使用者權限會將特定的權限和登入權利,授與給在計算環境中的使用者及群組。系統管理員可以將特定的權利指派給群組帳戶或個別的使用者帳戶。獲得授權的使用者可以執行特定的動作,例如互動式登入系統或備份檔案及目錄。
若要簡化使用者帳戶的系統管理工作,您應該主要將權限指派給群組帳戶,而非指派給個別使用者帳戶。將權限指派給群組帳戶,當使用者成為該群組的成員時,會自動將這些權限指派給他們。以這種方法來管理權限,遠比在建立帳戶時指派個別權限給每個使用者帳戶要簡單得多。
下表列出及描述可以授與使用者的權限。
| 權限 | 描述 | 預設值 |
|---|---|---|
|
當成作業系統的一部分 |
允許處理程序在不經驗證的情況下模擬任何使用者。如此一來,處理程序就能取得與該使用者相同的本機資源存取權。 需要此權限的處理程序應該使用已包含此權限的 Local System 帳戶,而非使用特別指派此權限的獨立使用者帳戶。您不需要指派此權限給使用者,除非您的組織使用執行 Windows 2000 或 Windows NT 4.0 的伺服器,並使用以純文字格式交換密碼的應用程式。 |
Local System |
|
將工作站新增至網域 |
決定哪些群組或使用者可以將工作站新增至網域。 此使用者權限僅在網域控制站上有效。根據預設值,所有通過驗證的使用者皆擁有此權利,並能在網域中建立最多 10 個電腦帳戶。 將電腦帳戶新增至網域可讓電腦識別 Active Directory 網域服務 (AD DS) 中存在的帳戶及群組。 |
網域控制站:Authenticated Users |
|
調整處理程序的記憶體配額 |
決定誰可以變更處理程序所能消耗的最大記憶體容量。 此使用者權限定義在 [預設網域控制站群組原則] 物件 (GPO) 及工作站、伺服器的本機安全性原則中。 |
Administrators |
|
備份檔案及目錄 |
決定哪些使用者可以出於備份系統的目的,略過檔案及目錄、登錄和其他持續物件的權限。 |
Administrators 及 Backup Operators |
|
略過周遊檢查 |
決定哪些使用者即使沒有周遊目錄的權限,也能夠周遊目錄樹狀結構。此權限不允許使用者列出目錄的內容,只能周遊目錄。 此使用者權限定義在 [預設網域控制站] GPO 及工作站、伺服器的本機安全性原則中。 |
工作站及伺服器:Administrators、Backup Operators、Power Users、Users 及 Everyone 網域控制站:Administrators 及 Authenticated Users |
|
變更系統時間 |
決定哪些使用者可以變更電腦內部時鐘的時間和日期。被指派此使用者權限的使用者能夠影響事件記錄檔的外觀。如果變更系統時間,則所記錄的事件將反映這個新時間,而非事件發生的實際時間。 此使用者權限定義在 [預設網域控制站] GPO 及工作站、伺服器的本機安全性原則中。 |
工作站及伺服器:Administrators 以及 Power Users 網域控制站:Administrators 及 Server Operators |
|
建立分頁檔 |
允許使用者建立及變更分頁檔的大小。其方法是,在 [系統內容] 的 [進階] 索引標籤上,於 [效能選項] 下為特定的磁碟機指定其分頁檔大小。 |
Administrators |
|
建立權杖物件 |
允許處理程序建立權杖,以便稍後當處理程序使用 NtCreateToken() 或其他權杖建立 API 時,能夠用該權杖來存取任何本機資源。 需要此權限的處理程序應該使用已包含此權限的 Local System 帳戶,而非使用特別指派此權限的獨立使用者帳戶。 |
沒有人 |
|
建立通用物件 |
決定哪些帳戶可以在 [終端機服務] 或 [遠端桌面服務] 工作階段中建立通用物件。 |
Administrators 及 Local System |
|
建立永久共用物件 |
允許處理程序在作業系統的物件管理員中建立目錄物件。此權限對於用以延伸物件命名空間的核心模式元件非常有用。這些在核心模式下執行的元件已繼承此權限,因此不需要再指派權限給它們。 |
沒有人 |
|
偵錯程式 |
決定哪些使用者可以將偵錯工具附加至任何處理程序或核心。不需要指派此使用者權限給正在偵錯其本身應用程式的開發人員。正在偵錯新系統元件的開發人員則必須指派此使用者權限。此使用者權限提供對機密及重要作業系統元件的完整存取權。 |
Administrators 及 Local System |
|
讓電腦及使用者帳戶受信賴,以進行委派 |
決定哪些使用者可以在使用者或電腦物件上設定 [受信任可以委派] 設定。 被授與此權限的使用者或物件,必須擁有使用者或電腦物件上之存取控制旗標的寫入權限。在受信任可以委派的電腦上 (或在使用者內容下),執行的伺服器處理程序可以透過用戶端的委派認證來存取另一台電腦的資源,前提是用戶端帳戶不能設定 [無法委派帳戶] 帳戶控制旗標。 此使用者權限定義在 [預設網域控制站] GPO 及工作站、伺服器的本機安全性原則中。 |
網域控制站:Administrators |
|
強制從遠端系統進行關閉 |
決定哪些使用者可以從網路的遠端位置將電腦關機。濫用此使用者權限會造成阻斷服務。 此使用者權限定義在 [預設網域控制站] GPO 及工作站、伺服器的本機安全性原則中。 |
工作站及伺服器:Administrators 網域控制站:Administrators 及 Server Operators |
|
產生安全性稽核 |
決定處理程序可以使用哪些帳戶將項目新增至安全性記錄檔中。安全性記錄檔是用來追蹤未經授權的系統存取。濫用此使用者權限會導致產生許多稽核事件、可能會隱藏攻擊的證據,或造成阻斷服務,如果啟用了 [稽核:當無法記錄安全性稽核時,系統立即關機] 安全性原則設定的話。如需相關資訊,請參閱 |
Local System |
|
在驗證後模擬用戶端 |
決定哪些帳戶可以模擬其他帳戶。 |
Administrators 及 Service |
|
增加排程優先順序 |
決定哪些帳戶可以使用擁有其他處理程序之 [寫入內容] 存取權的處理程序,來增加指派給其他處理程序的執行優先順序。擁有此權限的使用者可以透過 [工作管理員] 使用者介面來變更處理程序的排程優先順序。 |
Administrators |
|
載入及解除載入裝置驅動程式 |
決定哪些使用者可以在核心模式中動態地載入及解除載入裝置驅動程式或其他程式碼。此使用者權限不適用於隨插即用裝置驅動程式。因為裝置驅動程式會被當成受信任 (或高度優先) 的程式來執行,所以您不應該將此權限指派給其他使用者。而是應該使用 StartService() API。 |
Administrators |
|
鎖定記憶體中的分頁 |
決定哪些帳戶可以使用處理程序來保留實體記憶體中的資料,阻止系統將資料分頁到磁碟上的虛擬記憶體。履行此權限會降低可用的隨機存取記憶體 (RAM) 數量,對系統效能造成顯著影響。 |
無;部分系統處理程序已繼承此權限 |
|
管理稽核及安全性記錄檔 |
決定哪些使用者可以指定個別資源 (例如檔案、Active Directory 物件和登錄機碼) 的物件存取稽核選項。 此安全性設定不允許使用者啟用檔案及物件存取稽核。若要啟用這類稽核,則必須設定電腦設定\Windows 設定\安全性設定\本機原則\稽核原則中的 [稽核物件存取] 設定。如需相關資訊,請參閱 您可以在 [事件檢視器] 的 [安全性記錄檔] 中檢視所稽核的事件。擁有此權限的使用者也可以檢視及清除 [安全性記錄檔]。 |
Administrators |
|
修改韌體環境值 |
決定誰可以修改韌體環境值。韌體環境變數是儲存在非 x86 型電腦之靜態 RAM 中的設定。設定的效果需視處理器而定。
|
Administrators 及 Local System |
|
監視單一處理程序 |
決定哪些使用者可以使用效能監視工具來監視非系統處理程序的效能。 |
Administrators、Power Users 及 Local System |
|
監視系統效能 |
決定哪些使用者可以使用效能監視工具來監視系統處理程序的效能。 |
Administrators 及 Local System |
|
從銜接站移除電腦 |
決定使用者是否無需登入便可從銜接站卸除可攜式電腦。 如果啟用此原則,使用者必須先登入,才能從銜接站移除可攜式電腦。如果停用此原則,則使用者無需登入便可從銜接站移除可攜式電腦。 |
已停用 |
|
取代處理程序等級權杖 |
決定哪些使用者帳戶可以啟動處理程序來取代與已啟動之子處理程序有關的預設權杖。 此使用者權限定義在 [預設網域控制站] GPO 及工作站、伺服器的本機安全性原則中。 |
Local Service 及 Network Service |
|
還原檔案及目錄 |
決定哪些使用者可以在還原備份檔案及目錄時,略過檔案、目錄、登錄及其他持續物件的權限,並決定哪些使用者可以透過物件擁有者的身分來設定任何有效的安全性原則。 具體而言,此使用者權限類似於將系統上所有檔案及資料夾的下列權限授與給使用者或群組:
| 工作站及伺服器:Administrators 及 Backup Operators 網域控制站:Administrators、Backup Operators 及 Server Operators |
|
關閉系統 |
決定哪些從本機登入電腦的使用者可以使用 [關機] 命令來關閉作業系統。濫用此使用者權限會造成阻斷服務。 | 工作站:Administrators、Backup Operators、Power Users 及 Users 伺服器:Administrators、Backup Operators 及 Power Users 網域控制站:Account Operators、Administrators、Backup Operators、Server Operators 及 Print Operators |
|
同步處理目錄服務資料 |
決定要授權哪些使用者及群組同步處理所有目錄服務資料。這也稱為 Active Directory 同步處理。 |
無 |
|
取得檔案或其他物件的擁有權 |
決定哪些使用者可以取得系統中任何安全物件的擁有權,包括 Active Directory 物件、檔案及資料夾、印表機、登錄機碼、處理程序和執行緒。 | Administrators |
部分權限會覆寫物件上所設定的權限。例如,以 Backup Operators 群組成員身分登入網域帳戶的使用者,擁有針對所有網域伺服器執行備份作業的權利。但是這需要可在這些伺服器上讀取所有檔案的能力,甚至連擁有者已設定權限來明確拒絕所有使用者 (包括 Backup Operators 群組成員) 存取的檔案亦然。此時使用者權限 (即此案例中的執行備份權利) 會具有比所有檔案及目錄權限更高的優先順序。如需相關資訊,請參閱
 | 附註 |
您可以在命令提示字元中輸入 whoami /priv,以查看您的權限。 |