IT技术互动交流平台

Windows Server2003组模式下用户权限分配

作者:cdlaowang   发布日期:2013-03-01 08:46:51

1.备份文件和目录

此用户权限确定哪些用户可以绕过文件和目录、注册表和其他永久对象权限进行系统备份。

特殊情况下,此用户权限类似于向系统上所有文件和文件夹涉及到的用户或组授予下列权限:

Traverse Folder/Execute File

List Folder/Read Data

Read Attributes

Read Extended Attributes

Read Permissions

-----------------------------------

遍历文件夹/执行文件

列表文件夹/读取数据

读属性

读扩展属性

阅读权限

默认: Administrators 和 Backup Operators。

警告:

分配此用户权限可能有安全风险。由于没有办法确定用户是否正在备份数据、窃取数据或复制数据以进行分发,请仅向受信任的用户分配此用户权限。

2.创建令牌对象

此安全设置确定进程可以使用哪些帐户创建令牌,该令牌接着可以在进程使用内部应用程序编程接口(API)创建访问令牌时用于获取任何本地资源的访问权限。

此用户权限供操作系统内部使用。除非必要,请不要将此用户权限分配给 Local System 之外的用户、组或进程。

默认: Local System。

警告:

分配此用户权限可能有安全风险。请不要将此用户权限分配给不希望其接管系统的任何用户、组或进程。

3.创建全局对象

此用户权限对于在终端服务会话过程中创建全局对象的用户帐户是必需的。未分配此用户权限的用户仍可以创建特定于会话的对象。

默认:

    Administrators

    Local System

    Services

警告:

分配此用户权限可能有安全风险。请仅向受信任的用户分配此用户权限。

4.创建页面文件

此用户权限确定哪些用户和组可以调用内部应用程序编程接口(API)创建页面文件。此用户权限供操作系统内部使用,且通常不需要分配给任何用户。

有关如何为某个给定的驱动器指定分页文件大小的信息,请参阅"更改虚拟内存页面文件的大小"。

默认: Administrators。

5.创建永久共享对象

此用户权限确定进程可以使用哪些帐户在 Windows 2000 Server、Windows 2000 Professional、Windows XP Professional 和 Windows Server 2003 家族对象管理器中创建目录对象。

此用户权限供操作系统内部使用,且对于扩展 Windows 2000 Server、Windows 2000 Professional、Windows XP Professional 和 Windows Server 2003 家族对象命名空间的内核模式组件非常有用。因为已经将此用户权限分配给了内核模式下运行的组件,所以就没有必要再专门分配此用户权限。

默认: Local System。

6.从扩展坞上移除计算机

此安全设置确定用户是否可以无需登录而从其扩展坞上移除便携式计算机。

如果启用此策略,则用户必须登录,才能从其扩展坞上移除便携式计算机。如果禁用此策略,则用户可以无需登录而从其扩展坞移除便携式计算机。

默认: 禁用。

7.从网络访问此计算机

此用户权限确定允许哪些用户和组通过网络连接到计算机。此用户权限不影响终端服务。

默认值:

在工作站和服务器上:

    管理员

    备份操作员

    高级用户

    用户

    所有人

在域控制器上:

    管理员

    经过身份验证的用户

    所有人

8.从远程系统强制关机

此安全设置确定允许哪些用户从网络上的远程位置关闭计算机。误用此用户权限会导致拒绝服务。

此用户权限是在默认域控制器组策略对象(GPO)以及工作站和服务器的本地安全策略中进行定义的。

默认:

在工作站和服务器上:

    Administrators。

在域控制器上:

    Administrators

    Server Operators。

9.调试程序

此用户权限确定哪些用户可以将调试程序连接到任何进程或连接到内核。不需要将此用户权限分配给正在调试自己的应用程序的开发人员。调试新系统组件的开发人员将需要此用户权限来执行相应操作。此用户权限提供对敏感和关键系统组件的完全访问权限。

默认:

    Administrators

    Local System

警告:

分配此用户权限可能有安全风险。请仅向受信任的用户分配此用户权限。

10.为进程调整内存配额

此权限确定谁可以更改进程可消耗的最大内存。

此用户权限是在默认域控制器组策略对象(GPO)以及工作站和服务器的本地安全策略中进行定义的。

默认: Administrators。

注意:

此权限对于系统调整非常有用,但它可以被误用,例如,在拒绝服务攻击中。

11.更改系统时间

此用户权限确定哪些用户和组可以更改计算机内部时钟上的日期和时间。分配了此用户权限的用户可以影响事件日志的外观。如果已更改了系统时间,则记录的事件将反映此新时间,而不是事件发生的实际时间。

此用户权限是在默认域控制器组策略对象(GPO)以及工作站和服务器的本地安全策略中进行定义的。

默认:

在工作站和服务器上:

    Administrators

    Power Users

在域控制器上:

    Administrators

    Server Operators

12.关闭系统

此安全设置确定哪些在本地登录到计算机的用户可以使用关机命令关闭操作系统。误用此用户权限会导致拒绝服务。

默认:

工作站:

    Administrators

    Backup Operators

    Power Users

    Users。

服务器:

    Administrators

    Backup Operators

    Power Users。

域控制器:

    Account Operators

    Administrators

    Backup Operators

    Server Operators

    Print Operators。

13.管理审核和安全日志

此安全设置确定哪些用户可以为单独的资源(如文件、Active Directory 对象和注册表项)指定对象访问审核选项。

此安全设置通常不允许用户启用文件和对象访问审核。若要启用这样的审核,则必须在 Computer Configuration\Windows Settings\Security Settings\Local Policies\Audit Policies 中配置审核对象访问权限设置。

您可以在事件查看器的安全日志中查看审核过的事件。具有此权限的用户还可以查看和清除安全日志。

默认: Administrators。

14.还原文件和目录

此安全设置确定在还原备份的文件和目录时哪些用户可以绕过文件、目录、注册表和其他永久对象权限,以及确定哪些用户可以将任何有效的安全主体设置为对象的所有者。

特殊情况下,此用户权限类似于向系统上所有文件和文件夹涉及到的用户或组授予下列权限:

Traverse Folder/Execute File

Write

默认:

工作站和服务器:

    Administrators

    Backup Operators。

域控制器:

    Administrators

    Backup Operators

    Server Operators。

警告:

分配此用户权限可能有安全风险。由于具有此用户权限的用户可以覆盖注册表设置、隐藏数据及获得系统对象的所有权,请仅向受信任的用户分配此用户权限。

15.拒绝本地登录

此安全设置确定要防止哪些用户在该计算机上登录。如果帐户受制于此策略设置和"允许本地登录"策略设置,则前者会取代后者。

默认: 无。

重要信息:

如果将此安全策略应用到 Everyone 组,则没有人能够在本地登录。

16.拒绝从网络访问此计算机

此安全设置确定要防止哪些用户通过网络访问计算机。如果用户帐户受制于此策略设置和"从网络访问此计算机"策略设置,则前者会取代后者。

默认: 无。

17.拒绝作为服务登录

此安全设置确定要防止哪些服务帐户将进程注册为服务。如果帐户受制于此策略设置和"作为服务登录"策略设置,则前者会取代后者。

默认: 无。

注意:

此安全设置不适用于 System、Local Service 或 Network Service 帐户。

18.拒绝作为批处理作业登录

此安全设置确定要防止哪些帐户作为批处理作业登录。如果用户帐户受制于此策略设置和"作为批处理作业登录"策略设置,则前者会取代后者。

默认: 无。

19.将页面锁定在内存中

此安全设置确定哪些帐户可以使用进程将数据保持在物理内存中,这样可防止系统将数据分页到磁盘上的虚拟内存中。行使此权限会因降低可用随机存取内存(RAM)的数量而显著影响系统性能。

默认: 无。

20.配置文件单个进程

此安全设置确定哪些用户可以使用性能监视工具来监视非系统进程的性能。

默认:

    Administrators

    Power users

    Local System。

21.配置文件系统性能

此安全设置确定哪些用户可以使用性能监视工具来监视系统进程的性能。

默认:

    Administrators

    Local System。

22.取得文件或其他对象的所有权

此安全设置确定哪些用户可以取得系统中任何安全对象(包括 Active Directory 对象、文件和文件夹、打印机、注册表项、进程以及线程)的所有权。

默认: Administrators。

警告:

分配此用户权限可能有安全风险。由于对象所有者具有对象的完全控制权限,请仅向受信任的用户分配此用户权限。

23.身份验证后模拟客户端

将此权限分配给用户使代表该用户运行的程序能够模拟客户端。此种模拟要求此用户权限可防止未授权的用户说服客户端连接(例如,通过远程过程调用(RPC)或命名管道)到他们已创建的服务,然后模拟该客户端,这样会将未授权的用户的权限提升至管理或系统级别。

默认:

    Administrators

    Service

警告:

分配此用户权限可能有安全风险。请仅向受信任的用户分配此用户权限。

注意:

默认情况下,由服务控制管理器启动的服务已将内置 Service 组添加到它们的访问令牌中。由组件对象模型(COM)基础架构启动的且被配置为在特定帐户下运行的 COM 服务器也已将 Service 组添加到它们的访问令牌中。结果,这些服务在启动时就获得此用户权限。

此外,如果下列任何条件存在,用户也可以模拟访问令牌。

正在被模拟的访问令牌专供此用户。

在此登录会话中用户通过使用显式凭据登录到网络创建访问令牌。  www.it165.net

请求的级别比 Impersonate 低,如 Anonymous 或 Identify。

因为这些因素,所以用户通常不需要此用户权限。

有关详细信息,请在 Microsoft Platform SDK 中搜索 "SeImpersonatePrivilege"。

警告

如果启用此设置,以前具有 Impersonate 权限的程序可能丢失该权限,并且可能无法运行。

24.生成安全审核

此安全设置确定进程可以使用哪些帐户将条目添加到安全日志中。安全日志用于跟踪未授权的系统访问。如果启用了"审核: 如果无法记录安全审核,则立即关闭系统"安全策略设置,则误用此用户权限会导致生成许多审核事件,可能隐藏攻击证据或导致拒绝服务。有关"审核: 如果无法记录安全审核,则立即关闭系统"安全策略设置的详细信息,请参阅"审核: 如果无法记录安全审核,则立即关闭系统"

默认: Local System。

25.替换进程级令牌

此安全设置确定哪些用户帐户可以调用 CreateProcessAsUser() 应用程序编程接口(API),从而使一个服务能够启动另一个服务。任务计划程序是使用此用户权限的进程的一个示例。有关任务计划程序的信息,请参阅任务计划程序概述。

默认:

    Network Service

    Local System。

26.绕过遍历检查

此用户权限确定哪些用户甚至在不具有对已遍历目录的权限时也可以遍历目录树。此权限不允许用户列出目录的内容,仅允许遍历目录。

此用户权限是在默认域控制器组策略对象(GPO)以及工作站和服务器的本地安全策略中进行定义的。

默认:

在工作站和服务器上:

    Administrators

    Backup Operators

    Power Users

    Users

    Everyone

在域控制器上:

    Administrators

    Authenticated Users

27.拒绝通过终端服务登录

此安全设置确定禁止哪些用户和组作为终端服务客户端登录。

默认: 无。

重要信息:

此设置对尚未更新到 Service Pack 2 的 Windows 2000 计算机无任何效果。

28.允许通过终端服务登录

此安全设置确定哪些用户或组具有作为终端服务客户端登录的权限。

默认:

在工作站和服务器上:

    Administrators

    Remote Desktop Users。

在域控制器上:

    Administrators。

重要信息:

此设置对尚未更新到 Service Pack 2 的 Windows 2000 计算机无任何效果。

29.同步目录服务数据

此安全设置确定哪些用户和组有权同步所有目录服务数据。这也称为 Active Directory 同步。

默认: 无。

30.修改固件环境值

此安全设置确定谁可以修改固件环境值。固件环境变量是在非基于 x86 的计算机的稳定 RAM 中存储的设置。该设置的效果依赖于处理器。

在基于 x86 的计算机中,可以通过分配此用户权限修改的唯一固件环境值是"最近一次的正确配置"设置,此设置应该仅由系统修改。

在基于 Itanium 的计算机中,启动信息存储在稳定 RAM 中。若要运行 bootcfg.exe 和更改系统属性中"启动和恢复"上的默认操作系统设置,必须向用户分配此用户权限。

在所有计算机上安装或升级 Windows 都需要此用户权限。

默认:

    Administrators

    Local System。

注意:

此安全设置不影响可以修改显示在系统属性的"高级"选项卡上的系统环境变量和用户环境变量的用户。有关如何修改这些变量的信息,请参阅"添加或更改环境变量的值"。

31.作为操作系统的一部分

此用户权限允许某个进程模拟任意用户而无须进行身份验证。因此该进程可以与该用户一样获得对本地资源的访问权限。

需要此权限的进程应该使用已经包括此权限的 LocalSystem 帐户,而不是使用分配了该权限的独立用户帐户。如果您的组织仅使用属于 Windows Server 2003 家族成员的服务器,则不需要将此权限分配给用户。但是,如果您的组织使用运行 Windows 2000 或 Windows NT 4.0 的服务器,则需要分配该权限才能使用以纯文本格式交换密码的应用程序。

默认值: 本地系统。

警告:

分配该用户权限可能存在安全风险。只将该用户权限分配给可信用户。

32.将工作站添加到域

此安全设置确定哪些组或用户可以将工作站添加到域。

此安全设置仅对域控制器有效。默认情况下,任何已经过身份验证的用户都具有此权限并可以在该域中最多创建 10 个计算机帐户。

将计算机帐户添加到域使计算机能够参加基于 Active Directory 的网络。例如,将工作站添加到域使工作站能够识别存在于 Active Directory 中的帐户和组。

默认: 域控制器上已经通过身份验证的用户。

注意:

在 Active Directory 计算机容器上具有创建计算机对象权限的用户也可以在该域中创建计算机帐户。差异在于在该容器上具有权限的用户并不受限于仅创建 10 个计算机帐户。

此外,通过将工作站添加到域创建的计算机帐户将域管理员作为计算机帐户的所有者,而通过在计算机容器上的权限创建的计算机帐户将创建者作为计算机帐户的所有者。如果某个用户具有容器上的权限,同时具有将工作站添加到域用户权限,则会基于计算机容器权限而不是基于该用户权限添加该计算机。

33.信任计算机和用户帐户可以执行委派

此安全设置确定哪些用户可以在用户或计算机对象上设置"已为委派信任"设置。

被授予此权限的用户或对象必须具有对用户或计算机对象上的帐户控制标志的写入访问权限。在已为委派信任的计算机上(或用户环境下)运行的服务器进程可以使用客户端委派的凭据访问另一台计算机上的资源,只要该客户端帐户没有设置"帐户无法委派"帐户控制标志。

此用户权限是在默认域控制器组策略对象(GPO)以及工作站和服务器的本地安全策略中进行定义的。

默认: 域控制器上的 Administrators。

警告:

误用此用户权限或误用"已为委派信任"设置会使网络易受使用特洛伊木马程序的复杂攻击,该程序会模拟进入的客户端并使用它们的凭据来获取对网络资源的访问权限。

34.允许本地登录

此登录权限确定哪些用户能以交互方式登录到此计算机。通过在连接的键盘上按 Ctrl+Alt+Del 序列启动的登录要求用户具有此登录权限。此外,可以登录用户的某些服务或管理应用程序可能要求此登录权限。如果为某个用户或组定义此策略,则还必须向 Administrators 组授予此权限。

默认:

在工作站和服务器上:

    Administrators

    Backup Operators

    Power Users

    Users

    Guest。

在域控制器上:

    Account Operators

    Administrators

    Backup Operators

    Print Operators

    Server Operators。

35.提高计划优先级

此安全设置确定哪些帐户可以使用对另一个进程具有 Write Property 访问权限的进程来提高分配给其他进程的执行优先级。具有此权限的用户可以通过任务管理器用户界面更改进程的计划优先级。

默认: Administrators。

36.执行卷维护任务

描述

此安全设置确定哪些用户和组可以在卷上运行维护任务,如远程碎片整理。

分配此用户权限时请小心。具有此用户权限的用户可以浏览磁盘及将文件扩展到包含其他数据的内存中。当打开扩展的文件时,用户可能能够读取和修改获得的数据。

默认: Administrators

37.加载和卸载设备驱动程序

此用户权限确定哪些用户可以将设备驱动程序或其他代码动态加载和卸载到内核模式中。此用户权限不适用于即插即用设备驱动程序。建议不要将此权限分配给其他用户。而是使用 StartService() API。

默认: Administrators。

警告:

分配此用户权限可能有安全风险。不要将此用户权限分配给不希望其接管系统的任何用户、组或进程。

38.作为服务登录

此安全设置确定哪些服务帐户可以将进程注册为服务。

默认: 无。

39.作为批处理作业登录

此安全设置使用户能够通过批处理队列实用程序登录。

例如,当用户通过计划程序提交作业时,该计划程序将用户作为批处理用户而不是作为交互式用户登录。

默认: Local System。

注意:

在 Windows 2000 Server、Windows 2000 Professional、Windows XP Professional 和 Windows Server 2003 家族中,任务计划程序会根据需要自动授予此权限。

Tag标签: Windows Server2003   用户权限分配  
  • 专题推荐

About IT165 - 广告服务 - 隐私声明 - 版权申明 - 免责条款 - 网站地图 - 网友投稿 - 联系方式
本站内容来自于互联网,仅供用于网络技术学习,学习中请遵循相关法律法规