Användarrättigheter ger användare och grupper i datormiljön vissa privilegier och inloggningsrättigheter. Administratörer kan tilldela gruppkonton eller individuella användarkonton specifika rättigheter. Dessa rättigheter ger användarna behörighet att utföra vissa åtgärder, t.ex att logga in interaktivt på ett system eller att säkerhetskopiera filer och kataloger.
Om du vill underlätta för administratören av användarkonton bör du främst tilldela gruppkonton i stället för individuella användarkonton privilegier. När du tilldelar gruppkonton privilegier får användare som blir medlemmar i gruppen automatiskt dessa privilegier. Det är mycket lättare att administrera privilegier på det här sättet än att tilldela alla användare enskilda privilegier när deras konton skapas.
Tabellen nedan beskriver de privilegier som kan beviljas en användare.
| Privilegium | Beskrivning | Standardinställning |
|---|---|---|
|
Fungerar som en del av operativsystemet |
Gör det möjligt för en process utan autentisering att personifiera en användare. Processen får därför åtkomst till samma lokala resurser som användaren. Använd kontot lokala system för processer som behöver det här privilegiet eftersom det redan ingår i detta konto så slipper du skapa ett särskilt konto. Om organisationen använder servrar som kör Windows 2000 eller Windows NT 4.0 och program som utbyter lösenord i klartext måste du kanske tilldela en användare det här privilegiet. |
Lokalt system |
|
Lägga till arbetsstationer i en domän |
Avgör vilka grupper och användare som kan lägga till arbetsstationer till en domän. Denna användarrättighet är endast giltig på domänkontrollanter. Som standard har alla autentiserade användare den här rättigheten och kan skapa upp till tio datorkonton på domänen. Genom att lägga till ett datorkonto på domänen kan datorn känna igen konton och grupper som finns i AD DS (Active Directory Domain Services). |
Domänkontrollanter: Autentiserade användare |
|
Justera minneskvoter för en process |
Avgör vem som kan ändra den högsta mängd minne som kan användas av en process. Den här användarrättigheten definieras i grupprincipobjektet för standarddomänkontrollanten och i den lokala säkerhetsprincipen på arbetsstationer och servrar. |
Administratörer |
|
Säkerhetskopiera filer och kataloger |
Avgör vilka användare som kan kringgå behörigheter för filer och kataloger, register och andra beständiga objekt för att säkerhetskopiera systemet. |
Administratörer och ansvariga för säkerhetskopiering |
|
Kringgå bläddringskontroll |
Avgör vilka användare som kan bläddra i katalogträd även om användaren inte har behörighet till katalogen som bläddringen sker i. Privilegiet tillåter inte att användaren visar innehållet i en katalog utan bara att användaren bläddrar bland katalogerna. Den här användarrättigheten definieras i standarddomänkontrollanten GPO (och i den lokala säkerhetsprincipen på arbetsstationer och servrar. |
Arbetsstationer och servrar: Administratörer, Ansvariga för säkerhetskopiering, Privilegierade användare, Användare, och Alla Domänkontrollanter: Administratörer och autentiserade användare |
|
Ändra systemtid |
Avgör vilka användare och grupper som kan ändra tid och datum på datorns interna klocka. Användare som har tilldelats rättigheten kan påverka hur händelseloggar visas. Om systemtiden ändras visas de händelser som loggas efter den nya tiden och inte efter den faktiska tiden för händelserna. Den här användarrättigheten definieras i standarddomänkontrollanten och i den lokala säkerhetsprincipen på arbetsstationer och servrar. |
Arbetsstationer och servrar: Administratörer och privilegierade användare Domänkontrollanter: Administratörer och serveroperatörer |
|
Skapa en växlingsfil |
Tillåter användaren att skapa och ändra storleken på en växlingsfil. Detta görs genom att ange storleken på en växlingsfil för en angiven enhet under Prestandaalternativ på fliken Avancerad i Systemegenskaper. |
Administratörer |
|
Skapa ett token-objekt |
Gör det möjligt för en process att skapa ett token som sedan kan användas för att få åtkomst till alla lokala resurser när processen använder NtCreateToken() eller andra tokenskapande API:er. Använd det lokala systemkontot för processer som behöver det här privilegiet eftersom det redan ingår, i stället för att skapa ett särskilt konto. |
Ingen |
|
Skapa globala objekt |
Avgör vilka konton som kan skapa globala objekt i en Terminal Services- eller Fjärrskrivbordstjänstssession. |
Administratörer och Lokalt system |
|
Skapa permanent delade objekt |
Gör det möjligt för en process att skapa ett katalogobjekt i operativsystemets objekthanterare. Privilegiet är användbart för kernellägeskomponenter som utökar objektnamnområdet. Eftersom komponenterna som körs i kernelläge redan har privilegiet är det inte nödvändigt att tilldela dem privilegiet. |
Ingen |
|
Felsöka program |
Avgör vilka användare som kan lägga till en felsökare i en process eller i en kerneln. Utvecklare som felsöker sina egna program behöver inte tilldelas rättigheten. Utvecklare som felsöker nya systemkomponenter behöver tilldelas rättigheten. Rättigheten ger fullständig åtkomst till känsliga och viktiga operativsystemskomponenter. |
Administratörer och Lokalt system |
|
Aktivera att dator- och användarkonton är betrodda för delegering |
Avgör vilka användare som kan ange inställningen Betrott för delegering för ett användar- eller datorobjekt. Användaren eller objektet som beviljas privilegiet måste ha skrivåtkomst till användar- eller datorobjektets kontokontrollflaggor. En serverprocess som körs på en dator (eller under en användarkontext) som är betrodd för delegering får åtkomst till resurser på en annan dator med hjälp av delegerade autentiseringsuppgifter för en klient om kontokontrollflaggan Kontot kan inte delegeras inte har angetts för klientkontot. Den här användarrättigheten definieras i standarddomänkontrollanten och i den lokala säkerhetsprincipen på arbetsstationer och servrar. |
Domänkontrollanter: Administratörer |
|
Fjärravsluta datorn |
Avgör vilka användare som tillåts stänga av en dator från en fjärrplats i nätverket. Missbruk av användarrättigheten kan leda till DoS-attacker. Den här användarrättigheten definieras i standarddomänkontrollanten och i den lokala säkerhetsprincipen på arbetsstationer och servrar. |
Arbetsstationer och servrar: Administratörer Domänkontrollanter: Administratörer och serveroperatörer |
|
Hantera granskning |
Avgör vilka konton som kan användas av en process för att lägga till poster i säkerhetsloggen. Säkerhetsloggen används för att spåra obehörig systemåtkomst. Missbruk av rättigheten kan medföra att många granskningshändelser genereras, att bevis för en attack döljs eller att datorn utsätts för DoS-attacker om säkerhetsprincipinställningen Granskning: Stäng ned systemet omedelbart om det inte går att logga säkerhetsgranskning är aktiverad. Mer information finns i |
Lokalt system |
|
Personifiera en klient efter autentisering |
Avgör vilka konton som har tillåtelse att personifiera andra konton. |
Administratörer och tjänst |
|
Ändra prioriteter för trådar |
Avgör vilka konton som kan använda processer med Skriva egenskaps-åtkomst till andra processer för att öka körningsprioriteten som tilldelats de andra processerna. En användare med det här privilegiet kan ändra processens schemalagda prioritet via användargränssnittet i Aktivitetshanteraren. |
Administratörer |
|
Läsa in/ta bort drivrutiner |
Avgör vilka användare som dynamiskt kan läsa in och ta bort enhetsdrivrutiner eller annan kod i kernelläge. Rättigheten gäller inte Plug and Play-drivrutiner. Eftersom drivrutiner körs som betrodda (eller högt privilegierade) program bör inte andra användare tilldelas den här rättigheten. Använd istället StartService()-API. |
Administratörer |
|
Låsa sidor i minnet |
Avgör vilka konton som kan använda en process för att lagra data i det fysiska minnet. Detta hindrar systemet från att sidindela data till det virtuella minnet på disken. Om du använder det här privilegiet kan systemets prestanda påverkas påtagligt eftersom mängden tillgängligt RAM-minne (Random Access Memory) minskar. |
Inget: privilegiet finns inkluderat i vissa systemprocesser |
|
Hantera gransknings- och säkerhetslogg |
Avgör vilka användare som kan ange alternativ för objektåtkomstsgranskning för enskilda resurser, t.ex. filer, Active Directory-objekt och registernycklar. Säkerhetsinställningen ger inte användaren tillåtelse att aktivera åtkomstgranskning för filer och objekt. För att aktivera den här granskningen måste inställningen Granska objektåtkomst i Datorkonfiguration\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Granskningsprinciper vara konfigurerad. Mer information finns på Du kan visa granskade händelser i säkerhetsloggen i Loggboken. En användare med det här privilegiet kan även visa och rensa säkerhetsloggen. |
Administratörer |
|
Ändra inställningar för maskinvarumiljö |
Avgör vem som kan ändra inställningar för maskinvarumiljön. Variabler för maskinvarumiljön är inställningar som lagras i beständigt RAM-minne på datorer som inte är x86-baserade. Vilka effekter som inställningen ger beror på vilken processor som används.
|
Administratörer och Lokalt system |
|
Studera en enstaka process |
Avgör vilka användare som kan använda prestandaövervakningsverktyg för att övervaka prestanda för icke-systemprocesser. |
Administratörer, privilegierade användare och lokalt system |
|
Studera systemprestanda |
Avgör vilka användare som kan använda prestandaövervakningsverktyg för att övervaka prestanda för systemprocesser. |
Administratörer och Lokalt system |
|
Ta bort datorn från dockningsstationen |
Avgör om en användare kan ta bort en bärbar dator från dockningsstationen utan att logga in. Om principen är aktiverad måste användaren logga in innan den bärbara datorn kan tas bort från dockningsstationen. Om principen är inaktiverad kan användaren ta bort den bärbara datorn från dockningsstationen utan att logga in. |
Inaktiverad |
|
Ersätta token för process |
Avgör vilka användarkonton som kan initiera en process för att ersätta det standard-token som är associerat med en underprocess som körs. Den här användarrättigheten definieras i standarddomänkontrollanten och i den lokala säkerhetsprincipen på arbetsstationer och servrar. |
Lokal tjänst och nätverkstjänst |
|
Återställa filer och kataloger |
Avgör vilka användare som kan kringgå behörigheter för filer och kataloger, register och andra beständiga objekt vid återställning av säkerhetskopierade filer och kataloger, samt avgör vilka användare som kan ange ett giltigt säkerhetsobjekt som ägare av ett objekt. Mera specifikt motsvarar rättigheten att användaren eller gruppen kan använda följande behörigheter för filer och mappar i systemet:
| Arbetsstationer och servrar: Administratörer och ansvariga för säkerhetskopiering Domänkontrollanter: Administratörer, ansvariga för säkerhetskopiering och serveroperatörer |
|
Stänga av datorn |
Avgör vilka lokalt inloggade användare som kan stänga av operativsystemet med kommandot Avsluta. Missbruk av användarrättigheten kan leda till DoS-attacker. | Arbetsstationer: Administratörer, ansvariga för säkerhetskopiering, privilegierade användare och användare. Servrar: Administratörer, ansvariga för säkerhetskopiering och privilegierade användare. Domänkontrollanter: Kontoansvariga, administratörer, ansvariga för säkerhetskopiering, serveroperatörer och skrivaransvariga |
|
Synkronisera data i katalogtjänsten |
Avgör vilka användare och grupper som har behörighet att synkronisera alla katalogtjänstdata. Detta kallas även Active Directory-synkronisering. |
Ingen |
|
Bli ägare till filer och andra objekt |
Avgör vilka användare som kan bli ägare av objekt som går att skydda i systemet, inklusive Active Directory-objekt, filer och mappar, skrivare, registernycklar, processer och trådar. | Administratörer |
Vissa privilegier kan åsidosätta behörigheter inställda för ett objekt. En användare som är inloggad på ett domänkonto som medlem av gruppen Ansvariga för säkerhetskopiering har t.ex. rätt att utföra säkerhetskopieringar på alla domänservrar. Detta kräver dock möjligheten att läsa alla filer på de servrarna, även de filer som ägarna har angett att ingen, inklusive medlemmar av gruppen Ansvariga för säkerhetskopiering ska få åtkomst till. En användarrättighet, i det här fallet rättigheten att utföra säkerhetskopiering, åsidosätter alla andra fil- och katalogbehörigheter. Mer information finns på
 | OBS |
Skriv whoami /priv i kommandotolken om du vill se dina privilegier. |