A felhasználói jogok a számítógépes környezet felhasználói és csoportjai számára biztosítanak bejelentkezési és egyéb specifikus jogosultságokat. A rendszergazdák meghatározott jogokat adhatnak csoportfiókoknak vagy egyéni felhasználói fiókoknak. Ezeknek a jogoknak a birtokában a felhasználók végrehajthatnak bizonyos műveleteket, például interaktív módon bejelentkezhetnek egy adott rendszerbe vagy biztonsági másolatot készíthetnek fájlokról és könyvtárakról.
A felhasználói fiókok felügyeletének megkönnyítése érdekében a jogosultságokat célszerűbb az egyéni felhasználói fiókok helyett elsődlegesen a csoportfiókokhoz társítani. Ha jogokat társít egy csoportfiókokhoz, a fiók tagjává váló felhasználók is automatikusan részesülnek azokból. A jogosultságok felügyeletének ez a módja jóval egyszerűbb, mintha minden egyes, újonnan létrehozott felhasználói fiókhoz kellene társítana az egyéni jogosultságokat.
A következő táblázat a felhasználók számára biztosítható jogosultságok listáját és leírását tartalmazza.
Jogosultság | Leírás | Alapértelmezett beállítás |
---|---|---|
Az operációs rendszer részeként való működés |
Lehetővé teszi, hogy a folyamatok hitelesítés nélkül személyesítsék meg a felhasználókat. Így a folyamatok pontosan ugyanazokhoz a helyi erőforrásokhoz férnek hozzá, mint a felhasználók. Azoknak a folyamatoknak, amelyeknek szükségük van erre a jogosultságra, a Helyi rendszer fiókot célszerű használniuk (mert az már tartalmazza ezt a jogot), nem egy külön ezzel a jogosultsággal felruházott felhasználói fiókot. Nem kell ezt a jogosultságot felhasználókhoz rendelnie, csak ha vállalata Windows 2000 vagy Windows NT 4.0 rendszert futtató kiszolgálókat használ, amelyek egyszerű szöveges formátumban tárolják a jelszavakat. |
Helyi rendszer |
Munkaállomás hozzáadása a tartományhoz |
Ez határozza meg, hogy mely csoportok vagy felhasználók adhatnak hozzá munkaállomásokat a tartományhoz. Ez a felhasználói jog csak tartományvezérlőkön érvényes. Alapértelmezés szerint minden hitelesített felhasználó rendelkezik ezzel a joggal, és legfeljebb 10 számítógépfiókot hozhat létre a tartományban. A felhasználói fiókok tartományhoz adásával a számítógép felismerheti az Active Directory tartományi szolgáltatások (AD DS) létező fiókjait és csoportjait. |
Tartományvezérlőkön: Hitelesített felhasználók |
Folyamat memóriakvótájának módosítása |
Ez határozza meg, hogy ki jogosult a folyamatok által felhasználható maximális memória mennyiségének a módosítására. Ez a felhasználói jog az alapértelmezett tartományvezérlő csoportházirend-objektumban (GPO), valamint munkaállomások és kiszolgálók helyi biztonsági házirendjében van megadva. |
Rendszergazdák |
Fájlok és mappák biztonsági mentése |
Ez határozza meg, hogy a rendszer biztonsági mentése céljából mely felhasználók jogosultak fájlok, könyvtárak, valamint a beállításjegyzék és más állandó objektumok engedélyeinek mellőzésére. |
Rendszergazdák és Biztonságimásolat-felelősök |
Bejárás ellenőrzésének mellőzése |
Ez határozza meg, mely felhasználók járhatják be a könyvtárszerkezetet még akkor is, ha nem rendelkeznek jogosultságokkal a bejárt könyvtáron. Ez a jogosultság a könyvtárak tartalmának listázását nem, csak a könyvtárak bejárását teszi lehetővé a felhasználók számára. Ez a felhasználói jog az alapértelmezett tartományvezérlőben (GPO), valamint munkaállomások és kiszolgálók helyi biztonsági házirendjében van megadva. |
Munkaállomásokon és kiszolgálókon: Rendszergazdák, Biztonságimásolat-felelősök, Kiemelt felhasználók, Felhasználók és Mindenki Tartományvezérlőkön: Rendszergazdák és Hitelesített felhasználók |
A rendszeridő módosítása |
Ez határozza meg, hogy mely felhasználók és csoportok változtathatják meg a számítógép belső órájának idejét és dátumát. Az ezzel a joggal felruházott felhasználók befolyásolhatják az eseménynaplók megjelenését. A rendszeridő megváltoztatásakor a naplóba kerülő események az új időt tükrözik, nem pedig az esemény bekövetkezésének valódi idejét. Ez a felhasználói jog az alapértelmezett tartományvezérlőben (GPO), valamint munkaállomások és kiszolgálók helyi biztonsági házirendjében van megadva. |
Munkaállomásokon és kiszolgálókon: Rendszergazdák és Kiemelt felhasználók Tartományvezérlőkön: Rendszergazdák és Kiszolgálófelelősök |
Lapozófájl létrehozása |
Lehetővé teszi a felhasználó számára, hogy lapozófájlt hozzon létre, illetve módosítsa annak méretét. Ennek módja, hogy a Rendszertulajdonságok párbeszédpanel Speciális lapja Teljesítménybeállítások lehetőségét választva meghatározza az adott meghajtó lapozófájljának a méretét. |
Rendszergazdák |
Jogkivonat-objektum létrehozása |
Ez a folyamat bármely helyi erőforrás elérésére képes jogkivonat létrehozását teszi lehetővé a Jogkivonat létrehozása lehetőség, vagy más, jogkivonatot létrehozó alkalmazásprogramozási felületet (API) segítségével. Azoknak a folyamatoknak, amelyeknek szükségük van erre a jogosultságra, a Helyi rendszer fiókot célszerű használniuk (mert az már tartalmazza ezt a jogot), nem egy külön ezzel a jogosultsággal felruházott felhasználói fiókot. |
Senki sem |
Globális objektumok létrehozása |
Ez határozza meg, hogy mely fiókok hozhatnak létre globális objektumokat a Terminálszolgáltatások vagy a Távoli asztali szolgáltatások valamely munkamenetében. |
A rendszergazdák és a Helyi rendszer |
Állandó megosztott objektum létrehozása |
Ez a folyamat könyvtárobjektumok létrehozását teszi lehetővé az operációs rendszer objektumkezelőjének használatával. Ez a jogosultság a kernel üzemmódú összetevők esetében hasznos, amelyek kibővítik az objektumnévteret. Mivel a kernel üzemmódban futó összetevők már rendelkeznek ezzel a joggal, nem szükséges azt külön hozzájuk rendelni. |
Senki sem |
Hibakeresés programokban |
Ez határozza meg, hogy mely felhasználók csatolhatnak hibakeresőt egy folyamathoz vagy a kernelhez. A saját alkalmazásaikban hibakeresést végző fejlesztőkhöz nem kell ezt a felhasználói jogot hozzárendelni. Az új rendszerösszetevőkben hibakeresést végző fejlesztőknek viszont szükségük van erre a felhasználói jogra. Ez a felhasználói jog teljes körű hozzáférést biztosít az operációs rendszer érzékeny és kritikus fontosságú összetevőihez. |
A rendszergazdák és a Helyi rendszer |
Megbízható delegáláshoz beállítás engedélyezése számítógépek és felhasználói fiókok részére |
Ez határozza meg, hogy mely felhasználók engedélyezhetik a Megbízható delegáláshoz beállítást egy felhasználó vagy számítógép-objektum számára. Annak a felhasználónak vagy objektumnak, amely megkapja ezt a jogot, írási hozzáféréssel kell rendelkeznie a felhasználó vagy számítógép-objektum fiókfelügyeleti jelzőihez. Egy számítógépen (vagy egy felhasználói környezetben) futó kiszolgálói folyamat, amely esetében a Megbízható delegáláshoz beállítás engedélyezett, az ügyfél delegált hitelesítő adataival hozzáférhet egy másik számítógép erőforrásaihoz, feltéve hogy az ügyfélfiókon a Fiók nem delegálható fiókfelügyeleti jelző nincs beállítva. Ez a felhasználói jog az alapértelmezett tartományvezérlőben (GPO), valamint munkaállomások és kiszolgálók helyi biztonsági házirendjében van megadva. |
Tartományvezérlőkön: Rendszergazdák |
Kényszerített leállítás távoli rendszerről |
Ez határozza meg, hogy mely felhasználók számára engedélyezett a számítógép leállítása a hálózat egy távoli helyéről. Ennek a felhasználói jognak a helytelen használata szolgáltatásmegtagadást okozhat. Ez a felhasználói jog az alapértelmezett tartományvezérlőben (GPO), valamint munkaállomások és kiszolgálók helyi biztonsági házirendjében van megadva. |
Munkaállomásokon és kiszolgálókon: Rendszergazdák Tartományvezérlőkön: Rendszergazdák és Kiszolgálófelelősök |
Biztonsági naplók létrehozása |
Ez határozza meg, hogy a folyamatok mely fiókokat használhatják biztonságinapló-bejegyzések hozzáadására. A biztonsági napló az engedély nélküli rendszerhozzáférések nyomon követésére szolgál. Ennek a felhasználói jognak a helytelen használata túl sok naplóesemény létrehozásához vezethet, és emiatt akár egy támadás bizonyítékai is elsikkadhatnak, vagy szolgáltatásmegtagadás történhet, ha a Naplózás: A rendszer azonnali leállítása, ha nem lehet naplózni a biztonsági eseményeket biztonságiházirend-beállítás engedélyezve van. További információkat a |
Helyi rendszer |
Ügyfél megszemélyesítése hitelesítés után |
Ez határozza meg, hogy mely fiókok számára engedélyezett más fiókok megszemélyesítése. |
A rendszergazdák és a Szolgáltatás |
Az ütemezési prioritás növelése |
Ez határozza meg, hogy mely fiókok tudnak egy folyamatot, amely más folyamatokhoz tulajdonságírási hozzáféréssel rendelkezik, arra használni, hogy növeljék a másik folyamathoz rendelt végrehajtási prioritást. Az ezzel a jogosultsággal rendelkező felhasználók a Feladatkezelő felhasználói felületén tudják módosítani a folyamatok ütemezési prioritását. |
Rendszergazdák |
Eszközillesztők betöltése és eltávolítása |
Ez határozza meg, hogy mely felhasználók tölthetnek be vagy távolíthatnak el dinamikusan eszközillesztőket vagy más kódokat kernel üzemmódban. Ez a felhasználói jog nem vonatkozik a Plug and Play eszközillesztőkre. Mivel az eszközillesztők megbízható (avagy magas jogosultsággal rendelkező) programként futnak, más felhasználókhoz nem ajánlott hozzárendelni ezt a jogot. Helyette használja inkább a StartService() alkalmazásprogramozási felületet. |
Rendszergazdák |
Memórialapok zárolása |
Ez határozza meg, hogy mely fiókok képesek egy folyamat révén a fizikai memóriában tárolni az adatokat, megelőzve, hogy a rendszer a lemezen lévő virtuális memóriába helyezze őket. Ennek a jogosultságnak a gyakorlása jelentősen befolyásolhatja a rendszer teljesítményét, mivel csökkenti a rendelkezésre álló RAM memória mennyiségét. |
Nincs; bizonyos rendszerfolyamatok öröklött jogosultsággal rendelkeznek |
A naplózás és a biztonsági napló kezelése |
Ez határozza meg, hogy mely felhasználók adhatnak meg objektumhozzáférés-naplózási beállításokat az egyedi erőforrások, például fájlok, Active Directory-objektumok és beállításkulcsok számára. Ez a biztonsági beállítás nem teszi lehetővé, hogy a felhasználók engedélyezzék a fájl- és objektum-hozzáférés naplózását. Az ilyen fajta naplózás engedélyezéséhez az Objektum-hozzáférés naplózása beállítást kell konfigurálni a Számítógép konfigurációja\A Windows beállításai\Biztonsági beállítások\Helyi házirendek\Naplózási házirendek mappában. További információt az A naplózott eseményeket az Eseménynapló Biztonsági naplójában tekintheti meg. Ezzel a jogosultsággal bárki megtekintheti és törölheti is a biztonsági naplót. |
Rendszergazdák |
Belső vezérlőprogram környezeti értékeinek módosítása |
Ez határozza meg, ki módosíthatja a belső vezérlőprogram környezeti értékeit. A belső vezérlőprogram változóit a nem x86-alapú számítógépek nem felejtő RAM memóriája tárolja. A beállítás hatása a processzortól függ.
|
A rendszergazdák és a Helyi rendszer |
Egyetlen folyamat kiértékelése |
Ez határozza meg, hogy mely felhasználók használhatnak teljesítményfigyelő eszközöket a nem rendszerfolyamatok teljesítményének figyelésére. |
A rendszergazdák, a Kiemelt felhasználók és a Helyi rendszer |
A rendszerteljesítmény kiértékelése |
Ez határozza meg, hogy mely felhasználók használhatnak teljesítményfigyelő eszközöket a rendszerfolyamatok teljesítményének figyelésére. |
A rendszergazdák és a Helyi rendszer |
Számítógép dokkolásának megszüntetése |
Ez határozza meg, hogy a felhasználók megszüntethetik-e egy hordozható számítógép dokkolását bejelentkezés nélkül. Ha a házirend engedélyezve van, a felhasználónak be kell jelentkeznie, mielőtt a hordozható számítógép dokkolását megszüntetné. Ha a házirend le van tiltva, a felhasználó bejelentkezés nélkül is megszüntetheti a hordozható számítógép dokkolását. |
Letiltva |
Folyamatszintű jogkivonat lecserélése |
Ez határozza meg, hogy mely felhasználói fiókok kezdeményezhetik egy elindított alfolyamathoz tartozó alapértelmezett jogkivonat lecserélési folyamatát. Ez a felhasználói jog az alapértelmezett tartományvezérlőben (GPO), valamint munkaállomások és kiszolgálók helyi biztonsági házirendjében van megadva. |
Helyi szolgáltatás és Hálózati szolgáltatás |
Fájlok és mappák visszaállítása |
Ez határozza meg, hogy a fájlok és a mappák biztonsági mentésből való visszaállításakor mely felhasználók jogosultak a fájlok, a könyvtárak, a beállításjegyzék és más állandó objektumok engedélyeinek mellőzésére, és mely felhasználók állíthatnak be az objektum tulajdonosaként egy érvényes rendszerbiztonsági tagot. Ez a felhasználói jog kimondottan hasonlít ahhoz, amikor egy felhasználó vagy csoport a rendszer összes fájljára és mappájára vonatkozóan megkapja a következő jogosultságokat:
| Munkaállomásokon és kiszolgálókon: Rendszergazdák és Biztonságimásolat-felelősök Tartományvezérlőkön: Rendszergazdák, Biztonságimásolat-felelősök és Kiszolgálófelelősök |
A rendszer leállítása |
Ez határozza meg, hogy a számítógépre helyileg bejelentkezett felhasználók közül kik állíthatják le az operációs rendszert a Leállítás parancs használatával. Ennek a felhasználói jognak a helytelen használata szolgáltatásmegtagadást okozhat. | Munkaállomásokon: Rendszergazdák, Biztonságimásolat-felelősök, Kiemelt felhasználók és Felhasználók Kiszolgálókon: Rendszergazdák, Biztonságimásolat-felelősök és Kiemelt felhasználók Tartományvezérlőkön: Fiókfelelősök, Rendszergazdák, Biztonságimásolat-felelősök, Kiszolgálófelelősök és Nyomtatófelelősök |
Címtár-szolgáltatási adatok szinkronizálása |
Ez határozza meg, hogy mely felhasználók és csoportok jogosultak a címtár-szolgáltatási adatok szinkronizálására. Más néven Active Directory-szinkronizációként is ismert. |
Nincs |
Fájlok és más objektumok saját tulajdonba vétele |
Ez határozza meg, hogy mely felhasználók vehetik át a rendszer biztonságos objektumainak tulajdonjogát. Ilyen objektumok például az Active Directory-objektumok, a fájlok, a mappák, a nyomtatók, a beállításkulcsok, a folyamatok és a szálak. | Rendszergazdák |
Bizonyos jogosultságok felülbírálhatják az egyes objektumokhoz beállított engedélyeket. Például a Biztonságimásolat-felelősök csoport tagjaként egy tartományfiókba bejelentkező felhasználónak jogában áll biztonságimásolat-készítést végezni az összes tartománykiszolgáló számára. Ez viszont megköveteli az adott kiszolgálókon lévő összes fájl olvasásának a képességét, még azokét is, amelyekhez pedig tulajdonosaik az összes felhasználó, azaz a Biztonságimásolat-felelősök csoport tagjai hozzáférését is kifejezetten megtagadó beállítást adtak meg, Egy ilyen felhasználói jog, vagyis esetünkben a biztonsági másolat készítésének a joga tehát elsőbbséget élvez az összes fájl- és könyvtárengedéllyel szemben. További információt ebben a témakörben a következő webhelyen talál:
Megjegyzés | |
Jogosultságai megtekintéséhez a parancssorba a whoami /priv parancsot írhatja be. |