Järjestelmäoikeudet antavat käyttäjille ja ryhmille käyttöoikeuksia ja kirjautumisoikeuksia tietokoneympäristössä. Järjestelmänvalvojat voivat määrittää erikoisoikeuksia ryhmätileille tai henkilökohtaisille käyttäjätileille. Nämä oikeudet valtuuttavat käyttäjät suorittamaan erityisiä toimintoja, kuten kirjautumaan järjestelmään vuorovaikutteisesti tai varmuuskopioimaan tiedostoja ja kansioita.
Voit helpottaa käyttäjätilien hallintaa määrittämällä käyttöoikeuksia pääasiallisesti ryhmätileille yksittäisten käyttäjätilien asemesta. Kun määrität käyttöoikeuksia ryhmätilille, käyttäjät saavat kyseiset oikeudet automaattisesti, kun he liittyvät kyseisen ryhmän jäseniksi. Tämä menetelmä on huomattavasti helpompi tapa määrittää käyttöoikeuksia kuin yksittäisten oikeuksien määrittäminen tilejä luotaessa.
Seuraava taulukko sisältää käyttäjille myönnettävissä olevat oikeudet ja niiden kuvaukset.
Oikeus | Kuvaus | Oletusasetus |
---|---|---|
Käyttöjärjestelmän osana toimiminen |
Sallii prosessin tekeytyä keneksi tahansa käyttäjäksi ilman todennusta. Prosessi saa tällöin samojen paikallisten resurssien käyttöoikeudet kuin kyseinen käyttäjä. Tätä oikeutta edellyttävien prosessien tulisi käyttää tämän oikeuden jo valmiiksi sisältävää paikallista järjestelmätiliä sellaisen erillisen tilin asemesta, jolle tämä oikeus on määritettävä erikseen. Tämän oikeuden määrittämistä käyttäjille edellytetään vain, jos organisaatio käyttää palvelimia, joissa suoritetaan Windows 2000- tai Windows NT 4.0 -käyttöjärjestelmää, ja sovelluksia, jotka vaihtavat tekstimuotoisia salasanoja. |
Paikallinen järjestelmä |
Työasemien lisääminen toimialueeseen |
Määrittää, mitkä ryhmät tai käyttäjät voivat lisätä työasemia toimialueeseen. Tämä järjestelmäoikeus on käytössä vain toimialueen ohjauskoneissa. Oletusarvon mukaan kaikilla todennetuilla käyttäjillä on tämä oikeus. Tämä oikeus sallii enintään 10 tietokonetilin luomisen toimialueeseen. Kun tietokonetili lisätään toimialueeseen, tietokone voi tunnistaa Active Directory -toimialuepalveluiden sisältämät tietokonetilit. |
Toimialueen ohjauskoneet: Todennetut käyttäjät |
Prosessin muistikiintiöiden muuttaminen |
Määrittää, kuka voi muuttaa prosessille sallittua muistin enimmäismäärää. Tämä järjestelmäoikeus on määritetty oletusarvoisen toimialueen ohjauskoneen ryhmäkäytäntöobjektissa sekä työasemien ja palvelimien paikallisessa suojauskäytännössä. |
Järjestelmänvalvojat |
Tiedostojen ja kansioiden varmuuskopioiminen |
Määrittää käyttäjät, jotka voivat ohittaa tiedostojen ja kansioiden, rekisterin sekä muiden pysyvien objektien käyttöoikeuksia järjestelmän varmuuskopioinnin vuoksi. |
Järjestelmänvalvojat ja Varmuuskopiointioperaattorit |
Läpikulun tarkistuksen ohitus |
Määrittää käyttäjät, joilla on kansiopuiden läpikulkuoikeuksia riippumatta siitä, onko kyseisille käyttäjille määritetty kansioihin läpikulkuoikeuksia. Tämä oikeus ei salli käyttäjän luetteloida kansion sisältöä vaan mahdollistaa ainoastaan läpikulun. Tämä järjestelmäoikeus on määritetty oletusarvoisen toimialueen ohjauskoneen ryhmäkäytäntöobjektissa sekä työasemien ja palvelimien paikallisessa suojauskäytännössä. |
Työasemat ja palvelimet: Järjestelmänvalvojat, Varmuuskopiointioperaattorit, Tehokäyttäjät, Käyttäjät, Kaikki Toimialueen ohjauskoneet: Järjestelmänvalvojat ja Todennetut käyttäjät |
Järjestelmäajan muuttaminen |
Määrittää käyttäjät ja ryhmät, jotka voivat muuttaa tietokoneen sisäisen kellon aikaa ja päivämäärää. Käyttäjät, joille on määritetty tämä oikeus, voivat vaikuttaa tapahtumalokien sisältöön. Jos järjestelmän aikaa muutetaan, kirjatut tapahtumat muuttuvat vastaamaan uutta aikaa tapahtumien todellisen tapahtuma-ajan asemesta. Tämä järjestelmäoikeus on määritetty oletusarvoisen toimialueen ohjauskoneen ryhmäkäytäntöobjektissa sekä työasemien ja palvelimien paikallisessa suojauskäytännössä. |
Työasemat ja palvelimet: Järjestelmänvalvojat ja Tehokäyttäjät Toimialueen ohjauskoneet: Järjestelmänvalvojat ja Palvelinoperaattorit |
Sivutustiedoston luominen |
Sallii käyttäjän luoda sivutustiedoston ja muuttaa sen kokoa. Voit tehdä tämän määrittämällä tiettyä ohjainta vastaavan sivutustiedoston koon Ominaisuudet: Järjestelmä -ikkunan Lisäasetukset-välilehden Suorituskykyasetukset-kohdassa. |
Järjestelmänvalvojat |
Tunnusobjektin luominen |
Sallii prosessin luoda tunnuksen, jolla se voi käyttää mitä tahansa paikallista resurssia. Edellytyksenä on, että prosessi käyttää NtCreateToken()-liittymää tai jotakin muuta tunnuksen luontiin tarkoitettua API-liittymää. Tätä oikeutta edellyttävien prosessien tulisi käyttää tämän oikeuden jo valmiiksi sisältävää paikallista järjestelmätiliä sellaisen erillisen tilin asemesta, jolle tämä oikeus on määritettävä erikseen. |
Ei kukaan |
Yleisten objektien luominen |
Määrittää tilit, jotka voivat luoda yleisiä objekteja päätepalvelu- tai etätyöpöytäistunnossa. |
Järjestelmänvalvojat ja Paikallinen järjestelmä |
Pysyvien jaettujen objektien luominen |
Sallii prosessin luoda kansio-objektin käyttöjärjestelmän objektien hallinnassa. Tämä oikeus on hyödyllinen ydintilan osissa, jotka laajentavat objektin nimitilaa. Ydintilassa suoritettavilla osilla on tämä oikeus oletusarvoisesti, joten niille tätä oikeutta ei tarvitse määrittää. |
Ei kukaan |
Ohjelmien virheenkorjaus |
Määrittää käyttäjät, jotka voivat liittää virheenkorjausohjelman mihin tahansa prosessiin tai ytimeen. Sovelluskehittäjille, jotka testaavat omia sovelluksiaan, ei tarvitse määrittää tätä oikeutta. Sovelluskehittäjille, jotka testaavat uusia järjestelmäosia, tämä oikeus on määritettävä. Tämä järjestelmäoikeus mahdollistaa kriittisten käyttöjärjestelmän osien käytön. |
Järjestelmänvalvojat ja Paikallinen järjestelmä |
Tietokone- ja käyttäjätilien delegoinnin luottamisen ottaminen käyttöön |
Määrittää käyttäjät, jotka voivat määrittää käyttäjä- tai tietokoneobjektille Luotettu valtuutusta varten -asetuksen. Käyttäjällä tai objektilla, jolle myönnetään tämä oikeus, on oltava kirjoitusoikeus käyttäjätilien valvontalippuihin käyttäjä- tai tietokoneobjektissa. Palvelinprosessi, joka on käytössä delegoinnin kannalta luotettavassa tietokoneessa (tai käyttäjäkontekstissa), voi käyttää toisen tietokoneen resursseja käyttämällä asiakkaan delegoituja tunnistetietoja, kunhan asiakastilille ei ole määritetty Tiliä ei voi delegoida -valvontalippua. Tämä järjestelmäoikeus on määritetty oletusarvoisen toimialueen ohjauskoneen ryhmäkäytäntöobjektissa sekä työasemien ja palvelimien paikallisessa suojauskäytännössä. |
Toimialueen ohjauskoneet: Järjestelmänvalvojat |
Sammutuksen pakotus etäjärjestelmästä |
Määrittää käyttäjät, joilla on oikeus sammuttaa tietokone etäyhteyden välityksellä verkossa. Tämän oikeuden väärinkäyttö voi johtaa palvelun estoon. Tämä järjestelmäoikeus on määritetty oletusarvoisen toimialueen ohjauskoneen ryhmäkäytäntöobjektissa sekä työasemien ja palvelimien paikallisessa suojauskäytännössä. |
Työasemat ja palvelimet: Järjestelmänvalvojat Toimialueen ohjauskoneet: Järjestelmänvalvojat ja Palvelinoperaattorit |
Suojauksen valvontatapahtumien luominen |
Määrittää tilit, joita prosessi voi käyttää lisättäessä merkintöjä suojauslokiin Suojauslokin avulla voidaan jäljittää luvatonta järjestelmän käyttöä. Tämän oikeuden väärinkäyttö voi johtaa monien valvontatapahtumien luomiseen, mikä saattaa piilottaa todisteita hyökkäyksestä tai aiheuttaa palvelun eston, jos Jäljitys: Sulje järjestelmä välittömästi, jos suojauksen valvonnan kirjaaminen lokiin ei onnistu -suojauskäytäntöasetus on käytössä. Lisätietoja on Microsoftin sivuston kohdassa |
Paikallinen järjestelmä |
Asiakkaaksi tekeytyminen todennuksen jälkeen |
Määrittää tilit, joilla on oikeus tekeytyä toisiksi tileiksi. |
Järjestelmänvalvojat ja Palvelu |
Ajoitusprioriteetin lisääminen |
Määrittää, mitkä tilit voivat käyttää toisen prosessin suoritusprioriteetin nostamiseen prosessia, jolla on Kirjoita ominaisuus -oikeus toiseen prosessiin. Käyttäjä, jolla on tämä oikeus, voi muuttaa prosessin ajoitusprioriteettia Tehtävienhallinta-käyttöliittymästä. |
Järjestelmänvalvojat |
Laiteohjaimen lataaminen ja poistaminen |
Määrittää käyttäjät, jotka voivat dynaamisesti ladata ja poistaa laiteohjaimia tai muuta koodia ydintilassa. Tämä oikeus ei koske Plug and Play -laiteohjaimia. Koska laiteohjaimia suoritetaan luotettuina ohjelmina (tai ohjelmina, joiden prioriteetti on suuri), tätä oikeutta ei tule myöntää muille käyttäjille. Käytä sen sijaan StartService()-API-liittymää. |
Järjestelmänvalvojat |
Muistissa olevien sivujen lukitseminen |
Määrittää tilit, jotka voivat käyttää prosessia tietojen säilyttämiseksi fyysisessä muistissa (tämä estää järjestelmää siirtämästä tietoja näennäismuistiin levylle). Tämän oikeuden käytöllä voi olla merkittävä vaikutus järjestelmän suorituskykyyn, sillä se pienentää käytettävissä olevan RAM-muistin määrää. |
Ei mitään; tietyillä järjestelmän prosesseilla on tämä oikeus oletusarvoisesti. |
Todennus- ja suojauslokin hallinta |
Määrittää käyttäjät, jotka voivat määrittää objektin käytön valvonta-asetuksia yksittäisille resursseille, kuten tiedostoille, Active Directory -objekteille ja rekisteriavaimille. Tämä suojausasetus ei salli käyttäjän ottaa käyttöön tiedostojen ja objektien käytön valvontaa yleisellä tasolla Jotta tällainen valvonta olisi mahdollista, Valvo objektin käyttöä -asetus on oltava määritettynä Tietokoneasetukset\Windows-asetukset\Suojausasetukset\Paikalliset käytännöt\Valvontakäytäntö-kansiossa. Lisätietoja on Microsoftin sivuston kohdassa Voit tarkastella Tapahtumienvalvonnan suojauslokin sisältämiä valvottuja tapahtumia. Käyttäjä, jolla on tämä oikeus, voi myös tarkastella suojauslokia tai tyhjentää sen. |
Järjestelmänvalvojat |
Laitteisto-ohjelmiston ympäristöarvojen muokkaaminen |
Määrittää, kuka voi muokata laitteisto-ohjelmiston ympäristöarvoja. Laitteisto-ohjelmiston ympäristömuuttujat ovat asetuksia, jotka on tallennettu muiden kuin x86-pohjaisten tietokoneiden säilyvään RAM-muistiin Asetuksen vaikutus määräytyy suorittimen mukaan.
|
Järjestelmänvalvojat ja Paikallinen järjestelmä |
Yksittäisen prosessin profiloiminen |
Määrittää käyttäjät, jotka voivat valvoa muiden kuin järjestelmäprosessien suorituskykyä käyttämällä suorituskyvyn seurantatyökaluja. |
Järjestelmänvalvojat, Tehokäyttäjät ja Paikallinen järjestelmä |
Järjestelmän suorituskyvyn profiloiminen |
Määrittää käyttäjät, jotka voivat valvoa järjestelmäprosessien suorituskykyä käyttämällä suorituskyvyn seurantatyökaluja. |
Järjestelmänvalvojat ja Paikallinen järjestelmä |
Tietokoneen poistaminen telakointiasemasta |
Määrittää, voiko käyttäjä poistaa kannettavan tietokoneen telakointiasemasta kirjautumatta siihen. Jos tämä käytäntö on käytössä, käyttäjän täytyy kirjautua sisään, ennen kuin hän voi poistaa kannettavan tietokoneen telakointiasemasta. Jos tämä käytäntö ei ole käytössä, käyttäjä voi poistaa kannettavan tietokoneen telakointiasemasta kirjautumatta sisään. |
Ei käytössä |
Prosessitason tunnuksen korvaaminen |
Määrittää käyttäjätilit, jotka voivat käynnistää prosessin käynnistetyn aliprosessin oletustunnuksen korvaamiseksi. Tämä järjestelmäoikeus on määritetty oletusarvoisen toimialueen ohjauskoneen ryhmäkäytäntöobjektissa sekä työasemien ja palvelimien paikallisessa suojauskäytännössä. |
Paikallinen palvelu ja Verkkopalvelu |
Tiedostojen ja kansioiden palauttaminen |
Määrittää käyttäjät, jotka voivat ohittaa tiedostojen, kansioiden, rekisterin ja muiden pysyvien objektien oikeudet palautettaessa varmuuskopioituja tiedostoja ja kansioita, ja käyttäjät, jotka voivat määrittää kelvollisen suojauspääobjektin objektin omistajaksi. Tämä oikeus vastaa sitä, että seuraavat oikeudet myönnettäisiin käyttäjälle tai ryhmälle kaikkiin järjestelmän tiedostoihin ja kansioihin:
| Työasemat ja palvelimet: Järjestelmänvalvojat ja Varmuuskopiointioperaattorit Toimialueen ohjauskoneet: Järjestelmänvalvojat, Varmuuskopiointioperaattorit ja Palvelinoperaattorit |
Järjestelmän sammuttaminen |
Määrittää, ketkä käyttöjärjestelmään paikallisesti kirjautuneet käyttäjät voivat sammuttaa käyttöjärjestelmän Sammuta-komennolla. Tämän oikeuden väärinkäyttö voi johtaa palvelun estoon. | Työasemat: Järjestelmänvalvojat, Varmuuskopiointioperaattorit, Tehokäyttäjät ja Käyttäjät Palvelimet: Järjestelmänvalvojat, Varmuuskopiointioperaattorit ja Tehokäyttäjät Toimialueen ohjauskoneet: Tilioperaattorit, Järjestelmänvalvojat, Varmuuskopiointioperaattorin, Palvelinoperaattorit ja Tulostusoperaattorit |
Hakemistopalvelun tietojen synkronoiminen |
Määrittää käyttäjät ja ryhmät, joilla on oikeus synkronoida kaikki hakemistopalvelun tiedot. Tätä kutsutaan myös Active Directory -synkronoinniksi. |
Ei mitään |
Tiedostojen tai muiden objektien ottaminen omistukseen |
Määrittää käyttäjät, jotka voivat ottaa omistukseensa suojattavissa olevan objektin järjestelmässä. Tällaisia objekteja ovat esimerkiksi Active Directory -objektit, tiedostot ja kansiot, tulostimet, rekisteriavaimet, prosessit sekä säikeet. | Järjestelmänvalvojat |
Jotkin oikeudet voivat ohittaa objektille määritetyt oikeudet. Esimerkiksi käyttäjällä, joka on kirjautunut toimialuetiliin Varmuuskopiointioperaattorit-ryhmän jäsenenä, on oikeus suorittaa varmuuskopiointitoimintoja kaikissa toimialueen palvelimissa. Tämä kuitenkin edellyttää mahdollisuutta lukea palvelinten kaikkia tiedostoja, mukaan lukien tiedostot, joiden käytön kyseisten tiedostojen omistajat ovat estäneet myös Varmuuskopiointioperaattorit-ryhmän jäseniltä. Järjestelmäoikeus (tässä tapauksessa oikeus suorittaa varmuuskopiointitoimintoja) ohittaa kaikki tiedostoille ja kansioille erikseen määritetyt oikeudet. Lisätietoja on Microsoftin sivuston kohdassa
Huomautus | |
Voit tarkastella järjestelmäoikeuksiasi kirjoittamalla komentoriville whoami /priv. |