له. يتم تعريف حق المستخدم هذا في GPO الخاص بوحدة التحكم بالمجال الافتراضية وفي نهج الأمان المحلي الخاص بمحطات العمل والخوادم. |
وحدات التحكم بالمجال: Administrators |
|
Force shutdown from a remote system |
يحدد المستخدمين المسموح لهم بإيقاف الكمبيوتر من موقع بعيد على الشبكة. قد تؤدي إساءة استخدام حق المستخدم هذا إلى رفض الخدمة. يتم تعريف حق المستخدم هذا في GPO الخاص بوحدة التحكم بالمجال الافتراضية وفي نهج الأمان المحلي الخاص بمحطات العمل والخوادم. |
محطات العمل والخوادم: Administrators وحدات التحكم بالمجال: Administrators و Server Operators |
|
Generate security audits |
يحدد الحسابات التي يمكن استخدامها بواسطة إحدى العمليات لإضافة إدخالات إلى سجل الأمان. يُستخدم سجل الأمان لتتبع الوصول غير المخول إلى النظام. يمكن أن يؤدي إساءة استخدام حق المستخدم هذا إلى إنشاء العديد من أحداث التدقيق، أو ربما إخفاء دليل على وجود هجمات أو رفض الخدمة في حالة تمكين إعداد نهج الأمان اAudit: Shut down system immediately if unable to log security audits. لمزيد من المعلومات، راجع |
Local System |
|
Impersonate a client after authentication |
يحدد حسابات المستخدمين التي يتم السماح لها بانتحال صفة مستخدمين آخرين. |
Administrators و Service |
|
Increase scheduling priority |
يحدد الحسابات التي يمكنها استخدام عملية لها حق وصول 'كتابة الخصائص' إلى عملية أخرى لزيادة أولوية التنفيذ التي تم تعيينها إلى العملية الأخرى. يمكن للمستخدم الذي يكون له هذا الامتياز تغيير زيادة أولوية الجدولة لإحدى العمليات من خلال واجهة مستخدم 'إدارة المهام' (Task Manager). |
Administrators |
|
Load and unload device drivers |
يحدد المستخدمين الذين يمكنهم تحميل برامج تشغيل الأجهزة أو التعليمات البرمجية الأخرى وإلغاء تحميلها في وضع kernel. لا يتم تطبيق حق المستخدم هذا على برامج تشغيل أجهزة 'التوصيل والتشغيل'. يجب ألا يتم تعيين حق المستخدم هذا لمستخدمين آخرين، لأنه يتم تشغيل برامج تشغيل الأجهزة كبرامج موثوق فيها (أو عالية التميز). استخدم، بدلاً من ذلك، API الخاص بـ StartService(). |
Administrators |
|
Lock pages in memory |
يحدد الحسابات التي يمكنها استخدام إحدى العمليات للاحتفاظ بالبيانات في الذاكرة الفعلية، مما يمنع النظام من ترحيل البيانات إلى الذاكرة الظاهرية على القرص. يمكن أن يؤثر استخدام هذا الامتياز على أداء النظام بشكل ملحوظ من خلال تقليل المقدار المتوفر من ذاكرة الوصول العشوائي (RAM). |
None؛ يكون لبعض عمليات النظام المعينة هذا الامتياز بشكل أساسي |
|
Manage auditing and security log |
يحدد المستخدمين الذين يمكنهم تحديد خيارات تدقيق الوصول إلى الكائنات بالنسبة للموارد الفردية، مثل الملفات وكائنات Active Directory ومفاتيح التسجيل. لا يسمح إعداد الأمان هذا للمستخدم بتمكين تدقيق الوصول إلى الكائنات والملفات. لتمكين مثل هذا التدقيق، يجب تكوين إعداد Audit object access الموجود في Computer Configuration\Windows Settings\Security Settings\Local Policies\Audit Policies. لمزيد من المعلومات، راجع يمكنك عرض الأحداث التي تم تدقيقها في سجل 'الأمان' (Security) الخاص 'بعارض الأحداث' (Event Viewer). ويمكن أيضاً للمستخدم الذي له هذا الامتياز عرض السجل Security ومسحه. |
Administrators |
|
Modify firmware environment values |
يحدد من يمكنه تعديل قيم بيئة البرامج الثابتة. متغيرات بيئة البرامج الثابتة هي إعدادات تم تخزينها على RAM غير المتنقلة الخاصة بأجهزة كمبيوتر لا تستند إلى x86. يعتمد تأثير هذا الإعداد على المعالج.
|
Administrators و Local System |
|
Profile a single process |
يحدد المستخدمين الذين يمكنهم استخدام أدوات مراقبة الأداء لمراقبة أداء العمليات التي لا دخل للنظام في تنفيذها. |
Administrators و Power Users و Local System |
|
Profile system performance |
يحدد المستخدمين الذين يمكنهم استخدام أدوات مراقبة الأداء لمراقبة أداء العمليات التي يتم تنفيذها بواسطة النظام. |
Administrators و Local System |
|
Remove computer from docking station |
يحدد ما إذا كان بإمكان المستخدم إلغاء إرساء كمبيوتر محمول من محطة الإرساء دون تسجيل الدخول. في حالة تمكين هذا النهج، يجب على المستخدم تسجيل الدخول قبل إزالة الكمبيوتر من محطة الإرساء. وفي حالة تعطيل هذا النهج، فقد يقوم المستخدم بإزالة الكمبيوتر المحمول من محطة الإرساء دون تسجيل الدخول. |
Disabled |
|
Replace a process level token |
يحدد حسابات المستخدم التي يمكنها بدء تشغيل إحدى العمليات لاستبدال الرمز المميز الافتراضي المقترن بعملية فرعية تم بدء تشغيلها. يتم تعريف حق المستخدم هذا في GPO الخاص بوحدة التحكم بالمجال الافتراضية وفي نهج الأمان المحلي الخاص بمحطات العمل والخوادم. |
Local Service و Network Service |
|
Restore files and directories |
يحدد المستخدمين الذين يمكنهم تجاوز أذونات الملفات والدلائل والسجلات والكائنات الدائمة الأخرى عند استعادة الملفات التي تم نسخها احتياطياً، ويحدد كذلك المستخدمين الذين يمكنهم تعيين أي حساب أمان أساسي صحيح كمالك للكائن. على وجه التخصيص، يشبه حق المستخدم هذا منح الأذونات التالية لمستخدم أو مجموعة بالنسبة لكافة الملفات والمجلدات الموجودة على النظام:
| محطات العمل والخوادم: Administrators و Backup Operators وحدات التحكم بالمجال: Administrators و Backup Operators و Server Operators |
|
Shut down the system |
يحدد المستخدمين الذين تم تسجيل دخولهم محلياً إلى الكمبيوتر ويكون لديهم إمكانية إيقاف تشغيل نظام التشغيل عن طريق استخدام الأمر Shut Down. قد تؤدي إساءة استخدام حق المستخدم هذا إلى رفض الخدمة. | محطات العمل: Administrators و Backup Operators و Power Users و Users و Everyone الخوادم: Administrators و Backup Operators و Power Users و Users و Everyone وحدات التحكم بالمجال: Account Operators و Administrators و Backup Operators و Server Operators و Print Operators |
|
Synchronize directory service data |
يحدد المجموعات والمستخدمين الذين لديهم التخويل لمزامنة كافة بيانات خدمة الدليل. يعرف هذا أيضاً بمزامنة Active Directory. |
None |
|
Take ownership of files or other objects |
يحدد المستخدمين الذين يمكنهم الحصول على ملكية أي كائن قابل للتأمين في النظام، بما في ذلك كائنات خدمة Active Directory والملفات والمجلدات والطابعات ومفاتيح التسجيل والعمليات والعمليات الجزئية. | Administrators |
يمكن لبعض الامتيازات تجاوز الأذونات التي تم تعيينها على أحد الكائنات. على سبيل المثال، يكون للمستخدم الذي قام بتسجيل الدخول إلى حساب مجال كعضو من أعضاء مجموعة Backup Operators الحق في تنفيذ عمليات النسخ الاحتياطي لكافة خوادم المجال. ومع ذلك، يتطلب هذا القدرة على قراءة كافة الملفات الموجودة على تلك الخوادم، وحتى الملفات التي تم تعيين أذونات لها من قبل مالكيها ترفض منح حق الوصول لكافة المستخدمين صراحةً، بما في ذلك أعضاء مجموعة Backup Operators. يكون لحق المستخدم - في هذه الحالة، الحق في عمل نسخة احتياطية - الأسبقية على كافة أذونات الملفات والدلائل. لمزيد من المعلومات، راجع
 | ملاحظة |
في موجه الأوامر، يمكنك كتابة whoami /priv لرؤية الامتيازات الخاصة بك. |