Os direitos do usuário concedem privilégios e direitos de logon específicos a usuários e grupos em seu ambiente de computação. Os administradores podem atribuir direitos específicos a contas de grupos ou contas de usuários individuais. Esses direitos autorizam os usuários a executar ações específicas, como fazer logon em um sistema de forma interativa ou fazer backup de arquivos e pastas.
Para facilitar a tarefa de administração de contas de usuário, atribua os privilégios principalmente às contas de grupo, em vez de contas de usuários individuais. Quando você atribui privilégios a uma conta de grupo, os usuários recebem automaticamente estes privilégios ao se tornarem membros deste grupo. Esse método de administração de privilégios é muito mais fácil do que atribuir privilégios individuais a cada conta de usuário quando ela é criada.
A tabela a seguir lista e descreve os privilégios que podem ser concedidos ao usuário.
| Privilégio | Descrição | Configuração padrão |
|---|---|---|
|
Atuar como parte do sistema operacional |
Permite que um processo represente qualquer usuário sem autenticação. Portanto, o processo pode obter acesso aos mesmos recursos locais aos quais o usuário tem acesso. Os processos que requerem este privilégio devem usar a conta Sistema Local, que já inclui este privilégio, em vez de usar outra conta de usuário com este privilégio especialmente atribuído. Não é necessário atribuir esse privilégio aos usuários, a não ser que a sua organização utilize servidores com o Windows 2000 ou o Windows NT 4.0 e utilize aplicativos que trocam senhas em texto não criptografado. |
Sistema Local |
|
Adicionar estações de trabalho a um domínio |
Determina quais grupos ou usuários podem adicionar estações de trabalho a um domínio. Este direito de usuário só é válido em controladores de domínio. Por padrão, qualquer usuário autenticado tem este direito e pode criar até 10 contas de computador no domínio. A inclusão de uma conta de computador no domínio permite que o computador reconheça contas e grupos existentes nos Serviços de Domínio Active Directory (AD DS). |
Controladores de domínio: Usuários Autenticados |
|
Ajustar quotas de memória para um processo |
Determina quem pode alterar a memória máxima a ser consumida por um processo. Este direito de usuário é definido no objeto Diretiva de Grupo Controlador de Domínio Padrão e na diretiva de segurança local de estações de trabalho e servidores. |
Administradores |
|
Fazer backup de arquivos e pastas |
Determina quais usuários podem ignorar permissões de arquivo e diretório, registro e outras permissões de objeto persistente com o objetivo de fazer backup do sistema. |
Administradores e Operadores de Backup |
|
Ignorar a verificação completa |
Determina quais usuários podem atravessar árvores de diretório, embora não tenham permissões no diretório atravessado. Este privilégio não permite ao usuário listar o conteúdo de um diretório, somente atravessar diretórios. Este direito de usuário é definido no objeto Diretiva de Grupo Controlador de Domínio Padrão e na diretiva de segurança local de estações de trabalho e servidores. |
Estações de trabalho e servidores: Administradores, Operadores de Backup, Usuários Avançados e Todos Controladores de domínio: Administradores e Usuários Autenticados |
|
Alterar a hora do sistema |
Determina quais usuários e grupos podem alterar a hora e a data do relógio interno do computador. Os usuários que recebem esse direito podem alterar a aparência dos logs de eventos. Se a hora do sistema for alterada, os eventos registrados refletirão a hora nova e não a hora real em que os eventos ocorreram. Este direito de usuário é definido no objeto Diretiva de Grupo Controlador de Domínio Padrão e na diretiva de segurança local de estações de trabalho e servidores. |
Estações de trabalho e servidores: Administradores e Usuários Avançados Controladores de domínio: Administradores e Operadores de Servidor |
|
Criar um arquivo de paginação |
Permite ao usuário criar e alterar o tamanho de um arquivo de paginação. Isso é feito por meio da especificação do tamanho de um arquivo de paginação para uma determinada unidade em Opções de Desempenho na guia Avançado de Propriedades do sistema. |
Administradores |
|
Criar um objeto token |
Permite que um processo crie um token que ele pode usar para ter acesso a quaisquer recursos locais, quando o processo utilizar NtCreateToken() ou outras APIs de criação de token. Os processos que requerem este privilégio devem usar a conta Sistema Local, que já inclui este privilégio, em vez de usar outra conta de usuário com este privilégio especialmente atribuído. |
Ninguém |
|
Criar objetos globais |
Determina quais contas podem criar objetos globais em uma sessão de Serviços de Terminal ou de Serviços de Área de Trabalho Remota. |
Administradores e Sistema Local |
|
Criar objetos compartilhados permanentemente |
Permite que um processo crie um objeto de diretório no gerenciador de objetos do sistema operacional. Este privilégio é útil para componentes do modo kernel que estendem o namespace do objeto. Este privilégio já é inerente aos componentes executados no modo kernel, não sendo necessário atribuí-lo a esses componentes. |
Ninguém |
|
Depurar programas |
Determina quais usuários podem anexar um depurador a qualquer processo ou ao kernel. Os desenvolvedores que estiverem depurando seus aplicativos não precisam receber este direito de usuário. Os desenvolvedores que estiverem depurando os novos componentes do sistema precisam receber este direito de usuário. Este direito de usuário fornece acesso completo a componentes sensíveis e críticos do sistema operacional. |
Administradores e Sistema Local |
|
Habilitar computador e contas de usuário para serem confiáveis para delegação |
Determina quais usuários podem definir a configuração Confiável para Delegação em um objeto de usuário ou de computador. O usuário ou objeto que recebe este privilégio deve ter acesso para gravação para os sinalizadores de controle de conta no objeto de usuário ou de computador. Um processo de servidor executado em um computador (ou em um contexto de usuário) confiável para delegação pode acessar recursos em outro computador usando as credenciais delegadas de um cliente, contanto que o sinalizador de controle de conta Conta não pode ser delegada não esteja definido. Este direito de usuário é definido no objeto Diretiva de Grupo Controlador de Domínio Padrão e na diretiva de segurança local de estações de trabalho e servidores. |
Controladores de domínio: Administradores |
|
Forçar o desligamento a partir de um sistema remoto |
Determina quais usuários podem desligar um computador a partir de um local remoto na rede. A má utilização deste direito de usuário pode resultar na negação de serviço. Este direito de usuário é definido no objeto Diretiva de Grupo Controlador de Domínio Padrão e na diretiva de segurança local de estações de trabalho e servidores. |
Estações de trabalho e servidores: Administradores Controladores de domínio: Administradores e Operadores de Servidor |
|
Gerar auditoria de segurança |
Determina quais contas podem ser usadas por um processo para adicionar entradas ao log de segurança. Esse log é utilizado para rastrear o acesso não autorizado ao sistema. A má utilização deste direito de usuário pode resultar na geração de muitos eventos de auditoria, podendo ocultar a evidência de ataque ou causando uma negação de serviço, se a Auditoria: desligar o sistema imediatamente, se o log de auditorias de segurança estiver indisponível. Para obter mais informações, consulte |
Sistema Local |
|
Representar um cliente após autenticação |
Determina quais contas podem representar outras contas. |
Administradores e Serviço |
|
Aumentar a prioridade de planejamento |
Determina quais contas podem usar um processo com acesso da propriedade Gravar para outro processo, para aumentar a prioridade de execução atribuída ao outro processo. O usuário que tem esse privilégio pode alterar a prioridade de planejamento de um processo por meio da interface do usuário do Gerenciador de Tarefas. |
Administradores |
|
Carregar e descarregar drivers de dispositivo |
Determina quais usuários podem carregar e descarregar de forma dinâmica os drivers de dispositivo ou outro código no modo kernel. Este direito de usuário não se aplica aos drivers de dispositivo Plug and Play. Como esses drivers são executados como programas confiáveis (ou altamente privilegiados), não atribua este privilégio a outros usuários. Em vez disso, use a API StartService(). |
Administradores |
|
Bloquear páginas na memória |
Determina quais contas podem usar um processo para manter os dados na memória física, o que impede o sistema de paginar os dados para a memória virtual no disco. O exercício deste privilégio pode afetar significativamente o desempenho do sistema ao diminuir a quantidade de memória RAM disponível. |
Nenhum; o privilégio é inerente a certos processos do sistema |
|
Gerenciar auditoria e log de segurança |
Determina quais usuários podem especificar as opções de auditoria de acesso a objetos de recursos individuais, como arquivos, objetos do Active Directory e chaves do Registro. Esta configuração de segurança não permite que o usuário habilite a auditoria de acesso a arquivos e objetos. Para habilitar essa auditoria, a configuração de Auditoria de acesso a objetos em Configuração do Computador\Configurações do Windows\Configurações de Segurança\Diretivas Locais\Diretivas de Auditoria deve estar definida. Para obter mais informações, consulte Os eventos auditados podem ser exibidos no Log de segurança do Visualizador de Eventos. O usuário que tem este privilégio também pode exibir e limpar o Log de segurança. |
Administradores |
|
Alterar valores de ambiente de firmware |
Determina quem pode modificar os valores de ambiente de firmware. Variáveis de ambiente de firmware são configurações armazenadas na RAM não volátil de computadores que não sejam baseados em x86. O efeito da configuração depende do processador.
|
Administradores e Sistema Local |
|
Traçar um perfil de um único processo |
Determina quais usuários podem usar ferramentas de monitoramento de desempenho para monitorar o desempenho de processos que não são do sistema. |
Administradores, Usuários Avançados e Sistema Local |
|
Traçar o perfil do desempenho do sistema |
Determina quais usuários podem usar ferramentas de monitoramento de desempenho para monitorar o desempenho de processos do sistema. |
Administradores e Sistema Local |
|
Remover o computador da base de encaixe |
Determina se um usuário pode desencaixar um computador portátil da sua base de encaixe sem fazer logon. Se esta diretiva estiver habilitada, o usuário deverá fazer logon antes de remover o computador portátil da sua base de encaixe. Caso a diretiva esteja desabilitada, o usuário poderá remover o computador da base sem fazer logon. |
Desabilitado |
|
Substituir um token no nível de processo |
Determina quais contas de usuário podem iniciar um processo para substituir o token padrão associado a um subprocesso já iniciado. Este direito de usuário é definido no objeto Diretiva de Grupo Controlador de Domínio Padrão e na diretiva de segurança local de estações de trabalho e servidores. |
Serviço Local e Serviço de Rede |
|
Restaurar arquivos e diretórios |
Determina quais usuários podem ignorar permissões de arquivo, diretório, registro e outros objetos persistentes ao restaurar backups de arquivos e diretórios, e determina quais usuários podem definir qualquer entidade de segurança válida como proprietária de um objeto. Especificamente, este direito de usuário se assemelha à concessão das seguintes permissões a um usuário ou grupo, em todos os arquivos e pastas do sistema:
| Estações de trabalho e servidores: Administradores e Operadores de Backup Controladores de domínio: Administradores, Operadores de Backup e Operadores de Servidor |
|
Desligar o sistema |
Determina quais usuários conectados localmente ao computador podem desligar o sistema operacional usando o comando Desligar. A má utilização deste direito de usuário pode resultar na negação de serviço. | Estações de trabalho: Administradores, Operadores de Backup, Usuários Avançados e Usuários Servidores: Administradores, Operadores de Backup e Usuários Avançados Controladores de domínio: Operadores de Conta, Administradores, Operadores de Backup, Operadores de Servidor e Operadores de Impressão |
|
Sincronizar dados do serviço de diretório |
Determina quais usuários e grupos têm autorização para sincronizar todos os dados do serviço de diretório. Esse processo também é conhecido como sincronização do Active Directory. |
Nenhum |
|
Apropriar-se de arquivos ou de outros objetos |
Determina quais usuários podem se apropriar de qualquer objeto protegível no sistema, inclusive objetos do Active Directory, arquivos e pastas, impressoras, chaves de registro, processos e threads. | Administradores |
Alguns privilégios podem substituir as permissões definidas em um objeto. Por exemplo, um usuário conectado a uma conta de domínio como membro do grupo Operadores de Backup tem o direito de executar operações de backup para todos os servidores de domínio. No entanto, isso requer a capacidade de ler todos os arquivos desses servidores, mesmo os arquivos nos quais seus proprietários definiram permissões que negam explicitamente o acesso de todos os usuários, inclusive de membros do grupo Operadores de Backup. Um direito de usuário (neste caso, o direito de executar um backup) tem precedência sobre todas as permissões de arquivo e diretório. Para obter mais informações, consulte
 | Observação |
Em um prompt de comando, digite whoami /priv para ver os seus privilégios. |