Brukerrettigheter gir bestemte privilegier og påloggingsrettigheter til brukere og grupper i datamiljøet. Administratorer kan tildele spesielle rettigheter til gruppekontoer eller individuelle brukerkontoer Disse rettighetene gir brukerne rett til å utføre bestemte handlinger, som å logge på et system interaktivt eller sikkerhetskopiere filer og mapper.
For å gjøre det lettere å administrere brukerkontoer bør du primært tilordne rettigheter til gruppekontoer i stedet for til individuelle brukerkontoer. Når du tilordner rettigheter til en gruppekonto, tilordnes brukerne automatisk disse rettighetene når de blir medlem av gruppen. Denne metoden med å administrere rettigheter er mye lettere enn å tilordne individuelle rettigheter til hver brukerkonto når kontoen opprettes.
Tabellen nedenfor viser og beskriver rettighetene som kan tilordnes til en bruker.
| Rettighet | Beskrivelse | Standardinnstilling |
|---|---|---|
|
Fungerer som en del av operativsystemet |
Tillater at en prosess representerer en bruker uten godkjenning. Prosessen kan derfor gi tilgang til de samme lokale ressursene som brukeren. Prosesser som krever denne rettigheten, bør bruke den lokale systemkontoen, som allerede har denne rettigheten, i stedet for å bruke en separat brukerkonto med denne rettigheten spesielt tilordnet. Du trenger ikke å tilordne denne rettigheten til brukere med mindre organisasjonen bruker servere som kjører Windows 2000 eller Windows NT 4.0, og bruker programmer som utveksler passord i ren tekst. |
Lokalt system |
|
Legg til arbeidsstasjoner i domene |
Bestemmer hvilke grupper eller brukere som kan legge til arbeidsstasjoner i et domene. Denne brukerrettigheten er bare gyldig for domenekontrollere. Alle godkjente brukere har denne rettigheten som standard og kan opprette opptil ti datamaskinkontoer i domenet. Når du legger til en datamaskin i et domene, kan datamaskinen gjenkjenne kontoer og grupper som finnes i AD DS (Active Directory Domain Services). |
Domenekontrollere: Godkjente brukere |
|
Juster minnekvoter for en prosess |
Bestemmer hvem som kan endre den maksimale minnestørrelsen som kan brukes av en prosess. Denne brukerrettigheten defineres i standard gruppepolicyobjekt (GPO) for domenekontrolleren, og i den lokale sikkerhetspolicyen for arbeidsstasjoner og servere. |
Administratorer |
|
Sikkerhetskopier filer og kataloger |
Bestemmer hvilke brukere som kan forbigå tillatelser for filer, kataloger, register og andre faste objekter i den hensikt å sikkerhetskopiere systemet. |
Administratorer og Sikkerhetskopioperatører |
|
Hopp over kontroll av traversering |
Bestemmer hvilke brukere som kan traversere katalogtrær selv om de ikke har tillatelser for den traverserte katalogen. Tillatelsen gir ikke brukerne tillatelse til å vise innholdet i en katalog, bare til å traversere kataloger. Denne brukerrettigheten defineres i standard gruppepolicyobjekt (GPO) for domenekontrolleren, og i den lokale sikkerhetspolicyen for arbeidsstasjoner og servere. |
Arbeidsstasjoner og servere: Administratorer, Sikkerhetskopioperatører, Privilegerte brukere, Brukere og Alle Domenekontrollere: Administratorer og Godkjente brukere |
|
Still systemklokken |
Bestemmer hvilke brukere og grupper som kan stille klokkeslett og dato på den interne klokken i datamaskinen. Brukere som har fått tildelt denne rettigheten, kan påvirke utseendet på hendelseslogger. Hvis systemklokken endres, viser loggede hendelser denne nye tidsinnstillingen, og ikke den faktiske tiden da hendelsen skjedde. Denne brukerrettigheten defineres i standard gruppepolicyobjekt (GPO) for domenekontrolleren, og i den lokale sikkerhetspolicyen for arbeidsstasjoner og servere. |
Arbeidsstasjoner og servere: Administratorer og Privilegerte brukere Domenekontrollere: Administratorer og Serveroperatører |
|
Opprett en sidevekslingsfil |
Tillater at brukeren oppretter og endrer størrelsen på en sidevekslingsfil. Dette gjøres ved å angi en størrelse for sidevekslingsfil for en bestemt stasjoner under Ytelsesalternativer i kategorien Avansert i Systemegenskaper. |
Administratorer |
|
Opprett tokenobjekt |
Tillater at en prosess oppretter et token som kan brukes til å få tilgang til alle lokale ressurser når prosessen bruker NtCreateToken() eller andre APIer for opprettelse av token. Prosesser som krever denne rettigheten, bør bruke den lokale systemkontoen, som allerede har denne rettigheten, i stedet for å bruke en separat brukerkonto med denne rettigheten spesielt tilordnet. |
Ingen |
|
Opprett globale objekter |
Bestemmer hvilke kontoer som kan opprette globale objekter i en Terminal Services- eller Eksterne skrivebordstjenester-økt. |
Administratorer og Lokalt system |
|
Opprett permanente, delte objekter |
Tillater at en prosess oppretter et katalogobjekt i operativsystemets objektbehandling. Denne rettigheten er nyttig for kjernemoduskomponenter som utvider objektnavneområdet. Komponenter som kjører i kjernemodus, har allerede denne rettigheten, og det er ikke nødvendig å tildele den. |
Ingen |
|
Feilsøk programmer |
Bestemmer hvilke brukere som kan knytte et feilsøkingsprogram til en prosess eller til kjernen. Utviklere som feilsøker sine egne programmer, trenger ikke å få tilordnet denne brukerrettigheten. Utviklere som feilsøker nye systemkomponenter, må tilordnes rettigheten. Denne brukerrettigheten gir full tilgang til sensitive og kritiske operativsystemkomponenter. |
Administratorer og Lokalt system |
|
Gjør det mulig for datamaskin og brukerkontoer å bli klarert for delegering |
Bestemmer hvilke brukere som kan angi innstillingen Klarert for delegering for en bruker eller et datamaskinobjekt. Brukeren eller objektet som tildeles denne rettigheten, må ha skrivetilgang til kontokontrollflaggene for brukeren eller datamaskinobjektet. En serverprosess som kjører på en datamaskin (eller under en brukerkontekst) som er klarert for delegering, får tilgang til ressurser på en annen datamaskin ved å bruke den delegerte legitimasjonen for en klient så lenge klientkontoen ikke har kontrollflagget Kontoen kan ikke delegeres angitt. Denne brukerrettigheten defineres i standard gruppepolicyobjekt (GPO) for domenekontrolleren, og i den lokale sikkerhetspolicyen for arbeidsstasjoner og servere. |
Domenekontrollere: Administratorer |
|
Fremtving avslutning fra et eksternt system |
Bestemmer hvilke brukere som har tillatelse til å slå av en datamaskin fra et eksternt sted på nettverket. Feil bruk av denne brukerrettigheten kan føre til tjenestenekt. Denne brukerrettigheten defineres i standard gruppepolicyobjekt (GPO) for domenekontrolleren, og i den lokale sikkerhetspolicyen for arbeidsstasjoner og servere. |
Arbeidsstasjoner og servere: Administratorer Domenekontrollere: Administratorer og Serveroperatører |
|
Generer sikkerhetskontroller |
Bestemmer hvilke kontoen som kan brukes av en prosess til å legge til oppføringer i sikkerhetsloggen. Sikkerhetsloggen brukes til å spore uautorisert systemtilgang. Feil bruk av denne brukerrettigheten kan føre til generering av mange overvåkingshendelser og eventuelt skjule bevis på et angrep eller forårsake tjenestenekt hvis sikkerhetspolicyinnstillingen Overvåk: Avslutt system umiddelbart hvis sikkerhetslogger ikke kan overvåkes aktiveres. Se |
Lokalt system |
|
Representer klient etter godkjenning |
Bestemmer hvilke kontoer som har tillatelse til å representere andre kontoer. |
Administratorer og Tjeneste |
|
Øk planleggingsprioritet |
Bestemmer hvilke kontoer som kan bruke en prosess med tilgangen Skrive egenskap til en annen prosess for å øke kjøreprioriteten som er tilordnet den andre prosessen. En bruker med denne rettigheten kan endre planleggingsprioriteten for en prosess gjennom brukergrensesnittet Oppgavebehandling. |
Administratorer |
|
Last inn og ut enhetsdrivere |
Bestemmer hvilke brukere som dynamisk kan laste inn eller ut enhetsdrivere eller annen kode til/fra kjernemodus. Denne brukerrettigheten gjelder ikke for Plug and Play-enhetsdrivere. Ettersom enhetsdrivere kjører som klarerte (eller høyt privilegerte) programmer, bør du ikke tilordne denne rettigheten til andre brukere. Bruk i stedet APIen StartService(). |
Administratorer |
|
Lås sider i minnet |
Bestemmer hvilke kontoer som kan bruke en prosess til å beholde data i det fysiske minnet, noe som hindrer systemet i å lagre sidevekslingsdata i det virtuelle minnet på disken. Bruk av denne rettigheten kan påvirke systemytelsen betydelig ved å redusere størrelsen på det tilgjengelige RAM-minnet. |
Ingen, visse systemprosesser har allerede denne rettigheten |
|
Behandle overvåking og sikkerhetslogg |
Bestemmer hvilke brukere som kan angi alternativer for overvåking av objekttilgang for individuelle ressurser, for eksempel filer, Active Directory-objekter og registernøkler. Denne sikkerhetsinnstillingen tillater ikke at en bruker aktiverer overvåking av fil- og objekttilgang. Hvis slik overvåking skal aktiveres, må innstillingen Overvåk objekttilgang i Datamaskinkonfigurasjon\Windows-innstillinger\Sikkerhetsinnstillinger\Lokale policyer\Overvåkingspolicyer konfigureres. Se Du kan vise overvåkede hendelser i sikkerhetsloggen i Hendelsesliste. En bruker med denne rettigheten kan også vise og tømme sikkerhetsloggen. |
Administratorer |
|
Endre miljøverdier for fastvare |
Bestemmer hvem som kan endre miljøverdier for fastvare. Miljøverdier for fastvare er innstillinger som er lagret i det permanente RAM-minnet på ikke-x86-baserte datamaskiner. Effekten av innstillingen avhenger av prosessoren.
|
Administratorer og Lokalt system |
|
Profiler enkel prosess |
Bestemmer hvilke brukere som kan bruke verktøy for ytelsesovervåking til å overvåke ytelsen til prosesser som ikke er systemprosesser. |
Administratorer, Privilegerte brukere og Lokalt system |
|
Profiler systemytelse |
Bestemmer hvilke brukere som kan bruke verktøy for ytelsesovervåking til å overvåke ytelsen til systemprosesser. |
Administratorer og Lokalt system |
|
Fjern datamaskin fra forankringsstasjon |
Bestemmer om en bruker kan koble en bærbar datamaskin fra forankringsstasjonen uten å logge på. Hvis denne policyen aktiveres, må brukeren logge seg på før den bærbare datamaskinen fjernes fra forankringsstasjonen. Hvis policyen deaktiveres, kan brukeren fjerne den bærbare datamaskinen fra forankringsstasjonen uten å logge på. |
Deaktivert |
|
Erstatt prosessnivåtoken |
Bestemmer hvilke brukerkontoer som kan starte en prosess for å erstatte standardtokenet som er knyttet til en startet underprosess. Denne brukerrettigheten defineres i standard gruppepolicyobjekt (GPO) for domenekontrolleren, og i den lokale sikkerhetspolicyen for arbeidsstasjoner og servere. |
Lokal tjeneste og Nettverkstjeneste |
|
Gjenopprett filer og kataloger |
Bestemmer hvilke brukere som kan forbigå tillatelser for filer, kataloger, register og andre faste objekter ved gjenoppretting av sikkerhetskopierte filer og kataloger, og bestemmer hvilke brukere som kan angi en gyldig sikkerhetskontohaver som eier av et objekt. Spesifikt er denne brukerrettigheten det samme som å gi følgende tillatelser til en bruker eller gruppe for alle filer og mapper i systemet:
| Arbeidsstasjoner og servere: Administratorer og Sikkerhetskopioperatører Domenekontrollere: Administratorer, Sikkerhetskopioperatører og Serveroperatører |
|
Slå av systemet |
Bestemmer hvilke lokalt påloggede brukere som kan slå av operativsystemet med kommandoen Slå av. Feil bruk av denne brukerrettigheten kan føre til tjenestenekt. | Arbeidsstasjoner: Administratorer, Sikkerhetskopioperatører, Privilegerte brukere og Brukere Servere: Administratorer, Sikkerhetskopioperatører og Privilegerte brukere Domenekontrollere: Kontooperatører, Administratorer, Sikkerhetskopioperatører, Serveroperatører og Skriveroperatører |
|
Synkroniser data fra katalogtjenesten |
Bestemmer hvilke brukere og grupper som har myndighet til å synkronisere alle katalogtjenestedata. Dette kalles også Active Directory-synkronisering. |
Ingen |
|
Ta eierskap over filer eller andre objekter |
Bestemmer hvilke brukere som kan ta eierskap over objekter som kan sikres i systemet, inkludert Active Directory-objekter, filer og mapper, skrivere, registernøkler, prosesser og tråder. | Administratorer |
Enkelte privilegier kan overstyre tillatelser som er angitt for et objekt. En bruker som er logget på en domenekonto som medlem av gruppen Sikkerhetskopioperatører, har for eksempel tillatelse til å utføre sikkerhetskopioperasjoner for alle domeneservere. Dette krever imidlertid mulighet til å lese alle filer på disse serverne, også filer som eierne eksplisitt har nektet alle brukere tilgang til, inkludert medlemmer av gruppen Sikkerhetskopioperatører. En brukerrettighet – i dette tilfellet rettigheten til å ta sikkerhetskopi – går foran alle fil- og katalogtillatelser. Se
 | Obs! |
Ved en ledetekst kan du skrive inn whoami /priv for å se hvilke rettigheter du har. |