Door middel van gebruikersrechten kunt u gebruikers en groepen in uw computeromgeving speciale bevoegdheden en aanmeldingsrechten verlenen. Administrators kunnen bepaalde rechten toewijzen aan groepsaccounts of individuele gebruikersaccounts. Deze rechten geven gebruikers een machtiging voor het uitvoeren van specifieke handelingen, zoals interactief aanmelden bij een systeem of back-ups maken van bestanden en mappen.
Om het beheren van gebruikersaccounts te vereenvoudigen, kunt u bevoegdheden beter toewijzen aan groepsaccounts in plaats van aan afzonderlijke gebruikersaccounts. Wanneer u bevoegdheden aan een groepsaccount toewijst, worden die bevoegdheden automatisch aan gebruikers toegewezen wanneer ze lid worden van die groep. Deze methode voor het beheren van bevoegdheden is veel eenvoudiger dan het toewijzen van afzonderlijke bevoegdheden aan elk gebruikersaccount wanneer het account wordt gemaakt.
In de volgende tabel worden de bevoegdheden beschreven die aan een gebruiker kunnen worden verleend.
| Bevoegdheid | Beschrijving | Standaardinstelling |
|---|---|---|
|
Functioneren als deel van het besturingssysteem |
Met dit gebruikersrecht kan een willekeurige gebruiker zonder verificatie door een proces worden nagebootst. Het proces kan daarom toegang verkrijgen tot dezelfde lokale bronnen als die gebruiker. Processen waarvoor deze bevoegdheid is vereist, moeten het lokale systeemaccount gebruiken dat deze bevoegdheid al bevat, in plaats van een afzonderlijk gebruikersaccount waaraan deze bevoegdheid is toegewezen. Als in uw organisatie echter servers met Windows 2000 of Windows NT 4.0 worden gebruikt, moet u deze bevoegdheid toewijzen om toepassingen te kunnen gebruiken waarbij wachtwoorden als normale tekst worden uitgewisseld. |
Lokaal systeem |
|
Werkstations toevoegen aan domein |
Hiermee wordt bepaald welke groepen of gebruikers werkstations kunnen toevoegen aan een domein. Dit gebruikersrecht is alleen geldig op domeincontrollers Elke geverifieerde gebruiker beschikt standaard over dit recht en kan maximaal tien computeraccounts in het domein maken. Als u een computeraccount toevoegt aan het domein, kan de computer accounts en groepen herkennen die in Active Directory Domain Services (AD DS) aanwezig zijn. |
Domeincontrollers: Geverifieerde gebruikers |
|
Geheugenquota voor een proces verhogen |
Hiermee wordt bepaald wie het maximumgeheugen kan wijzigen dat door een proces kan worden gebruikt. Dit gebruikersrecht wordt gedefinieerd in het standaardgroepsbeleidsobject van een domeincontroller en in het lokale beveiligingsbeleid van werkstations en servers. |
Administrators |
|
Back-ups maken van bestanden en mappen |
Hiermee wordt bepaald welke gebruikers machtigingen voor bestanden en mappen, het register en andere permanente objecten kunnen omzeilen om een back-up van het systeem te maken. |
Administrators en Back-upoperators |
|
Controle op bladeren negeren |
Hiermee wordt bepaald welke gebruikers in mapstructuren kunnen bladeren zonder dat ze hiervoor machtigingen hebben. De gebruiker kan de inhoud van de mapstructuur niet zien, maar alleen door de structuur bladeren. Dit gebruikersrecht wordt gedefinieerd in het standaardgroepsbeleidsobject van een domeincontroller en in het lokale beveiligingsbeleid van werkstations en servers. |
Werkstations en servers: Administrators, Back-upoperators, Hoofdgebruikers, Gebruikers en Iedereen Domeincontrollers: Administrators en Geverifieerde gebruikers |
|
Systeemtijd wijzigen |
Hiermee wordt bepaald welke gebruikers en groepen de tijd en datum van de interne klok van de computer kunnen wijzigen. Gebruikers aan wie dit gebruikersrecht wordt toegewezen, kunnen op deze manier de weergave van vermeldingen in gebeurtenislogboeken wijzigen. Als de systeemtijd wordt gewijzigd, wordt de werkelijke tijd waarop gebeurtenissen zijn uitgevoerd, in het logboek aangepast aan deze nieuwe tijd. Dit gebruikersrecht wordt gedefinieerd in het standaardgroepsbeleidsobject van een domeincontroller en in het lokale beveiligingsbeleid van werkstations en servers. |
Werkstations en servers: Administrators en Hoofdgebruikers Domeincontrollers: Administrators en Serveroperators |
|
Wisselbestand maken |
De gebruiker mag een wisselbestand maken en de grootte van dat bestand wijzigen. De grootte van het wisselbestand voor een bepaald station wordt opgegeven onder Instellingen voor prestaties op het tabblad Geavanceerd van Systeemeigenschappen. |
Administrators |
|
Tokenobject maken |
Een proces kan een token maken waarmee toegang tot lokale bronnen kan worden verkregen wanneer het proces gebruikmaakt van NtCreateToken() of andere API's die tokens maken. Processen waarvoor deze bevoegdheid is vereist, moeten het lokale systeemaccount gebruiken dat deze bevoegdheid al bevat, in plaats van een afzonderlijk gebruikersaccount waaraan deze bevoegdheid is toegewezen. |
Niemand |
|
Globale objecten maken |
Hiermee wordt bepaald welke accounts globale objecten kunnen maken in een Terminal Services-sessie of een sessie voor Extern bureaublad-services. |
Administrators en Lokaal systeem |
|
Permanent gedeelde objecten maken |
Met een proces kan een mapobject worden gemaakt in objectbeheer van het besturingssysteem. Deze bevoegdheid is handig voor kernelmodusonderdelen die een uitbreiding zijn van de objectnaamruimte. Deze bevoegdheid is al toegewezen aan onderdelen die in de kernelmodus worden uitgevoerd, zodat u deze daaraan niet specifiek hoeft toe te wijzen. |
Niemand |
|
Fouten in programma's opsporen |
Hiermee wordt bepaald welke gebruikers een foutopsporingsprogramma aan een proces of de kernel kunnen koppelen. U hoeft dit gebruikersrecht niet toe te wijzen aan ontwikkelaars die fouten in hun eigen toepassingen opsporen, maar wel aan ontwikkelaars die fouten in nieuwe systeemonderdelen willen opsporen. Dit gebruikersrecht biedt volledige toegang tot gevoelige en essentiële onderdelen van het besturingsysteem. |
Administrators en Lokaal systeem |
|
Computer- en gebruikersaccounts inschakelen als vertrouwd voor delegeren |
Hiermee wordt bepaald welke gebruikers de instelling Vertrouwd voor delegeren kunnen inschakelen voor een gebruiker of computerobject. De gebruiker of het object waaraan dit recht wordt verleend, moet schrijftoegang hebben tot de accountcontrolemarkeringen voor de gebruiker of het computerobject. Een serverproces dat op een computer (of in een gebruikerscontext) wordt uitgevoerd en dat wordt vertrouwd voor delegeren, heeft toegang tot bronnen op een andere computer waarop gedelegeerde referenties van een client worden gebruikt. Dit is alleen van toepassing als voor het clientaccount niet de accountcontrolemarkering Account kan niet worden gedelegeerd is ingesteld. Dit gebruikersrecht wordt gedefinieerd in het standaardgroepsbeleidsobject van een domeincontroller en in het lokale beveiligingsbeleid van werkstations en servers. |
Domeincontrollers: Administrators |
|
Afsluiten vanaf een extern systeem |
Hiermee wordt bepaald welke gebruikers een computer vanaf een externe locatie in het netwerk mogen afsluiten. Misbruik van dit gebruikersrecht kan leiden tot een Denial of Service-aanval. Dit gebruikersrecht wordt gedefinieerd in het standaardgroepsbeleidsobject van een domeincontroller en in het lokale beveiligingsbeleid van werkstations en servers. |
Werkstations en servers: Administrators Domeincontrollers: Administrators en Serveroperators |
|
Beveiligingscontrole genereren |
Hiermee wordt bepaald welke accounts door een proces kunnen worden gebruikt voor het toevoegen van vermeldingen aan het beveiligingslogboek. Het beveiligingslogboek wordt gebruikt om niet-geautoriseerde systeemtoegang te traceren. Misbruik van dit gebruikersrecht kan leiden tot veel controlegebeurtenissen, waarmee mogelijk bewijs van een aanval wordt verborgen of een Denial of Service-aanval wordt veroorzaakt als de beleidsinstelling Controle: systeem onmiddellijk afsluiten als beveiligingscontroles niet in logboek kunnen worden opgeslagen is ingeschakeld. Zie voor meer informatie |
Lokaal systeem |
|
Een client nabootsen na verificatie |
Hiermee wordt bepaald welke accounts andere accounts mogen nabootsen. |
Administrators en Service |
|
Prioriteit verhogen voor planning |
Hiermee wordt bepaald door welke accounts een proces met schrijftoegang tot een ander proces kan worden gebruikt om de uitvoeringsprioriteit te verhogen die aan het andere proces is toegewezen. Een gebruiker met dit recht kan de planningsprioriteit van een proces wijzigen in de gebruikersinterface Taakbeheer. |
Administrators |
|
Stuurprogramma's laden en verwijderen |
Hiermee wordt bepaald welke gebruikers dynamisch apparaatstuurprogramma's of andere code in de kernelmodus kunnen laden en verwijderen. Dit gebruikersrecht is niet van toepassing op Plug en Play-stuurprogramma's. Omdat apparaatstuurrogramma's worden uitgevoerd als vertrouwde programma's (of programma's met bijzondere rechten), moet u deze bevoegdheid niet aan andere gebruikers toewijzen. Gebruik in plaats daarvan de API StartService(). |
Administrators |
|
Pagina's in het geheugen vergrendelen |
Met deze beveiligingsinstelling wordt bepaald door welke accounts een proces kan worden gebruikt om gegevens in het fysieke geheugen te bewaren. Zo wordt voorkomen dat de gegevens op de schijf worden opgeslagen. Door dit recht kan de beschikbare hoeveelheid RAM-geheugen aanzienlijk afnemen en kunnen de systeemprestaties verslechteren. |
Geen. Bepaalde systeemprocessen hebben de bevoegdheid automatisch overgenomen. |
|
Controlebeleid en beveiligingslogboek beheren |
Hiermee wordt bepaald welke gebruikers controleopties voor objecttoegang kunnen opgeven voor afzonderlijke bronnen, zoals bestanden, Active Directory-objecten en registersleutels. Met deze beveiligingsinstelling kan een gebruiker geen controlebeleid voor bestands- en objecttoegang inschakelen. Hiervoor moet u de instelling in Computerconfiguratie\Windows-instellingen\Beveiligingsinstellingen\Lokaal beleid\Controlebeleid configureren. Zie het onderwerp over U kunt gecontroleerde gebeurtenissen bekijken in het beveiligingslogboek in Logboeken. Een gebruiker met dit recht kan het beveiligingslogboek ook weergeven en wissen. |
Administrators |
|
Omgevingswaarden in firmware wijzigen |
Hiermee wordt bepaald wie omgevingswaarden in firmware kan wijzigen. Omgevingswaarden in firmware zijn instellingen die zijn opgeslagen in het niet-vluchtige RAM-geheugen van niet-x86-computers. Het effect van de instelling is afhankelijk van de processor.
|
Administrators en Lokaal systeem |
|
Een enkel proces bekijken |
Hiermee wordt bepaald welke gebruikers hulpprogramma's kunnen gebruiken om de prestaties van niet-systeemprocessen te meten. |
Administrators, Hoofdgebruikers en Lokaal systeem |
|
Systeemprestaties bekijken |
Hiermee wordt bepaald welke gebruikers hulpprogramma's kunnen gebruiken om de prestaties van systeemprocessen te meten. |
Administrators en Lokaal systeem |
|
Computer uit basisstation verwijderen |
Hiermee wordt bepaald of een gebruiker een draagbare computer kan loskoppelen van het basisstation zonder zich aan te melden. Als dit beleid is ingeschakeld, moet de gebruiker zich aanmelden voordat de draagbare computer uit het basisstation kan worden verwijderd. Als dit beleid is uitgeschakeld, kan de gebruiker de draagbare computer uit het basisstation verwijderen zonder zich aan te melden. |
Uitgeschakeld |
|
Token op procesniveau vervangen |
Hiermee wordt bepaald met welke gebruikersaccounts een proces kan worden gestart om het standaardtoken te vervangen dat is gekoppeld aan een gestart subproces. Dit gebruikersrecht wordt gedefinieerd in het standaardgroepsbeleidsobject van een domeincontroller en in het lokale beveiligingsbeleid van werkstations en servers. |
Lokale service en Netwerkservice |
|
Bestanden en mappen terugzetten |
Hiermee wordt bepaald welke gebruikers machtigingen voor bestanden, mappen, het register en andere permanente objecten kunnen vervangen tijdens het terugzetten van back-ups van bestanden en mappen. Ook kunt u hiermee bepalen welke gebruikers een geldige beveiligings-principal als eigenaar van een object kunnen instellen. Dit gebruikersrecht is hetzelfde als het verlenen van de volgende machtigingen aan de gebruiker of groep voor alle bestanden en mappen in het systeem:
| Werkstations en servers: Administrators en Back-upoperators Domeincontrollers: Administrators, Back-upoperators en Serveroperators |
|
Systeem afsluiten |
Hiermee wordt bepaald welke lokaal aangemelde gebruikers het besturingssysteem kunnen afsluiten met de opdracht Afsluiten. Misbruik van dit gebruikersrecht kan leiden tot een Denial of Service-aanval. | Werkstations: Administrators, Back-upoperators, Hoofdgebruikers en Gebruikers Servers: Administrators, Back-upoperators en Hoofdgebruikers Domeincontrollers: Accountoperators, Administrators, Back-upoperators, Serveroperators en Printeroperators |
|
Directory-servicegegevens synchroniseren |
Hiermee wordt bepaald welke gebruikers en groepen alle directory-servicegegevens kunnen synchroniseren. Dit wordt ook wel Active Directory-synchronisatie genoemd. |
Geen |
|
Eigenaar worden van bestanden of andere objecten |
Hiermee wordt bepaald welke gebruikers eigenaar kunnen worden van beveiligbare objecten in het systeem, zoals Active Directory-objecten, bestanden en mappen, printers, registersleutels, processen en threads. | Administrators |
Sommige bevoegdheden kunnen machtigingen overschrijven die voor een object zijn ingesteld. Een gebruiker die bijvoorbeeld bij een domeinaccount is aangemeld als lid van de groep Back-upoperators, heeft het recht om back-upbewerkingen uit te voeren voor alle domeinservers. Hiervoor moet de gebruiker echter alle bestanden op die servers kunnen lezen, zelfs bestanden waarvoor eigenaren machtigingen hebben ingesteld waarmee de toegang expliciet wordt geweigerd aan alle gebruikers, inclusief leden van de groep Back-upoperators. Een gebruikersrecht, in dit geval het recht om een back-up te maken, heeft een hogere prioriteit dan alle bestands- en mapmachtigingen. Zie het onderwerp over
 | Opmerking |
Bij een opdrachtprompt kunt u whoami /priv typen om uw bevoegdheden weer te geven. |