Kullanıcı hakları, bilgisayar ortamınızdaki kullanıcı ve gruplara belirli ayrıcalıklar ve oturum açma hakları verir. Yöneticiler, grup hesaplarına veya bireysel kullanıcı hesaplarına belirli haklar atayabilir. Bu haklar kullanıcılara, bir sistemde etkileşimli oturum açma veya dosya ve dizinleri yedekleme yetkisi verir.

Kullanıcı hesabı yönetimi görevini kolaylaştırmak için, tek tek kullanıcı hesapları yerine, öncelikle grup hesaplarına ayrıcalıklar atamanız gerekir. Bir grup hesabına ayrıcalık atadığınızda, gruba üye olan kullanıcılara söz konusu ayrıcalık otomatik olarak atanır. Ayrıcalıkların bu şekilde yönetilmesi, her bir kullanıcı hesabına ayrıcalıkların hesap oluşturulurken tek tek atanmasından çok daha kolaydır.

Aşağıdaki tabloda bir kullanıcıya verilebilecek ayrıcalıklar listelenmekte ve açıklanmaktadır.

Ayrıcalık Açıklama Varsayılan ayar

İşletim sisteminin parçası gibi davranma

Bir işlemin kimlik doğrulaması yapmadan herhangi bir kullanıcının kimliğine bürünmesine izin verir. Dolayısıyla söz konusu işlem, o kullanıcıyla aynı yerel kaynaklara erişebilir.

Bu ayrıcalığı gerektiren işlemler, özel olarak bu ayrıcalığın atandığı ayrı bir kullanıcı hesabı yerine, zaten bu ayrıcalığı içeren Local System hesabını kullanmalıdır. Kuruluşunuz Windows 2000 veya Windows NT 4.0 çalıştıran sunucular ve şifre değişimini düz metin şeklinde yapan uygulamalar kullanmıyorsa, bu ayrıcalığı kullanıcılara atamanıza gerek yoktur.

Local System

Bir etki alanına iş istasyonları ekleme

Hangi grupların veya kullanıcıların etki alanına iş istasyonları ekleyebileceğini belirler.

Bu kullanıcı hakkı yalnızca etki alanı denetleyicileri üzerinde geçerlidir. Varsayılan olarak, kimliği doğrulanmış her kullanıcı bu hakka sahip olur ve etki alanında en fazla 10 bilgisayar hesabı oluşturabilir.

Etki alanına bir bilgisayar hesabı eklemek, bilgisayarın Active Directory Etki Alanı Hizmetleri'nde (AD DS) varolan hesapları ve grupları tanıyabilmesini sağlar.

Etki alanı denetleyicileri: Authenticated Users

İşlem için bellek kotalarını ayarlama

İşlemin kullanabileceği en fazla belleği kimin değiştirebileceğini belirler.

Bu kullanıcı hakkı, Varsayılan Etki Alanı Denetleyicisi Grup İlkesi nesnesinde (GPO) ve iş istasyonları ile sunucuların yerel güvenlik ilkesinde tanımlanmıştır.

Administrators

Dosyaları ve dizinleri yedekleme

Hangi kullanıcıların sistemi yedekleme amacıyla dosya ve dizin, kayıt defteri ve diğer kalıcı nesne izinlerini geçebileceğini belirler.

Administrators ve Backup Operators

Çapraz denetimi atlama

Bu kullanıcı hakkı, hangi kullanıcıların geçilen dizinde izinlere sahip olmasa bile dizin ağaçlarına çapraz geçiş yapabileceğini belirler. Bu ayrıcalık, kullanıcının dizin içeriğini listelemesine değil yalnızca dizine çapraz geçiş yapmasına izin verir.

Bu kullanıcı hakkı Varsayılan Etki Alanı Denetleyicisi GPO'sunda ve iş istasyonları ile sunucuların yerel güvenlik ilkesinde tanımlanmıştır.

İş istasyonları ve sunucular: Administrators, Backup Operators, Power Users, Users ve Everyone

Etki alanı denetleyicileri: Administrators ve Authenticated Users

Sistemin saatini değiştirme

Hangi kullanıcı ve grupların bilgisayarın iç saatindeki saat ve tarihi değiştirebileceğini belirler. Bu kullanıcı hakkı atanmış olan kullanıcılar olay günlüklerinin görünümünü etkileyebilir. Sistem saati değiştirilirse, günlüğe kaydedilen olaylar gerçekleştikleri gerçek saati değil, bu yeni saati gösterir.

Bu kullanıcı hakkı Varsayılan Etki Alanı Denetleyicisi GPO'sunda ve iş istasyonları ile sunucuların yerel güvenlik ilkesinde tanımlanmıştır.

İş istasyonları ve sunucular: Administrators ve Power Users

Etki alanı denetleyicileri: Administrators ve Server Operators

Disk belleği dosyası oluşturma

Kullanıcının disk belleği dosyası oluşturabilmesini ve disk belleği dosyasının boyutunu değiştirebilmesini sağlar. Bu işlem, Sistem özelliklerinin Gelişmiş sekmesindeki Performans Seçenekleri altında belirli bir sürücünün disk belleği dosyası boyutu belirlenerek yapılır.

Administrators

Belirteç nesnesi oluşturma

Bir işlemin, daha sonra NtCreateToken() veya diğer belirteç oluşturma API'lerini kullandığında herhangi bir yerel kaynağa erişmek için kullanabileceği bir belirteç oluşturmasına izin verir.

Bu ayrıcalığı gerektiren işlemler, bu ayrıcalığın özel olarak atandığı ayrı bir kullanıcı hesabını kullanmak yerine, bu ayrıcalığı zaten içeren Local System hesabını kullanmalıdır.

No one

Genel nesneler oluşturma

Terminal Hizmetleri veya Uzak Masaüstü Hizmetleri oturumunda hangi hesapların genel nesneler oluşturabileceğini belirler.

Administrators ve Local System

Kalıcı paylaşılan nesneler oluşturma

Bir işlemin, işletim sisteminin nesne yöneticisinde bir dizin nesnesi oluşturabilmesini sağlar. Bu ayrıcalık, nesne ad alanını genişleten çekirdek modu bileşenleri için faydalıdır. Çekirdek modunda çalışan bileşenler bu kullanıcı hakkına zaten sahiptir; ayrıcalığın özel olarak atanması gerekmez.

No one

Programlarda hata ayıklama

Hangi kullanıcıların herhangi bir işleme veya çekirdeğe hata ayıklayıcı ekleyebileceğini belirler. Kendi uygulamalarının hatalarını ayıklayan geliştiricilere bu kullanıcı hakkının atanması gerekmez. Yeni sistem bileşenlerinin hatalarını ayıklayan geliştiricilere bu kullanıcı hakkının atanması gerekir. Bu kullanıcı hakkı gizli ve önemli işletim sistemi bileşenlerine tam erişim sağlar.

Administrators ve Local System

Temsilci seçme için bilgisayar ve kullanıcı hesaplarına güvenilmesini etkinleştirme

Hangi kullanıcıların Temsilci Olarak Güvenilir ayarını kullanıcı veya bilgisayar nesnesi üzerinde ayarlayabileceğini belirler.

Bu ayrıcalığın verildiği kullanıcı veya nesnenin, kullanıcı veya bilgisayar nesnesi üzerindeki hesap denetimi bayraklarına yazma erişiminin olması gerekir. Temsilci olarak güvenilen bir bilgisayarda (veya bir kullanıcı bağlamında) çalışan bir sunucu işlemi, istemci hesabında Hesaba temsilci seçilemez hesap denetim bayrağı ayarlanmadığı sürece, istemciyi temsil eden kimlik bilgilerini kullanarak başka bir bilgisayardaki kaynaklara erişebilir.

Bu kullanıcı hakkı Varsayılan Etki Alanı Denetleyicisi GPO'sunda ve iş istasyonları ile sunucuların yerel güvenlik ilkesinde tanımlanmıştır.

Etki alanı denetleyicileri: Administrators

Uzaktaki sistemden kapatmayı zorlama

Hangi kullanıcıların ağdaki uzak bir konumdan bilgisayarı kapatmasına izin verildiğini belirler. Bu kullanıcı hakkının hatalı kullanımı hizmetin reddedilmesine yol açabilir.

Bu kullanıcı hakkı Varsayılan Etki Alanı Denetleyicisi GPO'sunda ve iş istasyonları ile sunucuların yerel güvenlik ilkesinde tanımlanmıştır.

İş istasyonları ve sunucular: Administrators

Etki alanı denetleyicileri: Administrators ve Server Operators

Güvenlik denetimleri oluşturma

Güvenlik günlüğüne girdi eklemek için bir işlem tarafından hangi hesapların kullanılabileceğini belirler. Güvenlik günlüğü yetkisiz sistem erişimlerini izlemek için kullanılır. Denetle: Güvenlik denetimleri günlüğü tutulamazsa sistemi hemen kapat güvenlik ilkesi ayarı etkinleştirilmişse, bu kullanıcı hakkının hatalı kullanımı birçok denetim olayının oluşturulmasına neden olarak bir saldırının kanıtlarını gizleyebilir veya hizmet reddine neden olabilir. Daha fazla bilgi için bkz. Denetle: Güvenlik denetimleri günlüğü tutulamazsa sistemi hemen kapat (bu sayfa İngilizce içeriğe sahip olabilir) (https://go.microsoft.com/fwlink/?LinkId=136299).

Local System

Kimliğini doğruladıktan sonra istemcinin özelliklerini alma

Hangi hesapların diğer hesapların özelliklerini almasına izin verileceğini belirler.

Administrators ve Service

Zamanlama önceliğini arttırma

Hangi hesapların başka bir işleme atanmış yürütme önceliğini artırmak için diğer işleme Yazma özelliği erişimi olan bir işlemi kullanabileceğini saptar. Bu ayrıcalığa sahip kullanıcı, Görev Yöneticisi kullanıcı arabirimi aracılığıyla bir işlemin zamanlama önceliğini değiştirebilir.

Administrators

Aygıt sürücülerini yükleme ve kaldırma

Hangi kullanıcıların çekirdek moduna dinamik olarak aygıt sürücüleri veya başka bir kod yükleyip kaldırabileceğini belirler. Bu kullanıcı hakkı Tak ve Kullan aygıt sürücüleri için geçerli değildir. Aygıt sürücüleri güvenilir (veya üst düzey ayrıcalıklı) programlar olarak çalıştırıldıklarından, bu ayrıcalığı diğer kullanıcılara atamamalısınız. Bunun yerine, StartService() API'sini kullanın.

Administrators

Bellekteki sayfaları kilitleme

Hangi hesapların verileri fiziksel bellekte tutarak sistemin onları diskteki sanal belleğe kopyalamasını önleyen bir işlem kullanabileceğini belirler. Bu ayrıcalığın uygulanması, kullanılabilir rasgele erişim belleği (RAM) miktarını azaltarak sistem performansını önemli ölçüde etkileyebilir.

Yok; bazı sistem işlemleri ayrıcalığa kendiliğinden sahiptir

Denetim ve güvenlik günlüğünü yönetme

Hangi kullanıcıların dosyalar, Active Directory nesneleri ve kayıt defteri anahtarları gibi bağımsız kaynaklar için nesne erişim denetimi seçenekleri belirtebileceğini belirler.

Bu güvenlik ayarı, kullanıcının dosya ve nesne erişim denetimini etkinleştirmesine izin vermez. Söz konusu denetimin etkinleştirilmesi için, Bilgisayar Yapılandırması\Windows Ayarları\Güvenlik Ayarları\Yerel İlkeler\Denetim İlkeleri'ndeki Nesne erişimini denetle ayarının yapılandırılması gerekir. Daha fazla bilgi için bkz. Nesne erişimini denetleme (bu sayfa İngilizce içeriğe sahip olabilir) (https://go.microsoft.com/fwlink/?LinkId=136283).

Denetlenen olayları, Olay Görüntüleyicisi'nin güvenlik günlüğünde görüntüleyebilirsiniz. Bu ayrıcalığa sahip bir kullanıcı, ayrıca Güvenlik günlüğünü görüntüleyip temizleyebilir.

Administrators

Bellenim ortamı değerlerini değiştirme

Bellenim ortamı değerlerini kimin değiştirebileceğini belirler. Bellenim ortamı değişkenleri x86 tabanlı olmayan bilgisayarların kalıcı RAM'ine depolanmış ayarlardır. Ayarın etkisi işlemciye bağlıdır.

  • x86 tabanlı bilgisayarlarda, bu kullanıcı hakkının atanmasıyla değiştirilebilecek tek bellenim ortamı değeri, yalnızca sistem tarafından değiştirilmesi gereken Bilinen Son İyi Yapılandırma ayarıdır.

  • Itanium tabanlı bilgisayarlarda, önyükleme bilgileri kalıcı RAM'de depolanır. Kullanıcıların Bootcfg.exe'yi çalıştırabilmesi ve Sistem Özellikleri'nde Başlangıç ve Kurtarma'da Varsayılan İşletim Sistemi ayarını değiştirebilmesi için, bu kullanıcı hakkının atanması gerekir.

  • Tüm bilgisayarlarda, Windows'u yüklemek veya yükseltmek için bu kullanıcı hakkı zorunludur.

Administrators ve Local System

Tek işlem profili oluşturma

Hangi kullanıcıların sistem dışı işlemlerin performansını izlemek için performans izleme araçlarını kullanabileceğini belirler.

Administrators, Power Users ve Local System

Sistem performansının profilini oluşturma

Hangi kullanıcıların, sistem işlemlerinin performansını izlemek için performans izleme araçlarını kullanabileceğini belirler.

Administrators ve Local System

Bilgisayarı takma biriminden çıkarma

Kullanıcının oturum açmadan taşınabilir bilgisayarı takma biriminden çıkarıp çıkaramayacağını belirler.

Bu ilke etkinleştirilirse, kullanıcının taşınabilir bilgisayarı takma biriminden çıkarabilmesi için oturum açması gerekir. Bu ilke devre dışı bırakılırsa, kullanıcı oturum açmadan taşınabilir bilgisayarı takma biriminden çıkarabilir.

Devre Dışı

İşlem düzeyi belirtecini değiştirme

Başlatılan bir alt işlemle ilişkilendirilen varsayılan belirteci değiştirmek için hangi kullanıcı hesaplarının bir işlem başlatabileceğini belirler.

Bu kullanıcı hakkı Varsayılan Etki Alanı Denetleyicisi GPO'sunda ve iş istasyonları ile sunucuların yerel güvenlik ilkesinde tanımlanmıştır.

Local Service ve Network Service

Dosyaları ve dizinleri geri yükleme

Yedeklenen dosya ve dizinleri geri yüklerken hangi kullanıcıların dosya, dizin, kayıt defteri ve diğer kalıcı nesne izinlerini atlayabileceğini ve nesnenin sahibi olarak hangi kullanıcıların geçerli güvenlik ilkesini ayarlayabileceğini belirler.

Bu kullanıcı hakkı özellikle, bir kullanıcıya veya gruba, sistemdeki tüm dosyalar ve klasörler için aşağıdaki izinleri vermeye benzer:

  • Klasörü Geç/Dosya Yürüt

  • Yazma

İş istasyonları ve sunucular: Administrators ve Backup Operators

Etki alanı denetleyicileri: Administrators, Backup Operators ve Server Operators

Sistemi kapatma

Bilgisayarda yerel olarak oturum açmış kullanıcıların hangilerinin Kapat komutunu kullanarak işletim sistemini kapatabileceğini belirler. Bu kullanıcı hakkının hatalı kullanımı hizmetin reddedilmesine yol açabilir.

İş istasyonları: Administrators, Backup Operators, Power Users ve Users

Sunucular: Administrators, Backup Operators ve Power Users

Etki alanı denetleyicileri: Account Operators, Administrators, Backup Operators, Server Operators ve Print Operators

Dizin hizmet verilerini eşitleme

Hangi kullanıcıların ve grupların tüm dizin hizmeti verilerini eşitleme yetkisi olduğunu belirler. Bu, Active Directory eşitlemesi olarak da bilinir.

Yok

Dosyaların ve diğer nesnelerin sahipliğini alma

Hangi kullanıcıların sistemdeki Active Directory nesneleri, dosyalar ve klasörler, yazıcılar, kayıt defteri anahtarları, işlemler ve iş parçacıklarını da içeren güvenliği sağlanabilir nesnelerin sahipliğini alabileceğini belirler.

Administrators

Bazı ayrıcalıklar bir nesnede ayarlanmış izinleri geçersiz kılabilir. Örneğin, Backup Operators grubunun üyesi olarak bir etki alanında oturum açmış bir kullanıcı tüm etki alanı sunucuları için yedekleme işlemlerini gerçekleştirme hakkına sahiptir. Ancak bu, söz konusu sunuculardaki tüm dosyaları, sahiplerinin Backup Operators grubunun üyelerini de içeren tüm kullanıcıların erişimini açık bir şekilde reddeden izinler ayarladığı dosyaları bile okuyabilme özelliğini gerektirir. Bir kullanıcı hakkı (bu durumda, yedekleme gerçekleştirme hakkı), tüm dosya ve dizin izinlerinden önce gelir. Daha fazla bilgi için bkz. Yedekleme ve Kurtarma (bu sayfa İngilizce içeriğe sahip olabilir) (https://go.microsoft.com/fwlink/?LinkID=131606).

Not

Ayrıcalıklarınızı görmek için bir komut istemine whoami /priv yazabilirsiniz.

İçindekiler