Права и привилегии на вградени групи в Active Directory
Права и привилегии на вградени групи в Active Directory
За да се опрости управлението на потребителските акаунти, присвоява привилегии трябва първо да групирате профили и не за отделни потребителски акаунти. При възлагане на потребителите на група сметка привилегии автоматично получи тези права, когато те станат членове на групата. Този метод за управление привилегия е много по-лесно да възложи отделни привилегии на всеки потребителски акаунт, когато създаването на профила.
Списък на BUILTIN Active Directory групи
Отваряне на ADUC модула в (Directory Потребители Активни и компютри), и да видим в съда Вграден, тук е списък на групи, като всяка от тях има подробно описание на неговата употреба. Най-много съм използвал на практика могат да бъдат идентифицирани:
Следва изброяване на маса и описва предимствата, предоставени от потребителя.
стойност по подразбиране
Функциониращ като част от операционната система
Добави работни станции за домейн
В нея се посочват групи или потребители, които могат да добавят работни станции domen.Eto потребителското право се използват само за домейн контролери. По подразбиране, това право има някакви регистрирани потребители; той може да създаде до 10 компютърни сметки в записите на домейни.
С добавянето на сметката на домейн, компютърът ще разпознае сметки и групи, които съществуват в услуги за домейни Active Directory (AD DS).
Домейн контролерите. "За удостоверения"
Регулиране на квоти памет за процес
Определя потребители, които могат да променят максималното количество памет, използвана protsessom.Eto потребителското право е дефиниран в "Default Domain Controller" на GPO и местна политика за сигурност на работни станции и сървъри.
Архивиране на файлове и директории
Определя потребители, които могат да надхитрят правата за достъп до файлове, директории, регистър, както и други предмети, устойчиви при архивиране на системата.
"Администратори" и "Backup оператори"
Байпас траверс проверка
Определя които потребителите могат да генерират преглед на дървото на директориите, дори и ако тези потребители не разполагат с разрешения на указателя. Тази привилегия не позволява на потребителите да виждат съдържанието на дадена директория, и ви позволява да извършвате само потребителското obzor.Eto прав е дефиниран в "Default Domain Controller" на GPO и местна политика за сигурност на работни станции и сървъри.
Работни станции и сървъри. "Администратори", "Backup Operators", "Power Users", "Потребители", "Всички" Домейн контролери. "Администратори" и "удостоверена"
Промяна на системата време
Той определя потребителите и групите, които могат да променят времето и датата, на вътрешния часовник на компютъра. Потребителите с това право могат да променят външния вид на записите на събитията. Ако промените системното време записано събитие ще покаже новото време, а не реалното време на възникване sobytiya.Eto потребителското право е дефиниран в "Default Domain Controller" на GPO и местна политика за сигурност на работни станции и сървъри.
Работни станции и сървъри. "Администратори" и "Power Users" домейн контролери. "Администратори" и "Сървърни оператори"
Създаване на pagefile
Тя ви позволява да създадете файл суап и да промените размера му. За тази цел Опции група за изпълнение на Advanced система oknaSvoystva раздел трябва да посочат размера на файла за виртуална памет за дадено устройство.
Създаване на обект от тип Token
Позволява на процеса за създаване на маркер, който след това може да се използва за достъп до който и да е местен ресурс, когато се прилага NtCreateToken () или друг API, създавайки token.Protsessy изискващи тази сметка, вместо да се използва отделен потребителски акаунт със специално назначен привилегия сметка трябва да се прилага "Местна система ", която вече включва тази привилегия.
Създаване на глобални обекти
Определя сметки, които могат да създават глобални обекти в сесия Terminal Services или отдалечен работен плот.
"Администратори" и "Local System"
Създаване на трайни споделени обекти
Тя позволява на един процес да се създаде директория обект в диспечера на обект на операционната система. Тази привилегия е полезно за работата в основните компоненти на режима, които се простират на обект пространство от имена. Компоненти, които работят в режим на ядрото вече имат тази привилегия, така че не е необходимо да се възложи.
Той определя на потребителите, които могат да се прикрепят за корекция на грешки и да е процес или на ядрото. Разработчиците, които са за отстраняване на грешки свои собствени приложения, това право не е необходимо да се назначат. Това право следва да се възложи на разработчиците да трасира новите компоненти на системата. Това право осигурява пълен достъп до най-важните компоненти на операционната система.
"Администратори" и "Local System"
Резолюция на доверие към сметките на компютъра и потребителя за делегиране
Този потребител прав е дефиниран в "Default Domain Controller" на GPO и местна политика за сигурност на работни станции и сървъри.
Домейн контролерите. "Администратори"
Принудително дистанционно изключване
Той определя кои потребители имат право да дистанционно изключване на компютъра. Неправилното използване на този потребител дясно може да доведе до отказ на obsluzhivanii.Eto потребителското право е дефиниран в "Default Domain Controller" на GPO и местна политика за сигурност на работни станции и сървъри.
Работни станции и сървъри. "Администратори" домейн контролери. "Администратори" и "Сървърни оператори"
Генериране на одити на сигурността
Да се представяте клиент след удостоверяване
Определя сметки, които имат право да се представяте за други сметки.
"Администратори" и "Обслужване"
Увеличаване на график с приоритет
Определя кои профили да използвате процес, който има право на достъп "запис свойства" за друг процес, за повишаване на ефективността на приоритета, възложен на друг процес. Потребител с тази привилегия може да промените приоритета на процес, чрез потребителския интерфейс на Task Manager.
Товаренето и разтоварването на драйвери на устройства
Той определя кои потребители могат динамично зареждането и разтоварването драйвери на устройства или друг код в режим на ядрото. Този потребител право не е приложимо за драйвери на устройства щепсела и да играе. Тъй като драйвери на устройства работят като надежден (или силно привилегировани) програми, които не възлагат привилегия на другите потребители. Вместо това използвайте StartService API ().
Заключване на страници в паметта
Определя кои профили да използвате процеса за съхранение на данни в физическа памет, за да се предотврати изхвърлянето на данните в виртуална памет на диска. Прилагайки тази привилегия може значително да повлияе на работата на системата, намаляване на размера на наличната памет (RAM).
Не, някои системни процеси имат привилегията първоначално
одит и системата за сигурност управление
Промяна на стойността на параметрите на околната среда хардуер
Тя определя кой може да промени стойностите на параметрите на хардуер среда. променливи на обкръжението хардуер - това е параметри се съхраняват в енергонезависима компютърна памет, чиято архитектура е различна от x86. Действието на настройка зависи от процесора.
- На x86 компютри само стойността на хардуер среда, които могат да променят разпределението на правата на потребителя - параметър последната добра конфигурация. което трябва да се промени само системата.
- Компютрите в данните обувка Itanium-базирани се съхраняват в енергонезависима памет. Този потребител право е необходимо за извършване на Bootcfg.exe програма и промяна на системните настройки, работещи Startup компонент подразбиране и диалоговия прозорец Recovery System Properties.
- На всички компютри, този потребител прав е нужен за инсталиране и обновяване на Windows.
"Администратори" и "Local System"
Профилиране на един процес
Определя потребители, които могат да се използват средства за контрол на продуктивните качества и наблюдавайте ефективността на процесите извън системата.
"Администратори", "Power Users" и "Local System"
Профилиране на ефективността на системи
Определя потребители, които могат да се използват средства за контрол на продуктивните качества да наблюдава изпълнението на системните процеси.
"Администратори" и "Local System"
Премахване на компютъра от докинг станция
Определя дали потребителят може да откачите преносим компютър от докинг станция, без да влизате в sistemu.Esli това правило е включено, потребителя, преди да изключите лаптопа от докинг станцията трябва да бъдат регистрирани. Ако това правило е забранено, потребителят може да се изключи лаптопа от докинг станция, без да излизате от.
Замяна на токена на ниво процес
Определя кои потребителски акаунти могат да инициират процеса на подмяна означение по подразбиране от работа с podprotsessom.Eto потребителското право е дефиниран в "Default Domain Controller" на GPO и местна политика за сигурност на работни станции и сървъри.
"Местен Service" и "Услуга на мрежата"
Възстановяване на файлове и директории
Определя потребители, които могат да надхитрят правата върху файлове, директории, регистър, както и други постоянни обекти в събирането на архивни файлове и директории, както и потребители, които могат да преотстъпват валиден титуляр сигурност подлежи obekta.V частност, този потребител прав е подобен на предоставяне на следните разрешения за потребителя или група за всички папки и файлове в системата:
- Traverse Папка / Изпълнение на файла
- рекорд
Работни станции и сървъри. "Администратори" и "Backup оператори" домейн контролери. "Администратори", "Backup Operators" и "Сървърни оператори"
система за изключване
Указва на потребителя, който, след като влезете в локално може да се изключи от операционната система с помощта на Shut Down команда. Неправилното използване на този потребител дясно може да доведе до отказ на услуга.
Работни станции. "Администратори", "Backup Operators", "Power Users", "Потребители" сървъри. "Администратори", "Backup Operators", "Потребители с"
Домейн контролерите. "Операторите на профила", "Администратори", "Резервни оператори", "Сървърни оператори", "Принт оператори"
Синхронизиране на данни директория услуги
Той определя потребителите и групите, които имат право да се синхронизира всички данни директория услуги. Това се нарича също синхронизация Active Directory.
Вземете собствеността на файлове или други предмети
Определя потребители, които могат да вземат участие на всеки, което е фиксирано системен обект, в това число: Directory обекти Активни, файлове и папки, принтери, ключове в регистъра, процеси и нишки.
Популярни публикации:
Един Отговор към правата и привилегиите на вградени групи в Active Directory
Свързани статии