Uživatelská práva a oprávnění

Jednat jako součást operačního systému

Dovoluje procesu zosobnit libovolného uživatele bez ověřování. Proces tedy může získat přístup ke stejným místním prostředkům jako daný uživatel.

Procesy, které toto oprávnění vyžadují, by měly používat účet Local System, který již toto oprávnění obsahuje, místo samostatného uživatelského účtu, k němuž je toto oprávnění speciálně přiřazeno. Pokud organizace nepoužívá servery se systémem Windows 2000 nebo Windows NT 4.0 ani aplikace, které si vyměňují nešifrovaná hesla, není třeba toto oprávnění uživatelům přiřazovat.

Local System

Přidat pracovní stanice do domény

Určuje, které skupiny nebo kteří uživatelé mohou přidávat pracovní stanice do domény.

Toto uživatelské právo je platné pouze v řadičích domény. Ve výchozím nastavení má toto právo každý ověřený uživatel a může v doméně vytvořit až 10 účtů počítačů.

Přidání účtu počítače do domény umožní počítači rozpoznávat účty a skupiny, které existují ve službě AD DS (Active Directory Domain Services).

Řadiče domény: Authenticated Users

Upravit kvóty paměti pro proces

Určuje, kdo může změnit maximální množství paměti, které může jeden proces spotřebovat.

Toto uživatelské právo je definováno v objektu Zásad skupiny výchozího řadiče domény a v místních zásadách zabezpečení pracovních stanic a serverů.

Administrators

Zálohovat soubory a adresáře

Určuje, kteří uživatelé mohou za účelem zálohování systému obejít oprávnění souborů a adresářů, registru a dalších trvalých objektů.

Administrators, Backup Operators

Nepoužívat kontrolu procházení

Určuje, kteří uživatelé mohou procházet adresářovými stromy, i když k procházenému adresáři nemají oprávnění. Toto oprávnění nedovoluje uživateli zobrazit obsah adresáře, může pouze adresáři procházet.

Toto uživatelské právo je definováno v objektu Zásad skupiny výchozího řadiče domény a v místních zásadách zabezpečení pracovních stanic a serverů.

Pracovní stanice a servery: Administrators, Backup Operators, Power Users, Users, Everyone

Řadiče domény: Administrators, Authenticated Users

Změnit systémový čas

Určuje, kteří uživatelé a skupiny mohou změnit čas a datum vnitřních hodin počítače. Uživatelé, kterým je toto uživatelské právo přiřazeno, mohou ovlivnit vzhled protokolů událostí. Pokud je systémový čas změněn, budou události do protokolu zaznamenány s tímto novým časem, nikoli s časem, kdy se skutečně staly.

Toto uživatelské právo je definováno v objektu Zásad skupiny výchozího řadiče domény a v místních zásadách zabezpečení pracovních stanic a serverů.

Pracovní stanice a servery: Administrators, Power Users

Řadiče domény: Administrators, Server Operators

Vytvořit stránkovací soubor

Dovoluje uživateli vytvořit stránkovací soubor a změnit jeho velikost. Provede to zadáním velikosti stránkovacího souboru pro konkrétní jednotku v dialogovém okně Vlastnosti systému na kartě Upřesnit v části Možnosti výkonu.

Administrators

Vytvořit objekt tokenu

Dovoluje procesu vytvořit token, který pak proces může použít k získání přístupu k místním prostředkům pomocí rozhraní API NtCreateToken() nebo dalších rozhraní API pro vytváření tokenů.

Procesy, které toto oprávnění vyžadují, by měly používat účet Local System, který již toto oprávnění obsahuje, místo samostatného uživatelského účtu, k němuž je toto oprávnění speciálně přiřazeno.

Nikdo

Vytvářet globální objekty

Určuje, které účty mohou v relaci Terminálové služby nebo v relaci služby Vzdálená plocha vytvářet globální objekty.

Administrators, Local System

Vytvářet stálé sdílené objekty

Dovoluje procesu vytvářet ve správci objektů objekty adresáře. Toto oprávnění je užitečné pro součásti režimu jádra, které rozšiřují obor názvů objektů. Součásti spuštěné v režimu jádra již mají toto oprávnění z podstaty, takže není nutné jim toto oprávnění přiřazovat.

Nikdo

Ladit programy

Určuje, kteří uživatelé mohou k libovolnému procesu nebo k jádru připojit ladicí program. Vývojáři, kteří ladí své vlastní aplikace, toto uživatelské právo nepotřebují. Vývojáři, kteří ladí nové součásti systému, budou toto uživatelské právo potřebovat. Toto uživatelské právo poskytuje úplný přístup k citlivým a klíčovým součástem operačního systému.

Administrators, Local System

Povolit důvěryhodnost účtů počítačů a uživatelských účtů pro delegování

Určuje, u kterých uživatelů lze nastavit možnost Důvěryhodný k delegování pro objekt uživatele nebo počítače.

Uživatel nebo objekt, kterému je toto oprávnění uděleno, musí mít právo pro zápis řídících příznaků účtu do objektu uživatele nebo počítače. Proces serveru spuštěný v počítači (nebo v uživatelském kontextu), který je důvěryhodný k delegování, může přistupovat k prostředkům jiného počítače pomocí delegovaných pověření klienta, s výjimkou případů, kdy má klientský účet nastaven řídící příznak účtu Účet nelze delegovat.

Toto uživatelské právo je definováno v objektu Zásad skupiny výchozího řadiče domény a v místních zásadách zabezpečení pracovních stanic a serverů.

Řadiče domény: Administrators

Vynutit vypnutí ze vzdáleného systému

Určuje, kterým uživatelům je povoleno vypnout počítač ze vzdáleného umístění v síti. Nesprávné použití tohoto uživatelského práva může mít za následek odepření služby.

Toto uživatelské právo je definováno v objektu Zásad skupiny výchozího řadiče domény a v místních zásadách zabezpečení pracovních stanic a serverů.

Pracovní stanice a servery: Administrators

Řadiče domény: Administrators, Server Operators

Generovat audity zabezpečení

Určuje, které účty mohou procesy používat k přidávání položek do protokolu zabezpečení. Protokol zabezpečení slouží ke sledování neoprávněných přístupů k systému. Nesprávné použití tohoto uživatelského práva může způsobit generování velkého počtu auditovaných událostí a potenciálně skrýt záznam o útoku nebo zapříčinit odepření služby, pokud je povoleno nastavení zásad Audit: Není-li možno protokolovat audity zabezpečení, vypnout okamžitě systém. Další informace naleznete v článku Audit: Není-li možno protokolovat audity zabezpečení, vypnout okamžitě systém (stránka může být v angličtině) (https://go.microsoft.com/fwlink/?LinkId=136299).

Local System

Po ověření zosobnit klienta

Určuje, kterým účtům je dovoleno zosobnit jiné účty.

Administrators, Service

Zvýšit plánovací prioritu

Určuje, které účty mohou použít proces s přístupovým oprávněním Zapsat vlastnost na jiný proces, aby zvýšily prioritu provádění tohoto jiného procesu. Uživatel s tímto oprávněním může pomocí uživatelského rozhraní Správce úloh změnit plánovací prioritu procesu.

Administrators

Načítat a uvolňovat ovladače zařízení

Určuje, kteří uživatelé mohou dynamicky načítat a uvolňovat ovladače zařízení nebo jiný kód do režimu jádra. Toto uživatelské právo se nevztahuje na ovladače zařízení Plug and Play. Protože tyto ovladače zařízení běží jako důvěryhodné (vysoce privilegované) programy, neměli byste toto oprávnění přiřazovat jiným uživatelům. Místo toho použijte rozhraní API StartService().

Administrators

Uzamknout stránky v paměti

Určuje, které účty mohou používat procesy tak, aby uchovávaly data ve fyzické paměti, což systému zabrání stránkovat data do virtuální paměti na disku. Uplatnění tohoto oprávnění může výrazně snížit výkon systému snížením množství dostupné paměti RAM.

Źádné; některé systémové procesy mají toto oprávnění z podstaty

Spravovat auditování a protokol zabezpečení

Určuje, kteří uživatelé mohou zadávat možnosti auditování přístupu k objektům pro jednotlivé prostředky, jako jsou soubory, objekty služby Active Directory a klíče registru.

Toto nastavení zabezpečení neumožňuje uživateli povolit auditování přístupu k souborům a objektům. Má-li být toto auditování povoleno, je třeba nakonfigurovat možnost Auditovat přístup k objektům ve složce Konfigurace počítače\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Zásady auditování. Další informace naleznete v článku Auditovat přístup k objektům (stránka může být v angličtině) (https://go.microsoft.com/fwlink/?LinkId=136283).

Auditované události v protokolu zabezpečení lze zobrazit pomocí Prohlížeče událostí. Uživatel s tímto oprávněním může také protokol zabezpečení zobrazit nebo vymazat.

Administrators

Upravit hodnoty prostředí firmwaru

Určuje, kdo může měnit hodnoty prostředí firmwaru. Proměnné prostředí firmwaru jsou nastavení uložená v permanentní paměti RAM počítačů s jinými procesory než x86. Vliv těchto nastavení závisí na procesoru.

• V počítačích s procesory x86 lze přiřazením tohoto uživatelského práva změnit jedinou hodnotu prostředí firmwaru, a to nastavení Poslední známá funkční konfigurace, které by měl měnit pouze systém.
  
  
• V počítačích s procesorem Itanium jsou spouštěcí informace uloženy v permanentní paměti RAM. Uživatelé, kteří chtějí spouštět program bootcfg.exe a měnit nastavení Výchozí operační systém v části Spuštění a zotavení systému v dialogovém okně Vlastnosti systému, musí mít přiřazeno toto uživatelské právo.
  
  
• Toto oprávnění je vyžadováno při instalaci nebo upgradu systému Windows v každém počítači.
  
  

Administrators, Local System

Profilovat jediný proces

Určuje, kteří uživatelé mohou pomocí nástrojů pro sledování výkonu sledovat výkon jiných procesů než systémových.

Administrators, Power Users, Local System

Profilovat výkon systému

Určuje, kteří uživatelé mohou pomocí nástrojů pro sledování výkonu sledovat výkon systémových procesů.

Administrators, Local System

Vyjmout počítač z dokovací stanice

Určuje, zda může uživatel vyjmout přenosný počítač z dokovací stanice bez přihlášení.

Je-li tato zásada povolena, uživatel se musí před vyjmutím přenosného počítače z dokovací stanice přihlásit. Je-li tato zásada zakázána, může uživatel vyjmout přenosný počítač z dokovací stanice bez přihlášení.

Zakázáno

Nahradit token na úrovni procesu

Určuje, které uživatelské účty mohou iniciovat proces nahrazení výchozího tokenu přidruženého ke spuštěnému podprocesu.

Toto uživatelské právo je definováno v objektu Zásad skupiny výchozího řadiče domény a v místních zásadách zabezpečení pracovních stanic a serverů.

Local Service, Network Service

Obnovit soubory a adresáře

Určuje, kteří uživatelé mohou obejít oprávnění souborů, adresářů, registru a dalších stálých objektů při obnovování zálohovaných souborů a adresářů, a určuje, kteří uživatelé mohou nastavit jako vlastníka objektu libovolný platný objekt zabezpečení.

Toto uživatelské právo se podobá udělení následujících oprávnění příslušnému uživateli či skupině uživatelů ke všem souborům a složkám v systému:

• Procházet složkou / Spouštět soubory
  
  
• Zapisovat
  
  

Pracovní stanice a servery: Administrators, Backup Operators

Řadiče domény: Administrators, Backup Operators, Server Operators

Vypnout systém

Určuje, kteří uživatelé přihlášení lokálně k počítači mohou vypnout operační systém pomocí příkazu Vypnout. Nesprávné použití tohoto uživatelského práva může mít za následek odepření služby.

Pracovní stanice. Administrators, Backup Operators, Power Users, Users

Servery: Administrators, Backup Operators, Power Users

Řadiče domény: Account Operators, Administrators, Backup Operators, Server Operators, Print Operators

Synchronizovat data adresářové služby

Určuje, kteří uživatelé a skupiny mají oprávnění k synchronizaci všech dat adresářové služby. Toto oprávnění je také známo jako synchronizace služby Active Directory.

Žádné

Převzít vlastnictví souborů a dalších objektů

Určuje, kteří uživatelé mohou převzít vlastnictví libovolných zabezpečitelných objektů v systému, včetně objektů služby Active Directory, souborů a složek, tiskáren, klíčů registru, procesů a podprocesů.

Administrators