Door middel van gebruikersrechten kunt u gebruikers en groepen in uw computeromgeving speciale bevoegdheden en aanmeldingsrechten verlenen. Administrators kunnen bepaalde rechten toewijzen aan groepsaccounts of individuele gebruikersaccounts. Deze rechten geven gebruikers een machtiging voor het uitvoeren van specifieke handelingen, zoals interactief aanmelden bij een systeem of back-ups maken van bestanden en mappen.

Om het beheren van gebruikersaccounts te vereenvoudigen, kunt u bevoegdheden beter toewijzen aan groepsaccounts in plaats van aan afzonderlijke gebruikersaccounts. Wanneer u bevoegdheden aan een groepsaccount toewijst, worden die bevoegdheden automatisch aan gebruikers toegewezen wanneer ze lid worden van die groep. Deze methode voor het beheren van bevoegdheden is veel eenvoudiger dan het toewijzen van afzonderlijke bevoegdheden aan elk gebruikersaccount wanneer het account wordt gemaakt.

In de volgende tabel worden de bevoegdheden beschreven die aan een gebruiker kunnen worden verleend.

Bevoegdheid Beschrijving Standaardinstelling

Functioneren als deel van het besturingssysteem

Met dit gebruikersrecht kan een willekeurige gebruiker zonder verificatie door een proces worden nagebootst. Het proces kan daarom toegang verkrijgen tot dezelfde lokale bronnen als die gebruiker.

Processen waarvoor deze bevoegdheid is vereist, moeten het lokale systeemaccount gebruiken dat deze bevoegdheid al bevat, in plaats van een afzonderlijk gebruikersaccount waaraan deze bevoegdheid is toegewezen. Als in uw organisatie echter servers met Windows 2000 of Windows NT 4.0 worden gebruikt, moet u deze bevoegdheid toewijzen om toepassingen te kunnen gebruiken waarbij wachtwoorden als normale tekst worden uitgewisseld.

Lokaal systeem

Werkstations toevoegen aan domein

Hiermee wordt bepaald welke groepen of gebruikers werkstations kunnen toevoegen aan een domein.

Dit gebruikersrecht is alleen geldig op domeincontrollers Elke geverifieerde gebruiker beschikt standaard over dit recht en kan maximaal tien computeraccounts in het domein maken.

Als u een computeraccount toevoegt aan het domein, kan de computer accounts en groepen herkennen die in Active Directory Domain Services (AD DS) aanwezig zijn.

Domeincontrollers: Geverifieerde gebruikers

Geheugenquota voor een proces verhogen

Hiermee wordt bepaald wie het maximumgeheugen kan wijzigen dat door een proces kan worden gebruikt.

Dit gebruikersrecht wordt gedefinieerd in het standaardgroepsbeleidsobject van een domeincontroller en in het lokale beveiligingsbeleid van werkstations en servers.

Administrators

Back-ups maken van bestanden en mappen

Hiermee wordt bepaald welke gebruikers machtigingen voor bestanden en mappen, het register en andere permanente objecten kunnen omzeilen om een back-up van het systeem te maken.

Administrators en Back-upoperators

Controle op bladeren negeren

Hiermee wordt bepaald welke gebruikers in mapstructuren kunnen bladeren zonder dat ze hiervoor machtigingen hebben. De gebruiker kan de inhoud van de mapstructuur niet zien, maar alleen door de structuur bladeren.

Dit gebruikersrecht wordt gedefinieerd in het standaardgroepsbeleidsobject van een domeincontroller en in het lokale beveiligingsbeleid van werkstations en servers.

Werkstations en servers: Administrators, Back-upoperators, Hoofdgebruikers, Gebruikers en Iedereen

Domeincontrollers: Administrators en Geverifieerde gebruikers

Systeemtijd wijzigen

Hiermee wordt bepaald welke gebruikers en groepen de tijd en datum van de interne klok van de computer kunnen wijzigen. Gebruikers aan wie dit gebruikersrecht wordt toegewezen, kunnen op deze manier de weergave van vermeldingen in gebeurtenislogboeken wijzigen. Als de systeemtijd wordt gewijzigd, wordt de werkelijke tijd waarop gebeurtenissen zijn uitgevoerd, in het logboek aangepast aan deze nieuwe tijd.

Dit gebruikersrecht wordt gedefinieerd in het standaardgroepsbeleidsobject van een domeincontroller en in het lokale beveiligingsbeleid van werkstations en servers.

Werkstations en servers: Administrators en Hoofdgebruikers

Domeincontrollers: Administrators en Serveroperators

Wisselbestand maken

De gebruiker mag een wisselbestand maken en de grootte van dat bestand wijzigen. De grootte van het wisselbestand voor een bepaald station wordt opgegeven onder Instellingen voor prestaties op het tabblad Geavanceerd van Systeemeigenschappen.

Administrators

Tokenobject maken

Een proces kan een token maken waarmee toegang tot lokale bronnen kan worden verkregen wanneer het proces gebruikmaakt van NtCreateToken() of andere API's die tokens maken.

Processen waarvoor deze bevoegdheid is vereist, moeten het lokale systeemaccount gebruiken dat deze bevoegdheid al bevat, in plaats van een afzonderlijk gebruikersaccount waaraan deze bevoegdheid is toegewezen.

Niemand

Globale objecten maken

Hiermee wordt bepaald welke accounts globale objecten kunnen maken in een Terminal Services-sessie of een sessie voor Extern bureaublad-services.

Administrators en Lokaal systeem

Permanent gedeelde objecten maken

Met een proces kan een mapobject worden gemaakt in objectbeheer van het besturingssysteem. Deze bevoegdheid is handig voor kernelmodusonderdelen die een uitbreiding zijn van de objectnaamruimte. Deze bevoegdheid is al toegewezen aan onderdelen die in de kernelmodus worden uitgevoerd, zodat u deze daaraan niet specifiek hoeft toe te wijzen.

Niemand

Fouten in programma's opsporen

Hiermee wordt bepaald welke gebruikers een foutopsporingsprogramma aan een proces of de kernel kunnen koppelen. U hoeft dit gebruikersrecht niet toe te wijzen aan ontwikkelaars die fouten in hun eigen toepassingen opsporen, maar wel aan ontwikkelaars die fouten in nieuwe systeemonderdelen willen opsporen. Dit gebruikersrecht biedt volledige toegang tot gevoelige en essentiële onderdelen van het besturingsysteem.

Administrators en Lokaal systeem

Computer- en gebruikersaccounts inschakelen als vertrouwd voor delegeren

Hiermee wordt bepaald welke gebruikers de instelling Vertrouwd voor delegeren kunnen inschakelen voor een gebruiker of computerobject.

De gebruiker of het object waaraan dit recht wordt verleend, moet schrijftoegang hebben tot de accountcontrolemarkeringen voor de gebruiker of het computerobject. Een serverproces dat op een computer (of in een gebruikerscontext) wordt uitgevoerd en dat wordt vertrouwd voor delegeren, heeft toegang tot bronnen op een andere computer waarop gedelegeerde referenties van een client worden gebruikt. Dit is alleen van toepassing als voor het clientaccount niet de accountcontrolemarkering Account kan niet worden gedelegeerd is ingesteld.

Dit gebruikersrecht wordt gedefinieerd in het standaardgroepsbeleidsobject van een domeincontroller en in het lokale beveiligingsbeleid van werkstations en servers.

Domeincontrollers: Administrators

Afsluiten vanaf een extern systeem

Hiermee wordt bepaald welke gebruikers een computer vanaf een externe locatie in het netwerk mogen afsluiten. Misbruik van dit gebruikersrecht kan leiden tot een Denial of Service-aanval.

Dit gebruikersrecht wordt gedefinieerd in het standaardgroepsbeleidsobject van een domeincontroller en in het lokale beveiligingsbeleid van werkstations en servers.

Werkstations en servers: Administrators

Domeincontrollers: Administrators en Serveroperators

Beveiligingscontrole genereren

Hiermee wordt bepaald welke accounts door een proces kunnen worden gebruikt voor het toevoegen van vermeldingen aan het beveiligingslogboek. Het beveiligingslogboek wordt gebruikt om niet-geautoriseerde systeemtoegang te traceren. Misbruik van dit gebruikersrecht kan leiden tot veel controlegebeurtenissen, waarmee mogelijk bewijs van een aanval wordt verborgen of een Denial of Service-aanval wordt veroorzaakt als de beleidsinstelling Controle: systeem onmiddellijk afsluiten als beveiligingscontroles niet in logboek kunnen worden opgeslagen is ingeschakeld. Zie voor meer informatie Controle: systeem onmiddellijk afsluiten als beveiligingscontroles niet in logboek kunnen worden opgeslagen (https://go.microsoft.com/fwlink/?LinkId=136299) (pagina is mogelijk Engelstalig).

Lokaal systeem

Een client nabootsen na verificatie

Hiermee wordt bepaald welke accounts andere accounts mogen nabootsen.

Administrators en Service

Prioriteit verhogen voor planning

Hiermee wordt bepaald door welke accounts een proces met schrijftoegang tot een ander proces kan worden gebruikt om de uitvoeringsprioriteit te verhogen die aan het andere proces is toegewezen. Een gebruiker met dit recht kan de planningsprioriteit van een proces wijzigen in de gebruikersinterface Taakbeheer.

Administrators

Stuurprogramma's laden en verwijderen

Hiermee wordt bepaald welke gebruikers dynamisch apparaatstuurprogramma's of andere code in de kernelmodus kunnen laden en verwijderen. Dit gebruikersrecht is niet van toepassing op Plug en Play-stuurprogramma's. Omdat apparaatstuurrogramma's worden uitgevoerd als vertrouwde programma's (of programma's met bijzondere rechten), moet u deze bevoegdheid niet aan andere gebruikers toewijzen. Gebruik in plaats daarvan de API StartService().

Administrators

Pagina's in het geheugen vergrendelen

Met deze beveiligingsinstelling wordt bepaald door welke accounts een proces kan worden gebruikt om gegevens in het fysieke geheugen te bewaren. Zo wordt voorkomen dat de gegevens op de schijf worden opgeslagen. Door dit recht kan de beschikbare hoeveelheid RAM-geheugen aanzienlijk afnemen en kunnen de systeemprestaties verslechteren.

Geen. Bepaalde systeemprocessen hebben de bevoegdheid automatisch overgenomen.

Controlebeleid en beveiligingslogboek beheren

Hiermee wordt bepaald welke gebruikers controleopties voor objecttoegang kunnen opgeven voor afzonderlijke bronnen, zoals bestanden, Active Directory-objecten en registersleutels.

Met deze beveiligingsinstelling kan een gebruiker geen controlebeleid voor bestands- en objecttoegang inschakelen. Hiervoor moet u de instelling in Computerconfiguratie\Windows-instellingen\Beveiligingsinstellingen\Lokaal beleid\Controlebeleid configureren. Zie het onderwerp over objecttoegang controleren (https://go.microsoft.com/fwlink/?LinkId=136283) voor meer informatie (pagina is mogelijk Engelstalig).

U kunt gecontroleerde gebeurtenissen bekijken in het beveiligingslogboek in Logboeken. Een gebruiker met dit recht kan het beveiligingslogboek ook weergeven en wissen.

Administrators

Omgevingswaarden in firmware wijzigen

Hiermee wordt bepaald wie omgevingswaarden in firmware kan wijzigen. Omgevingswaarden in firmware zijn instellingen die zijn opgeslagen in het niet-vluchtige RAM-geheugen van niet-x86-computers. Het effect van de instelling is afhankelijk van de processor.

  • Op x86-computers kan met dit gebruikersrecht alleen de omgevingswaarde Laatste bekende juiste configuratie worden gewijzigd. Deze instelling mag echter alleen door het systeem worden gewijzigd.

  • Op Itanium-computers zijn de opstartgegevens opgeslagen in het niet-vluchtige RAM-geheugen. Gebruikers moeten over dit gebruikersrecht beschikken om Bootcfg.exe te kunnen uitvoeren en de instelling Standaardbesturingssysteem in Opstart- en herstelinstellingen in Systeemeigenschappen te kunnen wijzigen.

  • Op alle computers is dit gebruikersrecht vereist om Windows te kunnen installeren of bij te werken.

Administrators en Lokaal systeem

Een enkel proces bekijken

Hiermee wordt bepaald welke gebruikers hulpprogramma's kunnen gebruiken om de prestaties van niet-systeemprocessen te meten.

Administrators, Hoofdgebruikers en Lokaal systeem

Systeemprestaties bekijken

Hiermee wordt bepaald welke gebruikers hulpprogramma's kunnen gebruiken om de prestaties van systeemprocessen te meten.

Administrators en Lokaal systeem

Computer uit basisstation verwijderen

Hiermee wordt bepaald of een gebruiker een draagbare computer kan loskoppelen van het basisstation zonder zich aan te melden.

Als dit beleid is ingeschakeld, moet de gebruiker zich aanmelden voordat de draagbare computer uit het basisstation kan worden verwijderd. Als dit beleid is uitgeschakeld, kan de gebruiker de draagbare computer uit het basisstation verwijderen zonder zich aan te melden.

Uitgeschakeld

Token op procesniveau vervangen

Hiermee wordt bepaald met welke gebruikersaccounts een proces kan worden gestart om het standaardtoken te vervangen dat is gekoppeld aan een gestart subproces.

Dit gebruikersrecht wordt gedefinieerd in het standaardgroepsbeleidsobject van een domeincontroller en in het lokale beveiligingsbeleid van werkstations en servers.

Lokale service en Netwerkservice

Bestanden en mappen terugzetten

Hiermee wordt bepaald welke gebruikers machtigingen voor bestanden, mappen, het register en andere permanente objecten kunnen vervangen tijdens het terugzetten van back-ups van bestanden en mappen. Ook kunt u hiermee bepalen welke gebruikers een geldige beveiligings-principal als eigenaar van een object kunnen instellen.

Dit gebruikersrecht is hetzelfde als het verlenen van de volgende machtigingen aan de gebruiker of groep voor alle bestanden en mappen in het systeem:

  • Door map bladeren/bestand uitvoeren

  • Schrijven

Werkstations en servers: Administrators en Back-upoperators

Domeincontrollers: Administrators, Back-upoperators en Serveroperators

Systeem afsluiten

Hiermee wordt bepaald welke lokaal aangemelde gebruikers het besturingssysteem kunnen afsluiten met de opdracht Afsluiten. Misbruik van dit gebruikersrecht kan leiden tot een Denial of Service-aanval.

Werkstations: Administrators, Back-upoperators, Hoofdgebruikers en Gebruikers

Servers: Administrators, Back-upoperators en Hoofdgebruikers

Domeincontrollers: Accountoperators, Administrators, Back-upoperators, Serveroperators en Printeroperators

Directory-servicegegevens synchroniseren

Hiermee wordt bepaald welke gebruikers en groepen alle directory-servicegegevens kunnen synchroniseren. Dit wordt ook wel Active Directory-synchronisatie genoemd.

Geen

Eigenaar worden van bestanden of andere objecten

Hiermee wordt bepaald welke gebruikers eigenaar kunnen worden van beveiligbare objecten in het systeem, zoals Active Directory-objecten, bestanden en mappen, printers, registersleutels, processen en threads.

Administrators

Sommige bevoegdheden kunnen machtigingen overschrijven die voor een object zijn ingesteld. Een gebruiker die bijvoorbeeld bij een domeinaccount is aangemeld als lid van de groep Back-upoperators, heeft het recht om back-upbewerkingen uit te voeren voor alle domeinservers. Hiervoor moet de gebruiker echter alle bestanden op die servers kunnen lezen, zelfs bestanden waarvoor eigenaren machtigingen hebben ingesteld waarmee de toegang expliciet wordt geweigerd aan alle gebruikers, inclusief leden van de groep Back-upoperators. Een gebruikersrecht, in dit geval het recht om een back-up te maken, heeft een hogere prioriteit dan alle bestands- en mapmachtigingen. Zie het onderwerp over het maken en terugzetten van back-ups (https://go.microsoft.com/fwlink/?LinkID=131606) voor meer informatie (pagina is mogelijk Engelstalig).

Opmerking

Bij een opdrachtprompt kunt u whoami /priv typen om uw bevoegdheden weer te geven.


Inhoudsopgave