זכויות משתמש מעניקות הרשאות וזכויות כניסה ספציפיות למשתמשים ולקבוצות בסביבת המחשוב. למנהלי מערכת יש אפשרות להקצות זכויות ספציפיות לחשבונות של קבוצות או לחשבונות של משתמשים נפרדים. זכויות אלה מאפשרות למשתמשים לבצע פעולות ספציפיות, כגון ביצוע כניסה למערכת באופן אינטראקטיבי או גיבוי קבצים וספריות.
כדי להקל על משימת ניהול חשבון המשתמש, עליך להקצות הרשאות קודם כל לחשבונות קבוצתיים, במקום לחשבונות משתמש בודדים. כשאתה מקצה הרשאות לחשבון קבוצתי, הרשאות אלה מוקצות אוטומטית למשתמשים כשהם הופכים לחברים באותה קבוצה. שיטה זו של ניהול הרשאות קלה הרבה יותר מהקצאה של הרשאות בודדות לכל חשבון משתמש כשהחשבון נוצר.
הטבלה הבאה מפרטת ומתארת את ההרשאות שניתן לתת למשתמש.
הרשאה | תיאור | הגדרת ברירת מחדל |
---|---|---|
פעולה כחלק ממערכת ההפעלה |
מתן אפשרות לתהליך להתחזות לכל משתמש ללא אימות. לכן התהליך יכול לקבל גישה לאותם משאבים מקומיים כמו אותו משתמש. תהליכים המחייבים הרשאה זו צריכים להשתמש בחשבון 'מערכת מקומית' שכבר כולל הרשאה זו, במקום להשתמש בחשבון משתמש נפרד עם הרשאה זו שהוקצתה באופן מיוחד. אינך צריך להקצות הרשאה זו למשתמשים אלא אם הארגון שלך משתמש בשרתים שפועלים בהם Windows 2000 או Windows NT 4.0 ומשתמש ביישומים המחליפים סיסמאות בטקסט רגיל. |
מערכת מקומית |
הוספת תחנות עבודה לתחום |
קביעה אילו קבוצות או משתמשים יכולים להוסיף תחנות עבודה לתחום. זכות משתמש זו תקפה רק בבקרי תחום. כברירת מחדל, לכל משתמש שאומת יש הזכות הזו והוא יכול ליצור עד 10 חשבונות מחשב בתחום. הוספת חשבון מחשב לתחום מאפשרת למחשב לזהות חשבונות וקבוצות הקיימים ב- Active Directory Domain Services (AD DS). |
בקרי תחום: משתמשים שאומתו |
התאמת מיכסות זיכרון עבור תהליך |
קביעה מי יכול לשנות את מרב הזיכרון שתהליך יכול לצרוך. זכות משתמש זו מוגדרת באובייקט 'מדיניות קבוצתית של בקרי תחום המוגדרים כברירת מחדל' (GPO) ובמדיניות האבטחה המקומית של תחנות העבודה והשרתים. |
מנהלי מערכת |
גיבוי קבצים וספריות |
קביעה אילו משתמשים יכולים לעקוף הרשאות קובץ וספרייה, הרשאות מערכת רישום ושאר הרשאות אובייקט מתמשכות לצרכי גיבוי המערכת. |
מנהלי מערכת ו- Backup Operators |
עקוף בדיקת מעבר |
קביעה אילו משתמשים יכולים לעבור עצי ספריות גם אם למשתמשים אין הרשאות בספרייה שהועברה. הרשאה זו אינה מאפשרת למשתמש לפרט את התכנים של ספרייה, רק לעבור ספריות. זכות משתמש זו מוגדרת ב'בקר התחום המוגדר כברירת מחדל GPO' ובמדיניות האבטחה המקומית של תחנות העבודה והשרתים. |
תחנות עבודה ושרתים: מנהלי מערכת, Backup Operators, Power Users, ו- Everyone. בקרי תחום: מנהלי מערכת ומשתמשים שאומתו |
שנה את זמן המערכת |
קביעה אילו משתמשים וקבוצות יכולים לשנות את הזמן והתאריך בשעון הפנימי של המחשב. משתמשים שמוקצית להם זכות משתמש זו יכולים להשפיע על המראה של יומני האירועים. אם זמן המערכת שונה, אירועים מחוברים ישקפו זמן חדש זה ולא את הזמן הממשי שבו אירעו האירועים. זכות משתמש זו מוגדרת ב'בקר התחום המוגדר כברירת מחדל GPO' ובמדיניות האבטחה המקומית של תחנות העבודה והשרתים. |
תחנות עבודה ושרתים: מנהלי מערכת ו- Power Users בקרי תחום: מנהלי מערכת ו- Server Operators |
יצירת קובץ החלפה |
מתן אפשרות למשתמש ליצור ולשנות את גודל קובץ ההחלפה. הדבר נעשה על-ידי ציון של גודל קובץ החלפה עבור כונן מסוים תחת אפשרויות ביצועים בכרטיסייה מתקדם של מאפייני מערכת. |
מנהלי מערכת |
יצירת אובייקט אסימון |
מתן אפשרות לתהליך ליצור אסימון שבו הוא יכול להשתמש לאחר מכן כדי לקבל גישה לכל המשאבים המקומיים כאשר התהליך משתמש ב- NtCreateToken() או APIs אחרים של יצירת אסימון. תהליכים המחייבים הרשאה זו צריכים להשתמש בחשבון 'מערכת מקומית' שכבר כולל הרשאה זו, במקום להשתמש בחשבון משתמש נפרד עם הרשאה זו שהוקצתה באופן מיוחד. |
אף אחד |
יצירת אובייקטים כלליים |
קביעה אילו חשבונות יכולים ליצור אובייקטים כלליים בהפעלה של שירותי מסוף או של שירותי שולחן עבודה מרוחק. |
מנהלי מערכת ומערכת מקומית |
יצירת אובייקטים משותפים קבועים |
מתן אפשרות לתהליך ליצור אובייקט ספרייה במנהל האובייקטים של מערכת ההפעלה. הרשאה זו מועילה לרכיבי מצב ליבה המרחיבים את מרחב השמות של האובייקט. רכיבים הפועלים במצב ליבה כוללים את ההרשאה הזו מלכתחילה; אין צורך להקצות להם את ההרשאה הזו. |
אף אחד |
תוכניות איתור באגים |
קביעה אילו משתמשים יכולים לצרף מאתר באגים לכל תהליך או לליבה. מפתחים שמאתרים באגים ביישומים שלהם עצמם אינם זקוקים להקצאה של זכות משתמש זו. לעומתם, מפתחים שמאתרים באגים ברכיבי מערכת חדשה זקוקים להקצאה של זכות משתמש זו. זכות משתמש זו מספקת גישה מלאה לרכיבים רגישים וקריטיים של מערכת ההפעלה. |
מנהלי מערכת ומערכת מקומית |
מתן אפשרות למחשב ולחשבונות המשתמש להיות מהימנים עבור הקצאה |
קביעה אילו משתמשים יכולים להגדיר את ההגדרה מהימן עבור הקצאה באובייקט משתמש או באובייקט מחשב. למשתמש או לאובייקט המקבל הרשאה זו חייבת להיות גישת כתיבה לדגלי בקרת חשבון באובייקט המשתמש או באובייקט המחשב. תהליך שרת הפועל על מחשב (או תחת הקשר משתמש) שהוא מהימן עבור הקצאה יכול לגשת למשאבים במחשב אחר באמצעות האישורים המוקצים של לקוח, כל עוד חשבון הלקוח אינו כולל את דגל בקרת החשבון אין אפשרות להקצות את החשבון. זכות משתמש זו מוגדרת ב'בקר תחום המוגדר כברירת מחדל GPO' ובמדיניות האבטחה המקומית של תחנות העבודה והשרתים. |
בקרי תחום: מנהלי מערכת |
כפיית כיבוי ממערכת מרוחקת |
קביעה לאילו משתמשים מותר לכבות מחשב ממיקום מרוחק ברשת. שימוש לרעה בזכות משתמש זו עלולה להביא למניעת שירות. זכות משתמש זו מוגדרת ב'בקר תחום המוגדר כברירת מחדל GPO' ובמדיניות האבטחה המקומית של תחנות העבודה והשרתים. |
תחנות עבודה ושרתים: מנהלי מערכת בקרי תחום: מנהלי מערכת ו- Server Operators |
יצירת ביקורות אבטחה |
קביעה אילו חשבונות יכולים לשמש תהליך כדי להוסיף ערכים ליומן אבטחה. יומן האבטחה משמש לאיתור גישה בלתי מורשית למערכת. שימוש לרעה בזכות משתמש זו עלול לגרום ליצירה של אירועי ביקורת רבים, ועלול להסתיר ראיות להתקפה או לגרום למניעת שירות אם הגדרת מדיניות האבטחהביקורת: צא מהמערכת באופן מיידי אם לא ניתן לרשום ביומן ביקורות אבטחה זמינה. לקבלת מידע נוסף, ראה |
מערכת מקומית |
התחזה ללקוח לאחר אימות |
קביעה אילו חשבונות מורשים להתחזות לחשבונות אחרים. |
מנהלי מערכת ושירות |
הגדלת עדיפות התזמון |
קביעה אילו חשבונות יכולים להשתמש בתהליך עם גישת מאפיין 'כתיבה' לתהליך אחר כדי להגדיל את עדיפות הביצוע שהוקצתה לתהליך האחר. משתמש עם הרשאה זו יכול לשנות את עדיפות התזמון של תהליך באמצעות ממשק המשתמש 'מנהל המשימות'. |
מנהלי מערכת |
טען ובטל טעינה של מנהלי התקנים |
קביעה אילו משתמשים יכולים באופן דינמי לטעון ולבטל טעינה של מנהלי התקן או קודים אחרים במצב ליבה. זכות משתמש זו אינה חלה על מנהלי התקן מסוג Plug and Play. מכיוון שמנהלי התקן פועלים כתוכניות מהימנות (או בעלות הרשאה מתקדמת), רצוי שלא תקצה הרשאה זו למשתמשים אחרים. במקום זאת, השתמש ב- API StartService(). |
מנהלי מערכת |
נעילת עמודים בזיכרון |
קביעה אילו חשבונות יכולים להשתמש בתהליך כדי לשמור נתונים בזיכרון פיזי, המונע מן המערכת להחליף את הנתונים לזיכרון וירטואלי בדיסק. הפעלת הרשאה זו עשויה להפשיע באופן משמעותי על ביצועי המערכת על-ידי הקטנת הכמות הזמינה של זיכרון גישה אקראי (RAM). |
ללא; תהליכי מערכת מסוימים כוללים את ההרשאה באופן אינהרנטי |
ניהול יומן ביקורת ואבטחה |
קביעה אילו משתמשים יכולים לציין אפשרויות ביקורת גישה לאובייקט עבור משאבים בודדים, כגון קבצים, אובייקטי Active Directory ומפתחות רישום. הגדרת אבטחה זו אינה מתירה למשתמש להפעיל ביקורת גישה לקובץ ולאובייקט. כדי שביקורת כזו תהיה זמינה, יש להגדיר את תצורת ההגדרה 'גישה לביקורת אובייקט' ב- Computer Configuration\Windows Settings\Security Settings\Local Policies\Audit Policies. לקבלת מידע נוסף, ראה באפשרותך להציג אירועי ביקורת ביומן רישום של אבטחה של 'מציג האירועים'. משתמש עם הרשאה זו יכול גם להציג ולנקות את יומן רישום האבטחה. |
מנהלי מערכת |
שינוי ערכים של סביבת קושחה |
קביעה מי יכול לשנות ערכים של סביבת קושחה. משתני סביבת קושחה הם הגדרות המאוחסנות בזיכרון RAM לא נדיף של מחשבים שאינם מבוססי x86. השפעת ההגדרה תלויה במעבד.
|
מנהלי מערכת ומערכת מקומית |
הכנת פרופיל של תהליך בודד |
קביעה אילו משתמשים יכולים להשתמש בכלי פיקוח על ביצועים כדי לפקח על הביצועים של תהליכים שאינם של המערכת. |
מנהלי מערכת, Power Users ומערכת מקומית |
ביצועי מערכת של פרופיל |
קביעה אילו משתמשים יכולים להשתמש בכלי פיקוח על ביצועים כדי לפקח על הביצועים של תהליכים של המערכת. |
מנהלי מערכת ומערכת מקומית |
הסר את המחשב מתחנת העגינה |
קביעה אם משתמש יכול לבטל עגינה של מחשב נישא מתחנת העגינה שלו מבלי להיכנס למערכת. אם מדיניות זו מופעלת, על המשתמש להיכנס למערכת לפני הסרת המחשב הנישא מתחנת העגינה שלו. אם מדיניות זו אינה מופעלת, המשתמש רשאי להסיר את המחשב הנישא מתחנת העגינה שלו מבלי להיכנס למערכת. |
לא זמין |
החלפת אסימון רמת התהליך |
קביעה אילו חשבונות משתמש יכולים ליזום תהליך להחלפת אסימון ברירת המחדל המשויך לתהליך המשנה שהחל. זכות משתמש זו מוגדרת ב'בקר תחום המוגדר כברירת מחדל GPO' ובמדיניות האבטחה המקומית של תחנות העבודה והשרתים. |
שירות מקומי ושירות רשת |
שחזור קבצים וספריות |
קביעה אילו משתמשים יכולים לעקוף הרשאות קובץ, ספרייה, מערכת רישום ושאר הרשאות אובייקטים מתמשכות בעת שחזור קבצים וספריות שגובו, וקביעה אילו משתמשים יכולים להגדיר כל מנהל אבטחה תקף בתור הבעלים של אובייקט. באופן ספציפי, זכות משתמש זו דומה למתן ההרשאות הבאות למשתמש או לקבוצה בכל הקבצים והתיקיות במערכת.
| תחנות עבודה ושרתים: מנהלי מערכת ו- Backup Operators בקרי תחום: מנהלי מערכת, Backup Operators ו- Server Operators |
כבה את המערכת |
קביעה אילו משתמשים שמחוברים באופן מקומי למחשב יכולים לכבות את מערכת ההפעלה באמצעות הפקודה כיבוי. שימוש לרעה בזכות משתמש זו עלולה להביא למניעת שירות. | תחנות עבודה: מנהלי מערכת, Backup Operators, Power Users, ו- Users. שרתים: מנהלי מערכת, Backup Operators, Power Users בקרי תחום: Account Operators, מנהלי מערכת, Backup Operators, Server Operators ו- Print Operators |
סנכרון נתוני שירות ספריות |
קביעה אילו משתמשים וקבוצות רשאים לסנכרן את כל נתוני שירות הספריות. פעולה זו ידועה גם כסנכרון Active Directory. |
ללא |
לקיחת בעלות על קבצים או אובייקטים אחרים |
קביעה אילו משתמשים יכולים לקחת בעלות על כל אובייקט ניתן לאבטחה במערכת, לרבות אובייקטי Active Directory, קבצים ותיקיות, מדפסות, מפתחות רישום, תהליכים והליכי משנה. | מנהלי מערכת |
הרשאות מסוימות יכולות לעקוף הרשאות שהוגדרו באובייקט. לדוגמה, משתמש שנכנס לחשבון תחום כחבר בקבוצה Backup Operators רשאי לבצע פעולות גיבוי עבור כל שרתי התחום. עם זאת, הדבר דורש את היכולת לקרוא את כל הקבצים שעל שרתים אלה, אפילו קבצים שבהם הגדירו הבעלים שלהם הרשאות המונעות במפורש גישה לכל המשתמשים, לרבות חברים בקבוצה Backup Operators. זכות משתמש - במקרה זה, הזכות לבצע גיבוי - מקבלת קדימות על-פני כל הרשאות הקבצים והספריות. לקבלת מידע נוסף, ראה
הערה | |
בשורת פקודה, באפשרותך להקליד whoami /priv כדי לראות את ההרשאות שלך. |