用户权限授予计算环境中的用户和组特定的特权和登录权限。管理员可以向组帐户或单个用户帐户分配特定权限。这些权限授权用户执行特定操作,如交互登录到系统或备份文件和目录。

为了方便执行用户帐户管理任务,应当主要向组帐户分配特权,而不是向单个用户帐户。向组帐户分配特权时,会同时向属于该组成员的用户自动分配这些特权。与创建用户帐户时向每个用户帐户分配单个特权相比,这种管理特权的方法要方便得多。

下表列出并描述了可以授予用户的特权。

特权 描述 默认设置

以操作系统方式执行

允许进程模拟任何用户而无需身份验证。因此,该进程可以获取该用户可以获取的相同本地资源。

要求具有此特权的进程应当使用已包括此特权的本地系统帐户,而不是另外使用需要专门分配此特权的用户帐户。除非组织使用运行 Windows 2000 或 Windows NT 4.0 的服务器以及以纯文本格式交换密码的应用程序,否则,无需向用户分配此特权。

本地系统

将工作站添加到域

确定哪些组或用户可以将工作站添加到域。

此用户权限仅对域控制器有效。默认情况下,经过身份验证的任何用户都拥有此权限,并且可以在域中创建多达 10 个计算机帐户。

在域中添加计算机帐户时,允许计算机识别 Active Directory 域服务 (AD DS) 中存在的帐户和组。

域控制器:Authenticated Users

调整进程的内存配额

确定哪些人可以更改进程可占用的最大内存。

此用户权限是在默认域控制器组策略对象 (GPO) 以及工作站和服务器的本地安全策略中定义的。

Administrators

备份文件和目录

确定哪些用户可以绕过文件和目录、注册表以及其他永久对象权限以备份系统。

Administrators 和 Backup Operators

跳过遍历检查

确定哪些用户即使在对所遍历的目录不具有权限时也可以遍历目录树。此特权不允许用户列出目录的内容,只允许遍历目录。

此用户权限是在默认域控制器 GPO 以及工作站和服务器的本地安全策略中定义的。

工作站和服务器:Administrators、Backup Operators、Power Users、Users 和 Everyone

域控制器:Administrators 和 Authenticated Users

更改系统时间

确定哪些用户和组可以更改计算机内部时钟上的时间和日期。分配了此用户权限的用户可以更改事件日志的外观。如果更改了系统时间,则记录的事件将反映此新时间,而不是这些事件发生时的实际时间。

此用户权限是在默认域控制器 GPO 以及工作站和服务器的本地安全策略中定义的。

工作站和服务器:Administrators 和 Power Users

域控制器:Administrators 和 Server Operators

创建一个页面文件

允许用户创建页面文件和更改页面文件的大小。此操作通过在“系统属性”“高级”选项卡中的“性能选项”下为特定驱动器指定一个页面文件大小来实现。

Administrators

创建一个令牌对象

当进程使用 NtCreateToken() 或其他令牌创建 API 时,允许进程创建一个可用于获取对任何本地资源的访问权限的令牌。

要求具有此特权的进程应当使用已包括此特权的本地系统帐户,而不是另外使用需要专门分配此特权的用户帐户。

无人

创建全局对象

确定哪些帐户可以在终端服务或远程桌面服务会话中创建全局对象。

Administrators 和本地系统

创建永久共享对象

允许进程在操作系统的对象管理器中创建目录对象。此特权对于扩展对象命名空间的内核模式组件非常有用。正在以内核模式运行的组件本身已具有此特权;因此,不必向它们分配该特权。

无人

调试程序

确定哪些用户可以将调试器连接到任何进程或内核。无需向正在调试其应用程序的开发人员分配此用户权限。而对于正在调试新系统组件的开发人员,则需要向他们分配此用户权限。此用户权限提供对敏感和关键操作系统组件的完全访问权限。

Administrators 和本地系统

信任计算机和用户帐户可以执行委派

确定哪些用户可以在用户或计算机对象上设置“已为委派信任”设置。

授予此特权的用户或对象必须对用户或计算机对象上的帐户控制标志具有写入访问权限。在已信任委派的计算机上(或用户上下文中)运行的服务器进程可以通过使用客户端的委派凭据访问另一台计算机上的资源,前提是该客户端的帐户没有设置“帐户无法委派”帐户控制标志。

此用户权限是在默认域控制器 GPO 以及工作站和服务器的本地安全策略中定义的。

域控制器:Administrators

从远程系统强制关机

确定允许哪些用户从网络上的远程位置关闭计算机。误用此用户权限可能会导致拒绝服务。

此用户权限是在默认域控制器 GPO 以及工作站和服务器的本地安全策略中定义的。

工作站和服务器:Administrators

域控制器:Administrators 和 Server Operators

生成安全审核

确定进程可以使用哪些帐户在安全日志中添加条目。安全日志用于跟踪未经授权的系统访问。如果启用了“审核: 如果无法记录安全审核则立即关闭系统”安全策略设置,误用此用户权限可能会导致产生许多审核事件,其中包括可能会隐藏攻击证据或导致拒绝服务。有关详细信息,请参阅审核: 如果无法记录安全审核则立即关闭系统(可能为英文网页)(https://go.microsoft.com/fwlink/?LinkId=136299)。

本地系统

身份验证后模拟客户端

确定允许哪些帐户模拟其他帐户。

Administrators 和服务

提高日程安排的优先级

确定哪些帐户可以使用对其他进程具有“写入属性”访问权限的进程来提高分配给其他进程的执行优先级。具有此特权的用户可以通过任务管理器用户界面更改进程的日程安排优先级。

Administrators

装载和卸载设备驱动程序

确定哪些用户可以将设备驱动程序或其他代码动态加载到内核模式中以及从中卸载。此用户权限不适用于即插即用设备驱动程序。因为设备驱动程序作为受信任(或高特权)的程序运行,所以不应将此特权分配给其他用户。而应使用 StartService() API。

Administrators

将页锁定在内存

确定哪些帐户可以使用进程将数据保存在物理内存中,这样可防止系统将数据分页到磁盘上的虚拟内存中。行使此特权会因降低可用随机存取内存 (RAM) 的数量而显著影响系统性能。

无;某些系统进程本身具有该特权

管理审核和安全日志

确定哪些用户可以为各种资源(如文件、Active Directory 对象和注册表项)指定对象访问审核选项。

此安全设置不允许用户启用文件和对象访问审核。若要启用此审核,必须在“计算机配置”\“Windows 设置”\“安全设置”\“本地策略”\“审核策略”中配置审核对象访问设置。有关详细信息,请参阅审核对象访问(可能为英文网页)(https://go.microsoft.com/fwlink/?LinkId=136283)。

可以在事件查看器的安全日志中查看已审核的事件。具有此特权的用户也可以查看和清除安全日志。

Administrators

修改固件环境值

确定哪些人可以修改固件环境值。固件环境变量是在非基于 x86 的计算机的永久性 RAM 中存储的设置。该设置的作用取决于处理器。

  • 在基于 x86 计算机上,可以通过分配此用户权限修改的唯一固件环境值是“最近一次的正确配置”设置,该设置应该只由系统进行修改。

  • 在基于 Itanium 的计算机上,启动信息存储在永久性 RAM 中。必须向用户分配此用户权限,他们才能运行 Bootcfg.exe,并更改“系统属性”“启动和故障恢复”中的“默认操作系统”设置。

  • 在所有计算机上,都需要此用户权限才能安装或升级 Windows。

Administrators 和本地系统

配置单一进程

确定哪些用户可以使用性能监视工具来监视非系统进程的性能。

Administrators、Power Users 和本地系统

配置系统性能

确定哪些用户可以使用性能监视工具来监视系统进程的性能。

Administrators 和本地系统

从扩展坞中取出计算机

确定用户是否可以在未登录的情况下将便携式计算机从其扩展坞中移除。

如果启用此策略,用户必须先登录才能将便携式计算机从其扩展坞中移除。如果禁用此策略,用户便可以在未登录的情况下将便携式计算机从其扩展坞中移除。

已禁用

替换一个进程级令牌

确定哪些用户帐户可以启动用于替换与已启动的子进程关联的默认令牌的进程。

此用户权限是在默认域控制器 GPO 以及工作站和服务器的本地安全策略中定义的。

本地服务和网络服务

还原文件和目录

确定哪些用户可以在还原备份的文件和目录时绕过文件、目录、注册表和其他永久对象权限,以及确定哪些用户可以将任何有效的安全主体设置为对象所有者。

特殊情况下,此用户权限类似于向用户或组授予对系统上所有文件和文件夹的以下权限:

  • 遍历文件夹/执行文件

  • 写入

工作站和服务器:Administrators 和 Backup Operators

域控制器:Administrators、Backup Operators 和 Server Operators

关闭系统

确定在本地登录到计算机的哪些用户可以使用“关机”命令关闭操作系统。误用此用户权限可能会导致拒绝服务。

工作站:Administrators、Backup Operators、Power Users 和 Users

服务器:Administrators、Backup Operators 和 Power Users

域控制器:Account Operators、Administrators、Backup Operators、Server Operators 和 Print Operators

同步目录服务数据

确定哪些用户和组有权同步所有目录服务数据。这也称为 Active Directory 同步。

获得文件或其他对象的所有权

确定哪些用户可以取得系统中所有安全对象的所有权,这些对象包括 Active Directory 对象、文件和文件夹、打印机、注册表项、进程以及线程。

Administrators

某些特权会替代在对象上设置的权限。例如,以 Backup Operators 组成员的身份登录到域帐户的用户具有对所有域服务器执行备份操作的权限。但是,这样要求能够读取这些服务器上的所有文件,甚至是文件所有者已设置权限明确拒绝所有用户(包括 Backup Operators 组成员)访问的文件。在这种情况下,用户执行备份的权限就会优先于所有文件和目录权限。有关详细信息,请参阅备份和恢复(可能为英文网页)(https://go.microsoft.com/fwlink/?LinkID=131606)。

注意

可以在命令提示符下键入 whoami /priv 查看您的特权。

目录