Brugerrettigheder tildeler specifikke rettigheder og logonrettigheder til brugere og grupper i computermiljøet. Administratorer kan tildele bestemte rettigheder til gruppekonti eller individuelle brugerkonti. Rettighederne giver brugerne mulighed for at udføre bestemte handlinger, f.eks. at logge interaktivt på et system eller sikkerhedskopiere filer og mapper.

Hvis du vil gøre det nemmere at administrere brugerkonti, kan du primært tildele rettigheder til gruppekonti frem for til individuelle brugerkonti. Når du tildeler rettigheder til en gruppekonto, får brugerne automatisk tildelt de pågældende rettigheder, når de bliver medlem af gruppen. Det er meget nemmere at administrere rettigheder denne måde, end hvis du skulle tildele individuelle rettigheder til hver enkelt brugerkonto, når du opretter kontoen.

I følgende tabel vises og beskrives de rettigheder, en bruger kan få tildelt.

Rettighed Beskrivelse Standardindstilling

Have rettigheder som en del af operativsystemet

Gør det muligt for en proces at repræsentere enhver bruger uden godkendelse. Processen kan derfor få adgang til de samme lokale ressourcer som den pågældende bruger.

Processer, der kræver denne rettighed, skal bruge kontoen Lokalt system, som allerede indeholder denne rettighed, i stedet for at bruge en separat brugerkonto med denne rettighed tildelt specielt. Du behøver ikke at tildele denne rettighed til brugerne, medmindre organisationen bruger servere, der kører Windows 2000 eller Windows NT 4.0, og programmer, der udveksler adgangskoder som almindelig tekst.

Lokalt system

Føje arbejdsstationer til et domæne

Bestemmer, hvilke grupper eller brugere der kan føje arbejdsstationer til et domæne.

Denne brugerrettighed er kun gyldig på domænecontrollere. En godkendt bruger har som standard denne rettighed og kan oprette op til ti computerkonti på domænet.

Når en computerkonto føjes til domænet, kan computeren genkende konti og grupper, der findes i Active Directory-domæneservices.

Domænecontrollere: Godkendte brugere

Tilpas hukommelseskvoter til en proces

Bestemmer, hvem der kan ændre den maksimale mængde hukommelse, en proces kan bruge.

Brugerrettigheden defineres i standarddomænecontrollerens gruppepolitikobjekt og i den lokale sikkerhedspolitik på arbejdsstationer og servere.

Administratorer

Sikkerhedskopier filer og mapper

Bestemmer, hvilke brugere der kan omgå tilladelser til filer, mapper, registreringsdatabaser og andre vedvarende objekter for at sikkerhedskopiere systemet.

Administratorer og backupoperatører

Spring krydstjek over

Bestemmer, hvilke brugere der har ret til gennemgang af mappetræer, selvom brugeren muligvis ikke har tilladelser til den pågældende mappe. Med denne rettighed kan brugeren ikke få vist indholdet af et bibliotek, kun gennemgang af mappen er tilladt.

Brugerrettigheden defineres i standarddomænecontrollerens gruppepolitikobjekt (Group Policy Object – GPO) og i den lokale sikkerhedspolitik på arbejdsstationer og servere.

Arbejdsstationer og servere: Administratorer, Backupoperatører, Superbrugere, Brugere og Alle

Domænecontrollere: Administratorer og Godkendte brugere

Skift systemtid

Bestemmer, hvilke brugere og grupper der kan ændre klokkeslættet og datoen på computerens interne ur. Brugere, der har fået tildelt denne brugerrettighed, kan påvirke hændelseslogfilers udseende. Hvis systemtiden ændres, afspejler logførte hændelser det nye tidspunkt, ikke det faktiske tidspunkt, hvor hændelserne fandt sted.

Brugerrettigheden defineres i standarddomænecontrollerens gruppepolitikobjekt (Group Policy Object – GPO) og i den lokale sikkerhedspolitik på arbejdsstationer og servere.

Arbejdsstationer og servere: Administratorer og superbrugere

Domænecontrollere: Administratorer og serveroperatører

Opret en sidefil

Gør det muligt for brugeren at oprette og ændre størrelsen på en sidefil. Det gør du ved at angive en sidefilstørrelse for et bestemt drev under Indstillinger for ydeevne under fanen Avanceret i Egenskaber for system.

Administratorer

Opret et tokenobjekt

Gør det muligt for en proces at oprette et token, som derefter kan bruges til at få adgang til lokale ressourcer, når processen bruger NtCreateToken() eller andre API'er til tokenoprettelse.

Processer, der kræver denne rettighed, skal bruge kontoen Lokalt system, som allerede indeholder denne rettighed, i stedet for at bruge en separat brugerkonto med denne rettighed tildelt specielt.

Ingen

Opret globale objekter

Bestemmer, hvilke konti der kan oprette globale objekter i en session til Terminal Services- eller Fjernskrivebord-tjenester.

Administratorer og Lokalt system

Opret objekter, der permanent er delte

Gør det muligt for en proces at oprette et mappeobjekt i operativsystemets objekthåndtering. Denne rettighed er nyttig for kernetilstandskomponenter, der udvider objektnavneområdet. Komponenter, der kører i kernetilstand, har automatisk denne rettighed, så det er ikke nødvendigt at tildele den specifikt.

Ingen

Fejlfindingsprogrammer

Bestemmer, hvilke brugere der kan knytte fejlfinding til en proces eller til kernen. Udviklere, der foretager fejlfinding af deres egne programmer, behøver ikke at få tildelt denne brugerrettighed. Udviklere, der foretager fejlfinding af nye systemkomponenter, skal have tildelt denne brugerrettighed. Denne brugerrettighed giver fuld adgang til følsomme og vigtige komponenter i operativsystemet.

Administratorer og Lokalt system

Indstil computer- og brugerkonti til at nyde tillid til delegering

Bestemmer, hvilke brugere der kan angive indstillingen Tillid for delegering for et bruger- eller computerobjekt.

Den bruger eller det objekt, der tildeles denne rettighed, skal have skriveadgang til kontostyringsflagene på bruger- eller computerobjektet. En serverproces, der kører på en computer (eller under en brugerkontekst), og som der er den nødvendige tillid til for delegering, kan få adgang til ressourcer på en anden computer med en klients delegerede legitimationsoplysninger, så længe kontokontrolflaget Kontoen kan ikke delegeres ikke er angivet for klientens konto.

Brugerrettigheden defineres i standarddomænecontrollerens gruppepolitikobjekt (Group Policy Object – GPO) og i den lokale sikkerhedspolitik på arbejdsstationer og servere.

Domænecontrollere: Administratorer

Gennemtving nedlukning fra et eksternt system

Bestemmer, hvilke brugere der kan lukke en computer fra en fjernplacering på netværket. Misbrug af denne brugerrettighed kan resultere i et denial of service-angreb.

Brugerrettigheden defineres i standarddomænecontrollerens gruppepolitikobjekt (Group Policy Object – GPO) og i den lokale sikkerhedspolitik på arbejdsstationer og servere.

Arbejdsstationer og servere: Administratorer

Domænecontrollere: Administratorer og serveroperatører

Aktiver logføring af sikkerhedshændelser

Bestemmer, hvilke konti der kan bruges af en proces til at føje poster til sikkerhedsloggen. Sikkerhedsloggen bruges til at spore uautoriseret systemadgang. Misbrug af denne brugerrettighed kan resultere i oprettelse af mange overvågningshændelser, der kan skjule tegn på et angreb eller forårsage et denial of service-angreb, hvis indstillingen for sikkerhedspolitik Overvågning: Luk systemet omgående, hvis sikkerhedsovervågninger ikke kan logføres er aktiveret. Du kan finde flere oplysninger under Overvågning: Luk systemet omgående, hvis sikkerhedsovervågninger ikke kan logføres. Siden er evt. på engelsk. (https://go.microsoft.com/fwlink/?LinkId=136299).

Lokalt system

Repræsenter en klient efter godkendelse

Bestemmer, hvilke konti der har tilladelse til at repræsentere andre konti.

Administratorer og tjeneste

Forøg planlægningsprioritet

Bestemmer, hvilke konti der kan anvende en proces med adgangen Skrivning af egenskab til en anden proces for at forøge den kørselsprioritet, der er tildelt den anden proces. En bruger med denne rettighed kan ændre planlægningsprioriteten for en proces via brugergrænsefladen Jobliste.

Administratorer

Indlæs og udlæs enhedsdrivere

Bestemmer, hvilke brugere der dynamisk kan indlæse og udlæse enhedsdrivere eller anden kode til kernetilstand. Denne brugerrettighed gælder ikke til Plug and Play-enhedsdrivere. Eftersom enhedsdrivere kører som programmer, der er tillid til (eller som har mange rettigheder), bør du ikke tildele denne rettighed til andre brugere. Brug i stedet StartService()-API'en.

Administratorer

Lås sider i hukommelsen

Bestemmer, hvilke konti der kan bruge en proces til at opbevare data i fysisk hukommelse, hvilket forhindrer systemet i at skrive dataene til den virtuelle hukommelse på disken. Brugen af denne rettighed kan påvirke systemets ydeevne betydeligt ved at reducere mængden af tilgængelig hukommelse.

Ingen. Visse systemprocesser har automatisk rettigheden

Administrer overvågning og sikkerhedslog

Bestemmer, hvilke brugere der kan angive overvågningsindstillinger for objektadgang til individuelle ressourcer, f.eks. filer, Active Directory-objekter og registreringsdatabasenøgler.

Med denne sikkerhedsindstilling kan en bruger ikke aktivere overvågning af fil- og objektadgang. Hvis denne overvågning skal aktiveres, skal indstillingen Overvåg objektadgang i Computerkonfiguration\Windows-indstillinger\Sikkerhedsindstillinger\Lokale politikker\Overvågningspolitik konfigureres. Du kan finde flere oplysninger under Overvåg objektadgang. Siden er evt. på engelsk. (https://go.microsoft.com/fwlink/?LinkId=136283).

Du kan få vist overvågede hændelser i sikkerhedsloggen i Logbog. En bruger med denne rettighed kan også få vist og rydde sikkerhedsloggen.

Administratorer

Rediger miljøvariabler for firmware

Bestemmer, hvem der kan ændre miljøvariabler for firmware. Miljøvariabler for firmware er indstillinger, der er gemt i permanente RAM på computere, der ikke er x86-baserede. Indstillingens effekt afhænger af processoren.

  • På x86-baserede computere er den eneste miljøværdi for firmware, der kan redigeres ved at tildele denne brugerrettighed, indstillingen Sidst kendte fungerende konfiguration, som kun skal redigeres af systemet.

  • På Itanium-baserede computere gemmes startoplysninger i den permanente RAM. Brugerne skal have tildelt denne brugerrettighed for at kunne køre Bootcfg.exe og for at kunne ændre indstillingen Standardoperativsystem for Start og Genoprettelse i Egenskaber for system.

  • Uden denne brugerrettighed på alle computere er det ikke muligt at installere og opgradere Windows.

Administratorer og Lokalt system

Opret profil af enkelt proces

Bestemmer, hvilke brugere der kan benytte overvågningsværktøjer til at overvåge ikke-systemprocessers ydeevne.

Administratorer, Superbrugere og Lokalt system

Opret profil af systemydelse

Bestemmer, hvilke brugere der kan benytte overvågningsværktøjer til at overvåge systemprocessers ydeevne.

Administratorer og Lokalt system

Fjern computeren fra dockingstationen

Bestemmer, om en bruger kan fjerne en bærbar computer fra dockingstationen uden at logge på.

Hvis denne politik er aktiveret, skal brugeren logge på, før den bærbare computer fjernes fra dockingstationen. Hvis den er deaktiveret, kan brugeren fjerne den bærbare computer fra dockingstationen uden at logge på.

Deaktiveret

Erstat et procesniveautoken

Bestemmer, hvilke brugerkonti der kan starte en proces for at erstatte det standardtoken, der er tilknyttet en startet underproces.

Brugerrettigheden defineres i standarddomænecontrollerens gruppepolitikobjekt (Group Policy Object – GPO) og i den lokale sikkerhedspolitik på arbejdsstationer og servere.

Lokal tjeneste og Netværkstjeneste

Gendan filer og mapper

Bestemmer, hvilke brugere der kan omgå tilladelser til filer, mapper, registreringsdatabaser og andre vedvarende objekter, når sikkerhedskopierede filer og mapper gendannes, og bestemmer, hvilke brugere der kan angive enhver gyldig sikkerhedskonto som ejer af et objekt.

Denne brugerrettighed svarer specifikt til at tildele den pågældende bruger eller gruppe følgende tilladelser til alle filer og mapper i systemet:

  • Gennemgang af mappe/Kørsel af fil

  • Skrivning

Arbejdsstationer og servere: Administratorer og Backupoperatører

Domænecontrollere: Administratorer, Backupoperatører og Serveroperatører

Luk systemet

Bestemmer, hvilke brugere, som er logget på computeren lokalt, der kan lukke operativsystemet med kommandoen Luk computeren. Misbrug af denne brugerrettighed kan resultere i et denial of service-angreb.

Arbejdsstationer: Administratorer, Backupoperatører, Superbrugere og Brugere

Servere: Administratorer, Backupoperatører og Superbrugere

Domænecontrollere: Kontooperatører, Administratorer, Backupoperatører, Serveroperatører og Udskriftsoperatører

Synkroniser directory service-data

Bestemmer, hvilke brugere og grupper der har ret til at synkronisere alle katalogtjenestedata. Dette kaldes også Active Directory-synkronisering.

Ingen

Overtag ejerskab af filer eller andre objekter

Bestemmer, hvilke brugere der kan overtage ejerskabet af objekter i systemet, herunder Active Directory-objekter, filer og mapper, printere, registreringsdatabasenøgler, processer og tråde.

Administratorer

Nogle rettigheder kan tilsidesætte tilladelser, der er angivet for et objekt. En bruger, der er logget på en domænekonto som medlem af gruppen Backupoperatører, har ret til at udføre sikkerhedskopieringshandlinger for alle domæneservere. Dette kræver imidlertid, at der er mulighed for at læse alle filer på de pågældende servere, selv filer, hvor ejerne har angivet tilladelser, der eksplicit nægter alle brugere adgang, herunder medlemmer af gruppen Backupoperatører. En brugerrettighed – i dette tilfælde retten til at tage en sikkerhedskopi – tilsidesætter alle fil- og mappetilladelser. Du kan finde flere oplysninger under Sikkerhedskopiering og genoprettelse. Siden er evt. på engelsk. (https://go.microsoft.com/fwlink/?LinkID=131606).

Bemærk!

Ved en kommando kan du skrive whoami /priv for at få vist dine rettigheder.

Indholdsfortegnelse