Prawa użytkowników udzielają określonych uprawnień i praw logowania użytkownikom i grupom w środowisku komputerowym. Administratorzy mogą przypisywać kontom grup lub kontom poszczególnych użytkowników specjalne prawa. Prawa te upoważniają użytkowników do wykonywania określonych akcji, takich jak interakcyjne logowanie się do systemu czy tworzenie kopii zapasowych plików i katalogów.
Aby łatwiej administrować kontami użytkowników, należy przede wszystkim przypisywać uprawnienia do kont grup, a nie poszczególnych użytkowników. Jeśli uprawnienia są przypisane do konta grupy, użytkownicy uzyskują je automatycznie, gdy stają się członkami tej grupy. Jest to metoda administrowania uprawnieniami dużo łatwiejsza niż przypisywanie poszczególnych uprawnień każdemu nowo utworzonemu kontu użytkownika.
W następującej tabeli wymieniono i opisano uprawnienia, których można udzielić użytkownikowi.
| Uprawnienie | Opis | Ustawienie domyślne |
|---|---|---|
|
Działanie jako część systemu operacyjnego |
Zezwala procesowi na personifikację dowolnego użytkownika bez uwierzytelnienia. Proces może wówczas uzyskać dostęp do tych samych zasobów lokalnych co dany użytkownik. Procesy wymagające tego uprawnienia powinny używać lokalnego konta systemowego, któremu już je przypisano, zamiast oddzielnego konta ze specjalnie przypisanym uprawnieniem. Nie ma potrzeby przypisywania tego uprawnienia użytkownikom, chyba że organizacja używa serwerów z systemem Windows 2000 lub Windows NT 4.0 i aplikacji przesyłających hasła w postaci zwykłego tekstu. |
System lokalny |
|
Dodawanie stacji roboczych do domeny |
Określa, które grupy i którzy użytkownicy mogą dodawać stacje robocze do domeny. To prawo użytkownika dotyczy tylko kontrolerów domeny. Domyślnie każdy uwierzytelniony użytkownik ma to prawo i może utworzyć maksymalnie 10 kont komputerów w domenie. Dodanie konta komputera do domeny umożliwia temu komputerowi rozpoznawanie kont i grup istniejących w usługach domenowych w usłudze Active Directory. |
Kontrolery domeny: Użytkownicy uwierzytelnieni |
|
Dostosuj przydziały pamięci dla procesów |
Określa, kto może zmienić limit pamięci używanej przez proces. To prawo użytkownika jest definiowane w domyślnym obiekcie zasad grupy dla kontrolerów domeny oraz lokalnych zasadach zabezpieczeń stacji roboczych i serwerów. |
Administratorzy |
|
Wykonuj kopie zapasowe plików i katalogów |
Określa, którzy użytkownicy mogą obejść uprawnienia dla plików i katalogów, rejestru oraz innych trwałych obiektów w celu utworzenia kopii zapasowej systemu. |
Administratorzy i Operatorzy kopii zapasowych |
|
Obejdź sprawdzanie przy przechodzeniu |
Określa, którzy użytkownicy mogą przechodzić drzewa katalogów pomimo braku uprawnień do tych katalogów. To uprawnienie nie umożliwia użytkownikowi wyświetlenia zawartości katalogu; pozwala tylko na przejście przez niego. To prawo użytkownika jest definiowane w domyślnym obiekcie zasad grupy dla kontrolerów domeny i lokalnych zasadach zabezpieczeń stacji roboczych oraz serwerów. |
Stacje robocze i serwery: Administratorzy, Operatorzy kopii zapasowych, Użytkownicy zaawansowani, Użytkownicy oraz Wszyscy Kontrolery domeny: Administratorzy i Użytkownicy uwierzytelnieni |
|
Zmień czas systemowy |
Określa, którzy użytkownicy i grupy mogą zmieniać datę i godzinę w wewnętrznym zegarze komputera. Użytkownicy mający przypisane to prawo mogą mieć wpływ na wygląd dzienników zdarzeń. Po zmianie czasu systemowego zdarzenia będą rejestrowane z nowym czasem, a nie rzeczywistym czasem ich wystąpienia. To prawo użytkownika jest definiowane w domyślnym obiekcie zasad grupy dla kontrolerów domeny i lokalnych zasadach zabezpieczeń stacji roboczych oraz serwerów. |
Stacje robocze i serwery: Administratorzy i Użytkownicy zaawansowani Kontrolery domeny: Administratorzy i Operatorzy serwerów |
|
Utwórz plik stronicowania |
Umożliwia użytkownikowi utworzenie pliku stronicowania i zmianę jego rozmiaru. Można to zrobić, określając rozmiar pliku stronicowania dla konkretnego dysku w obszarze Opcje wydajności na karcie Zaawansowane w oknie Właściwości systemu. |
Administratorzy |
|
Utwórz obiekt tokenu |
Umożliwia procesowi utworzenie tokenu przy użyciu wywołania NtCreateToken() lub innych wywołań interfejsu API do tworzenia tokenów, który może następnie zostać użyty w celu uzyskania dostępu do dowolnych zasobów lokalnych. Procesy wymagające tego uprawnienia powinny używać lokalnego konta systemowego, któremu już je przypisano, zamiast oddzielnego konta ze specjalnie ustawionym uprawnieniem. |
Nikt |
|
Utwórz obiekty globalne |
Określa, które konta umożliwiają tworzenie obiektów globalnych sesji usług terminalowych lub usług pulpitu zdalnego. |
Administratorzy i System lokalny |
|
Utwórz trwałe obiekty udostępnione |
Umożliwia procesowi tworzenie obiektów katalogu w menedżerze obiektów systemu operacyjnego. To uprawnienie jest przydatne dla składników trybu jądra rozszerzających obszar nazw obiektów. Składniki uruchamiane w trybie jądra z zasady mają już to uprawnienie i nie trzeba im go przypisywać. |
Nikt |
|
Debuguj programy |
Określa, którzy użytkownicy mogą dołączyć debugera do dowolnego procesu lub jądra. Deweloperzy debugujący własne aplikacje nie potrzebują tego prawa użytkownika. Deweloperzy debugujący nowe składniki systemowe potrzebują tego prawa użytkownika. To prawo użytkownika umożliwia uzyskanie pełnego dostępu do wrażliwych i krytycznych składników systemu operacyjnego. |
Administratorzy i System lokalny |
|
Określ konta komputerów i użytkowników jako zaufane w kwestii delegowania |
Określa, którzy użytkownicy mogą zdefiniować ustawienie Zaufany w kwestii delegowania dla użytkownika lub obiektu komputera. Użytkownik lub obiekt, któremu udzielono tego uprawnienia, musi mieć dostęp do zapisu do flag sterujących konta użytkownika lub obiektu komputera. Proces serwera uruchomiony na komputerze (lub w kontekście użytkownika) zaufany w kwestii delegowania może uzyskać dostęp do zasobów znajdujących się na innym komputerze przy użyciu delegowanych poświadczeń klienta, o ile dla konta klienta nie ustawiono flagi sterującej Konto nie może być delegowane. To prawo użytkownika jest definiowane w domyślnym obiekcie zasad grupy dla kontrolerów domeny i lokalnych zasadach zabezpieczeń stacji roboczych oraz serwerów. |
Kontrolery domeny: Administratorzy |
|
Wymuszaj zamknięcie z systemu zdalnego |
Określa, którzy użytkownicy mogą zamknąć komputer z lokalizacji zdalnej w sieci. Nadużycie tego prawa użytkownika może spowodować odmowę dostępu. To prawo użytkownika jest definiowane w domyślnym obiekcie zasad grupy dla kontrolerów domeny i lokalnych zasadach zabezpieczeń stacji roboczych oraz serwerów. |
Stacje robocze i serwery: Administratorzy Kontrolery domeny: Administratorzy i Operatorzy serwerów |
|
Generuj inspekcje zabezpieczeń |
Określa, które konta mogą być używane przez proces w celu dodawania wpisów do dziennika zabezpieczeń. Dziennik zabezpieczeń służy do śledzenia przypadków nieautoryzowanego dostępu do systemu. Nadużycie tego prawa użytkownika może spowodować wygenerowanie dużej liczby zdarzeń inspekcji, co może doprowadzić do ukrycia dowodów ataku lub odmowy dostępu, jeśli włączono ustawienie zasad zabezpieczeń Inspekcja: zamknij system natychmiast, jeśli nie można rejestrować wyników inspekcji. Aby uzyskać więcej informacji, zobacz artykuł |
System lokalny |
|
Personifikuj klienta po uwierzytelnieniu |
Określa, które konta mogą personifikować inne konta. |
Administratorzy i Usługa |
|
Zwiększ priorytet planowania |
Określa, które konta mogą używać procesów z dostępem Zapis właściwości do innego procesu w celu zwiększenia priorytetu wykonania przypisanego do innego procesu. Użytkownik z tym uprawnieniem może zmienić priorytet harmonogramu procesu przy użyciu interfejsu użytkownika Menedżera zadań. |
Administratorzy |
|
Ładuj i zwalniaj sterowniki urządzeń |
Określa, którzy użytkownicy mogą dynamicznie ładować i zwalniać sterowniki urządzeń lub inny kod w trybie jądra. To prawo użytkownika nie dotyczy sterowników urządzeń typu Plug and Play. Ponieważ sterowniki urządzeń są uruchamiane jako programy zaufane (wysoko uprzywilejowane), nie należy przypisywać tego uprawnienia innym użytkownikom. Zamiast tego należy używać wywołania API StartService(). |
Administratorzy |
|
Blokuj strony w pamięci |
Określa, które konta mogą używać procesów do przechowywania danych w pamięci fizycznej, uniemożliwiając systemowi przeniesienie tych danych do pamięci wirtualnej na dysku. Korzystanie z tego uprawnienia może znacznie obniżyć wydajność systemu przez zmniejszenie ilości dostępnej pamięci RAM. |
Brak; niektóre procesy systemowe mają to uprawnienie z zasady. |
|
Zarządzaj dziennikiem inspekcji i zabezpieczeń |
Określa, którzy użytkownicy mogą ustawiać opcje inspekcji dostępu do obiektów dla poszczególnych zasobów, takich jak pliki, obiekty usługi Active Directory oraz klucze rejestru. To ustawienie zabezpieczeń nie umożliwia użytkownikowi włączenia inspekcji dostępu do pliku lub obiektu. Aby włączyć inspekcję, należy skonfigurować ustawienie Przeprowadź inspekcję dostępu do obiektów w obszarze Konfiguracja komputera\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Zasady inspekcji. Aby uzyskać więcej informacji, zobacz artykuł dotyczący Zdarzenia inspekcji można wyświetlać w dzienniku zabezpieczeń Podglądu zdarzeń. Użytkownik z tym uprawnieniem może też wyświetlać i czyścić dziennik zabezpieczeń. |
Administratorzy |
|
Modyfikuj wartości środowiskowe oprogramowania układowego |
Określa, kto może modyfikować wartości środowiskowe oprogramowania układowego. Zmienne środowiskowe oprogramowania układowego to ustawienia przechowywane w nieulotnej pamięci RAM komputerów nieopartych na procesorze x86. Działanie ustawienia zależy od procesora.
|
Administratorzy i System lokalny |
|
Profiluj pojedynczy proces |
Określa, którzy użytkownicy mogą korzystać z narzędzi do monitorowania wydajności w celu monitorowania wydajności procesów innych niż systemowe. |
Administratorzy, Użytkownicy zaawansowani i System lokalny |
|
Profiluj wydajność systemu |
Określa, którzy użytkownicy mogą korzystać z narzędzi do monitorowania wydajności w celu monitorowania wydajności procesów systemowych. |
Administratorzy i System lokalny |
|
Usuń komputer ze stacji dokującej |
Określa, czy użytkownik może oddokować komputer przenośny ze stacji dokującej bez zalogowania. Jeśli ta zasada jest włączona, użytkownik musi się zalogować przed odłączeniem komputera przenośnego od stacji dokującej. W przeciwnym przypadku użytkownik może odłączyć komputer bez zalogowania. |
Wyłączone |
|
Zamień token na poziomie procesu |
Określa, które konta użytkowników mogą zainicjować proces w celu zamiany domyślnego tokenu skojarzonego z uruchomionym procesem podrzędnym. To prawo użytkownika jest definiowane w domyślnym obiekcie zasad grupy dla kontrolerów domeny i lokalnych zasadach zabezpieczeń stacji roboczych oraz serwerów. |
Usługa lokalna i Usługa sieciowa |
|
Przywracaj pliki i katalogi |
Określa, którzy użytkownicy mogą obejść uprawnienia do plików, katalogów, rejestru i innych obiektów trwałych podczas przywracania plików i katalogów z kopii zapasowej i którzy mogą ustawić dowolny prawidłowy podmiot zabezpieczeń jako właściciela obiektu. To prawo użytkownika jest w szczególności podobne do udzielenia użytkownikowi lub grupie następujących uprawnień do wszystkich plików i folderów w systemie:
| Stacje robocze i serwery: Administratorzy i Operatorzy kopii zapasowych Kontrolery domeny: Administratorzy, Operatorzy kopii zapasowych i Operatorzy serwerów |
|
Zamykanie systemu |
Określa, którzy użytkownicy zalogowani lokalnie do komputera mogą zamknąć system operacyjny przy użyciu polecenia Zamknij system. Nadużycie tego prawa użytkownika może spowodować odmowę dostępu. | Stacje robocze: Administratorzy, Operatorzy kopii zapasowych, Użytkownicy zaawansowani i Użytkownicy Serwery: Administratorzy, Operatorzy kopii zapasowych i Użytkownicy zaawansowani Kontrolery domeny: Operatorzy kont, Administratorzy, Operatorzy kopii zapasowych, Operatorzy serwerów i Operatorzy drukowania |
|
Synchronizuj dane usługi katalogowej |
Określa, którzy użytkownicy i grupy są upoważnieni do synchronizowania wszystkich danych usługi katalogowej. Ten proces jest też określany jako synchronizacja usługi Active Directory. |
Brak |
|
Przejmij na własność pliki lub inne obiekty |
Określa, którzy użytkownicy mogą przejmować na własność dowolny obiekt podlegający zabezpieczeniom, w tym obiekty usługi Active Directory, pliki i foldery, drukarki, klucze rejestru, procesy i wątki. | Administratorzy |
Niektóre uprawnienia umożliwiają zastąpienie uprawnień ustawionych dla obiektu. Na przykład członek grupy Operatorzy kopii zapasowych ma prawo do wykonywania kopii zapasowych w przypadku wszystkich serwerów w domenie. To jednak wymaga możliwości odczytu wszystkich plików na tych serwerach, nawet plików, których właściciele zabronili dostępu wszystkim innym użytkownikom - także członkom grupy Operatorzy kopii zapasowych. Prawo użytkownika, w tym przypadku prawo wykonania kopii zapasowej, ma pierwszeństwo przed wszystkimi uprawnieniami do plików i katalogów. Aby uzyskać więcej informacji, zobacz artykuł dotyczący
 | Uwaga |
Aby zobaczyć swoje uprawnienia, w wierszu polecenia wpisz polecenie whoami /priv. |