Felhasználói jogok és jogosultságok

Az operációs rendszer részeként való működés

Lehetővé teszi, hogy a folyamatok hitelesítés nélkül személyesítsék meg a felhasználókat. Így a folyamatok pontosan ugyanazokhoz a helyi erőforrásokhoz férnek hozzá, mint a felhasználók.

Azoknak a folyamatoknak, amelyeknek szükségük van erre a jogosultságra, a Helyi rendszer fiókot célszerű használniuk (mert az már tartalmazza ezt a jogot), nem egy külön ezzel a jogosultsággal felruházott felhasználói fiókot. Nem kell ezt a jogosultságot felhasználókhoz rendelnie, csak ha vállalata Windows 2000 vagy Windows NT 4.0 rendszert futtató kiszolgálókat használ, amelyek egyszerű szöveges formátumban tárolják a jelszavakat.

Helyi rendszer

Munkaállomás hozzáadása a tartományhoz

Ez határozza meg, hogy mely csoportok vagy felhasználók adhatnak hozzá munkaállomásokat a tartományhoz.

Ez a felhasználói jog csak tartományvezérlőkön érvényes. Alapértelmezés szerint minden hitelesített felhasználó rendelkezik ezzel a joggal, és legfeljebb 10 számítógépfiókot hozhat létre a tartományban.

A felhasználói fiókok tartományhoz adásával a számítógép felismerheti az Active Directory tartományi szolgáltatások (AD DS) létező fiókjait és csoportjait.

Tartományvezérlőkön: Hitelesített felhasználók

Folyamat memóriakvótájának módosítása

Ez határozza meg, hogy ki jogosult a folyamatok által felhasználható maximális memória mennyiségének a módosítására.

Ez a felhasználói jog az alapértelmezett tartományvezérlő csoportházirend-objektumban (GPO), valamint munkaállomások és kiszolgálók helyi biztonsági házirendjében van megadva.

Rendszergazdák

Fájlok és mappák biztonsági mentése

Ez határozza meg, hogy a rendszer biztonsági mentése céljából mely felhasználók jogosultak fájlok, könyvtárak, valamint a beállításjegyzék és más állandó objektumok engedélyeinek mellőzésére.

Rendszergazdák és Biztonságimásolat-felelősök

Bejárás ellenőrzésének mellőzése

Ez határozza meg, mely felhasználók járhatják be a könyvtárszerkezetet még akkor is, ha nem rendelkeznek jogosultságokkal a bejárt könyvtáron. Ez a jogosultság a könyvtárak tartalmának listázását nem, csak a könyvtárak bejárását teszi lehetővé a felhasználók számára.

Ez a felhasználói jog az alapértelmezett tartományvezérlőben (GPO), valamint munkaállomások és kiszolgálók helyi biztonsági házirendjében van megadva.

Munkaállomásokon és kiszolgálókon: Rendszergazdák, Biztonságimásolat-felelősök, Kiemelt felhasználók, Felhasználók és Mindenki

Tartományvezérlőkön: Rendszergazdák és Hitelesített felhasználók

A rendszeridő módosítása

Ez határozza meg, hogy mely felhasználók és csoportok változtathatják meg a számítógép belső órájának idejét és dátumát. Az ezzel a joggal felruházott felhasználók befolyásolhatják az eseménynaplók megjelenését. A rendszeridő megváltoztatásakor a naplóba kerülő események az új időt tükrözik, nem pedig az esemény bekövetkezésének valódi idejét.

Ez a felhasználói jog az alapértelmezett tartományvezérlőben (GPO), valamint munkaállomások és kiszolgálók helyi biztonsági házirendjében van megadva.

Munkaállomásokon és kiszolgálókon: Rendszergazdák és Kiemelt felhasználók

Tartományvezérlőkön: Rendszergazdák és Kiszolgálófelelősök

Lapozófájl létrehozása

Lehetővé teszi a felhasználó számára, hogy lapozófájlt hozzon létre, illetve módosítsa annak méretét. Ennek módja, hogy a Rendszertulajdonságok párbeszédpanel Speciális lapja Teljesítménybeállítások lehetőségét választva meghatározza az adott meghajtó lapozófájljának a méretét.

Rendszergazdák

Jogkivonat-objektum létrehozása

Ez a folyamat bármely helyi erőforrás elérésére képes jogkivonat létrehozását teszi lehetővé a Jogkivonat létrehozása lehetőség, vagy más, jogkivonatot létrehozó alkalmazásprogramozási felületet (API) segítségével.

Azoknak a folyamatoknak, amelyeknek szükségük van erre a jogosultságra, a Helyi rendszer fiókot célszerű használniuk (mert az már tartalmazza ezt a jogot), nem egy külön ezzel a jogosultsággal felruházott felhasználói fiókot.

Senki sem

Globális objektumok létrehozása

Ez határozza meg, hogy mely fiókok hozhatnak létre globális objektumokat a Terminálszolgáltatások vagy a Távoli asztali szolgáltatások valamely munkamenetében.

A rendszergazdák és a Helyi rendszer

Állandó megosztott objektum létrehozása

Ez a folyamat könyvtárobjektumok létrehozását teszi lehetővé az operációs rendszer objektumkezelőjének használatával. Ez a jogosultság a kernel üzemmódú összetevők esetében hasznos, amelyek kibővítik az objektumnévteret. Mivel a kernel üzemmódban futó összetevők már rendelkeznek ezzel a joggal, nem szükséges azt külön hozzájuk rendelni.

Senki sem

Hibakeresés programokban

Ez határozza meg, hogy mely felhasználók csatolhatnak hibakeresőt egy folyamathoz vagy a kernelhez. A saját alkalmazásaikban hibakeresést végző fejlesztőkhöz nem kell ezt a felhasználói jogot hozzárendelni. Az új rendszerösszetevőkben hibakeresést végző fejlesztőknek viszont szükségük van erre a felhasználói jogra. Ez a felhasználói jog teljes körű hozzáférést biztosít az operációs rendszer érzékeny és kritikus fontosságú összetevőihez.

A rendszergazdák és a Helyi rendszer

Megbízható delegáláshoz beállítás engedélyezése számítógépek és felhasználói fiókok részére

Ez határozza meg, hogy mely felhasználók engedélyezhetik a Megbízható delegáláshoz beállítást egy felhasználó vagy számítógép-objektum számára.

Annak a felhasználónak vagy objektumnak, amely megkapja ezt a jogot, írási hozzáféréssel kell rendelkeznie a felhasználó vagy számítógép-objektum fiókfelügyeleti jelzőihez. Egy számítógépen (vagy egy felhasználói környezetben) futó kiszolgálói folyamat, amely esetében a Megbízható delegáláshoz beállítás engedélyezett, az ügyfél delegált hitelesítő adataival hozzáférhet egy másik számítógép erőforrásaihoz, feltéve hogy az ügyfélfiókon a Fiók nem delegálható fiókfelügyeleti jelző nincs beállítva.

Ez a felhasználói jog az alapértelmezett tartományvezérlőben (GPO), valamint munkaállomások és kiszolgálók helyi biztonsági házirendjében van megadva.

Tartományvezérlőkön: Rendszergazdák

Kényszerített leállítás távoli rendszerről

Ez határozza meg, hogy mely felhasználók számára engedélyezett a számítógép leállítása a hálózat egy távoli helyéről. Ennek a felhasználói jognak a helytelen használata szolgáltatásmegtagadást okozhat.

Ez a felhasználói jog az alapértelmezett tartományvezérlőben (GPO), valamint munkaállomások és kiszolgálók helyi biztonsági házirendjében van megadva.

Munkaállomásokon és kiszolgálókon: Rendszergazdák

Tartományvezérlőkön: Rendszergazdák és Kiszolgálófelelősök

Biztonsági naplók létrehozása

Ez határozza meg, hogy a folyamatok mely fiókokat használhatják biztonságinapló-bejegyzések hozzáadására. A biztonsági napló az engedély nélküli rendszerhozzáférések nyomon követésére szolgál. Ennek a felhasználói jognak a helytelen használata túl sok naplóesemény létrehozásához vezethet, és emiatt akár egy támadás bizonyítékai is elsikkadhatnak, vagy szolgáltatásmegtagadás történhet, ha a Naplózás: A rendszer azonnali leállítása, ha nem lehet naplózni a biztonsági eseményeket biztonságiházirend-beállítás engedélyezve van. További információkat a Naplózás: A rendszer azonnali leállítása, ha nem lehet naplózni a biztonsági eseményeket (előfordulhat, hogy a lap angol nyelven jelenik meg) beállítás leírásában talál.(https://go.microsoft.com/fwlink/?LinkId=136299).

Helyi rendszer

Ügyfél megszemélyesítése hitelesítés után

Ez határozza meg, hogy mely fiókok számára engedélyezett más fiókok megszemélyesítése.

A rendszergazdák és a Szolgáltatás

Az ütemezési prioritás növelése

Ez határozza meg, hogy mely fiókok tudnak egy folyamatot, amely más folyamatokhoz tulajdonságírási hozzáféréssel rendelkezik, arra használni, hogy növeljék a másik folyamathoz rendelt végrehajtási prioritást. Az ezzel a jogosultsággal rendelkező felhasználók a Feladatkezelő felhasználói felületén tudják módosítani a folyamatok ütemezési prioritását.

Rendszergazdák

Eszközillesztők betöltése és eltávolítása

Ez határozza meg, hogy mely felhasználók tölthetnek be vagy távolíthatnak el dinamikusan eszközillesztőket vagy más kódokat kernel üzemmódban. Ez a felhasználói jog nem vonatkozik a Plug and Play eszközillesztőkre. Mivel az eszközillesztők megbízható (avagy magas jogosultsággal rendelkező) programként futnak, más felhasználókhoz nem ajánlott hozzárendelni ezt a jogot. Helyette használja inkább a StartService() alkalmazásprogramozási felületet.

Rendszergazdák

Memórialapok zárolása

Ez határozza meg, hogy mely fiókok képesek egy folyamat révén a fizikai memóriában tárolni az adatokat, megelőzve, hogy a rendszer a lemezen lévő virtuális memóriába helyezze őket. Ennek a jogosultságnak a gyakorlása jelentősen befolyásolhatja a rendszer teljesítményét, mivel csökkenti a rendelkezésre álló RAM memória mennyiségét.

Nincs; bizonyos rendszerfolyamatok öröklött jogosultsággal rendelkeznek

A naplózás és a biztonsági napló kezelése

Ez határozza meg, hogy mely felhasználók adhatnak meg objektumhozzáférés-naplózási beállításokat az egyedi erőforrások, például fájlok, Active Directory-objektumok és beállításkulcsok számára.

Ez a biztonsági beállítás nem teszi lehetővé, hogy a felhasználók engedélyezzék a fájl- és objektum-hozzáférés naplózását. Az ilyen fajta naplózás engedélyezéséhez az Objektum-hozzáférés naplózása beállítást kell konfigurálni a Számítógép konfigurációja\A Windows beállításai\Biztonsági beállítások\Helyi házirendek\Naplózási házirendek mappában. További információt az Objektum-hozzáférés naplózása (előfordulhat, hogy a lap angol nyelven jelenik meg) című témakörben talál (https://go.microsoft.com/fwlink/?LinkId=136283).

A naplózott eseményeket az Eseménynapló Biztonsági naplójában tekintheti meg. Ezzel a jogosultsággal bárki megtekintheti és törölheti is a biztonsági naplót.

Rendszergazdák

Belső vezérlőprogram környezeti értékeinek módosítása

Ez határozza meg, ki módosíthatja a belső vezérlőprogram környezeti értékeit. A belső vezérlőprogram változóit a nem x86-alapú számítógépek nem felejtő RAM memóriája tárolja. A beállítás hatása a processzortól függ.

• Az x86-alapú számítógépeken az egyetlen belsővezérlőprogram-érték, amely ezen felhasználói jog hozzárendelésével módosítható, a Legutolsó helyes konfiguráció beállítás, amelyet csak a rendszernek szabad módosítania.
  
  
• Az Itanium-alapú számítógépeken a rendszerindítási információkat nem felejtő RAM memória tárolja. A felhasználóknak rendelkezniük kell ezzel a felhasználói joggal a bootcfg.exe program futtatásához, és a Rendszertulajdonságok párbeszédpanel Indítás és helyreállítás csoportjában lévő Alapértelmezett operációs rendszer beállítás módosításához.
  
  
• A Windows telepítéséhez vagy frissítéséhez minden számítógépen szükség van erre a felhasználói jogra.
  
  

A rendszergazdák és a Helyi rendszer

Egyetlen folyamat kiértékelése

Ez határozza meg, hogy mely felhasználók használhatnak teljesítményfigyelő eszközöket a nem rendszerfolyamatok teljesítményének figyelésére.

A rendszergazdák, a Kiemelt felhasználók és a Helyi rendszer

A rendszerteljesítmény kiértékelése

Ez határozza meg, hogy mely felhasználók használhatnak teljesítményfigyelő eszközöket a rendszerfolyamatok teljesítményének figyelésére.

A rendszergazdák és a Helyi rendszer

Számítógép dokkolásának megszüntetése

Ez határozza meg, hogy a felhasználók megszüntethetik-e egy hordozható számítógép dokkolását bejelentkezés nélkül.

Ha a házirend engedélyezve van, a felhasználónak be kell jelentkeznie, mielőtt a hordozható számítógép dokkolását megszüntetné. Ha a házirend le van tiltva, a felhasználó bejelentkezés nélkül is megszüntetheti a hordozható számítógép dokkolását.

Letiltva

Folyamatszintű jogkivonat lecserélése

Ez határozza meg, hogy mely felhasználói fiókok kezdeményezhetik egy elindított alfolyamathoz tartozó alapértelmezett jogkivonat lecserélési folyamatát.

Ez a felhasználói jog az alapértelmezett tartományvezérlőben (GPO), valamint munkaállomások és kiszolgálók helyi biztonsági házirendjében van megadva.

Helyi szolgáltatás és Hálózati szolgáltatás

Fájlok és mappák visszaállítása

Ez határozza meg, hogy a fájlok és a mappák biztonsági mentésből való visszaállításakor mely felhasználók jogosultak a fájlok, a könyvtárak, a beállításjegyzék és más állandó objektumok engedélyeinek mellőzésére, és mely felhasználók állíthatnak be az objektum tulajdonosaként egy érvényes rendszerbiztonsági tagot.

Ez a felhasználói jog kimondottan hasonlít ahhoz, amikor egy felhasználó vagy csoport a rendszer összes fájljára és mappájára vonatkozóan megkapja a következő jogosultságokat:

• Mappa bejárása, fájl végrehajtása
  
  
• Írás
  
  

Munkaállomásokon és kiszolgálókon: Rendszergazdák és Biztonságimásolat-felelősök

Tartományvezérlőkön: Rendszergazdák, Biztonságimásolat-felelősök és Kiszolgálófelelősök

A rendszer leállítása

Ez határozza meg, hogy a számítógépre helyileg bejelentkezett felhasználók közül kik állíthatják le az operációs rendszert a Leállítás parancs használatával. Ennek a felhasználói jognak a helytelen használata szolgáltatásmegtagadást okozhat.

Munkaállomásokon: Rendszergazdák, Biztonságimásolat-felelősök, Kiemelt felhasználók és Felhasználók

Kiszolgálókon: Rendszergazdák, Biztonságimásolat-felelősök és Kiemelt felhasználók

Tartományvezérlőkön: Fiókfelelősök, Rendszergazdák, Biztonságimásolat-felelősök, Kiszolgálófelelősök és Nyomtatófelelősök

Címtár-szolgáltatási adatok szinkronizálása

Ez határozza meg, hogy mely felhasználók és csoportok jogosultak a címtár-szolgáltatási adatok szinkronizálására. Más néven Active Directory-szinkronizációként is ismert.

Nincs

Fájlok és más objektumok saját tulajdonba vétele

Ez határozza meg, hogy mely felhasználók vehetik át a rendszer biztonságos objektumainak tulajdonjogát. Ilyen objektumok például az Active Directory-objektumok, a fájlok, a mappák, a nyomtatók, a beállításkulcsok, a folyamatok és a szálak.

Rendszergazdák