Привилегии

Право доступа является правым для учетной записи, такой как учетная запись пользователя или группы, для выполнения различных операций, связанных с системой на локальном компьютере, таких как завершение работы системы, загрузка драйверов устройств или изменение системного времени. Привилегии отличаются правами доступа двумя способами.

• Привилегии управляют доступом к системным ресурсам и задачам, связанным с системой, в то время как права доступа управляют доступом к защищаемым объектам.
• Системный администратор назначает привилегии учетным записям пользователей и групп, в то время как система предоставляет или запрещает доступ к защищаемому объекту на основе прав доступа, предоставленных ACE в списке DACL объекта.

Каждая система имеет базу данных учетных записей, в которой хранятся привилегии, удерживаемые учетными записями пользователей и групп. Когда пользователь входит в систему, система создает маркер доступа , содержащий список привилегий пользователя, включая тех, которые были предоставлены пользователю или группам, к которым принадлежит пользователь. Обратите внимание, что права доступа применяются только к локальному компьютеру. Учетная запись домена может иметь разные привилегии на разных компьютерах.

Когда пользователь пытается выполнить привилегированную операцию, система проверяет маркер доступа пользователя, чтобы определить, содержит ли пользователь необходимые привилегии, и, если это так, проверяет, включены ли привилегии. Если пользователь не проходит эти тесты, система не выполняет эту операцию.

Чтобы определить привилегии, удерживаемые маркером доступа, вызовите функцию GetTokenInformation , которая также указывает, какие привилегии включены. Большинство привилегий по умолчанию отключены.

API Windows определяет набор строковых констант, таких как SE _ ассигнпримаритокен _ Name, для определения различных привилегий. Эти константы одинаковы для всех систем и определяются в Winnt. h. Таблицу привилегий, определенных Windows, см. в разделе константы прав доступа. Однако функции, которые получают и корректируют привилегии в маркере доступа, используют тип LUID для распознавания привилегий. Значения LUID для привилегий могут отличаться от одного компьютера к другому и от одной загрузки к другому на том же компьютере. Чтобы получить текущий LUID , соответствующий одной из строковых констант, используйте функцию LookupPrivilegeValue . Используйте функцию лукуппривилеженаме для преобразования LUID в соответствующую строковую константу.

Система предоставляет набор отображаемых имен, описывающих каждый из привилегий. Они полезны, когда необходимо отобразить описание привилегий для пользователя. Используйте функцию лукуппривилежедисплайнаме для получения строки описания, которая соответствует строковой константе для привилегии. Например, в системах, использующих английский язык США, отображаемое имя для _ _ права доступа к имени SYSTEMTIME имеет значение «Изменить системное время».

С помощью функции привилежечекк можно определить, содержит ли маркер доступа указанный набор привилегий. Это полезно в основном для серверных приложений, выполняющих олицетворение клиента.

Системный администратор может использовать средства администрирования, такие как диспетчер пользователей, для добавления или удаления привилегий для учетных записей пользователей и групп. Администраторы могут программно использовать функции локального центра безопасности (LSA) для работы с привилегиями. Функции лсааддаккаунтригхтс и лсаремовеаккаунтригхтс добавляют или удаляют привилегии из учетной записи. Функция лсаенумератеаккаунтригхтс перечисляет привилегии, удерживаемые указанной учетной записью. Функция лсаенумератеаккаунтсвисусерригхт перечисляет учетные записи, которые содержат указанные привилегии.

Как предоставить или получить повышенные привилегии в Windows 10/8/7

Вы, должно быть, заметили, что на вашем компьютере часто устанавливается много программ, для запуска которых требуются права администратора. Наличие прав администратора позволяет вносить изменения в систему, которые могут повлиять на всех других пользователей. Другими словами, любая программа, которую вы решили запустить от имени администратора, предоставляет ей больший доступ к компьютеру при запуске.

Контроль учетных записей уведомляет вас перед внесением изменений – не всех изменений, а только тех, которые требуют уровня администратора или повышенных разрешений. Всякий раз, когда вы запускаете некоторые программы, вы можете сначала увидеть подсказку UAC. Программа запустится только после вашего согласия. Это функция безопасности в Windows. Ключ заключается в понимании того, что можно сделать и как можно добиться изменения прав администратора или повышения привилегий без ущерба для безопасности.

Давайте рассмотрим различные варианты и сценарии.

Откройте окно командной строки с повышенными правами

Хотя вы можете выполнять много задач с использованием CMD, для некоторых задач требовались повышенные привилегии. Windows 8.1 позволяет легко открывать Командную строку (Admin) с помощью меню WinX. Этот пост показывает, как вы можете запустить командную строку от имени администратора.

Читать . Как создать ярлык с повышенными привилегиями для запуска Программы.

Сделать программу всегда Запускать от имени администратора

Если вы хотите, чтобы программа всегда выполнялась с правами администратора, щелкните правой кнопкой мыши исполняемый файл программы и выберите Свойства. Здесь выберите «Запустить эту программу от имени администратора». Нажмите Применить> ОК. Этот пост подробно покажет вам, как сделать так, чтобы приложения всегда запускались от имени администратора.

Отключите режим одобрения администратором с помощью Secpol

Запустите secpol.msc , чтобы открыть локальную политику безопасности и перейти к «Локальные политики»> «Параметры безопасности». На правой панели вы увидите параметр Контроль учетных записей: включить режим одобрения администратором . Дважды щелкните по нему и выберите Отключено .

Этот параметр политики управляет поведением всех параметров политики контроля учетных записей (UAC) для компьютера. Если вы измените этот параметр политики, вы должны перезагрузить компьютер. Доступны следующие варианты: (1) Включено . (По умолчанию) Режим одобрения администратором включен. Эта политика должна быть включена, и соответствующие параметры политики UAC также должны быть установлены соответствующим образом, чтобы позволить встроенной учетной записи администратора и всем другим пользователям, являющимся членами группы администраторов, работать в режиме одобрения администратором. (2) Отключено . Режим одобрения администратором и все параметры политики UAC отключены. Если этот параметр политики отключен, Центр безопасности уведомляет вас о снижении общей безопасности операционной системы.

Имейте в виду, это снизит общую безопасность вашего компьютера!

Предоставление повышенных привилегий в Windows 10/8/7

Стандартный пользователь не имеет каких-либо специальных разрешений для внесения изменений в администрирование сервера. Он может не иметь следующих привилегий: добавление, удаление, изменение пользователя, выключение сервера, создание и администрирование объекта групповой политики, изменение прав доступа к файлам и т. Д.

Но пользователь с правами администратора может сделать гораздо больше, чем обычный пользователь. Права, однако, предоставляются после того, как ему предоставлены повышенные привилегии для каждого уровня в одной из групп, а именно: Локальный сервер, Домен и Лес.

Когда пользователь добавляется в одну из групп, он получает больше возможностей, чем обычный пользователь. Они получают дополнительные права пользователя. Это права или конфигурации, которые управляют «кто» может делать «что» с компьютером. При настройке каждый компьютер может поддерживать уникальный набор администраторов, контролирующих различные области этого компьютера.

Существует более 35 прав пользователя на компьютер. Некоторые из наиболее распространенных прав пользователя, которые управляют повышенными привилегиями на компьютере, перечислены ниже:

• Выключить систему
• Принудительное отключение удаленной системы
• Войти как пакетное задание
• Войти как сервис
• Резервное копирование и восстановление файлов и каталогов
• Включить доверенный для делегирования
• Генерация аудита безопасности
• Загрузка и выгрузка драйверов устройств
• Управление аудитом и журналом безопасности
• Взять на себя ответственность за файлы и другие объекты

Права пользователя развертываются с помощью групповой политики (локальный/Active Directory). Это прокладывает путь для последовательного контроля доступа к серверам.

Кроме того, каждый файл, папка и раздел реестра имеют список контроля доступа (ACL). Список предоставляет стандартные разрешения, такие как

Эти стандартные разрешения позволяют упростить настройку объектов.Короче говоря, ACL – это своего рода список пользователей, групп и/или компьютеров, которым предоставлены разрешения для объекта, связанного с ACL. Вы можете прочитать полную информацию об этом, делегировании Active Directory, делегировании групповой политики и многом другом, в этом отличном посте на WindowsSecurity.com. В нем обсуждается, как предоставить повышенные привилегии для Active Directory и сервера.

Эти инструкции также могут вас заинтересовать.

1. Взять на себя ответственность и полный контроль над ключами реестра
2. Полное владение файлами и папками.

Группы пользователей и их права в Windows

Давно хотел зафиксировать тут эту информацию:

Права и привилегии пользователей

Права пользователей позволяют пользователям и группам в компьютерной среде пользоваться особыми привилегиями и правами на вход в систему. Администраторы могут назначать права учетным записям группы или отдельных пользователей. Эти права позволяют пользователям выполнять конкретные действия, такие как интерактивный вход в систему или архивирование файлов и каталогов.

Для упрощения администрирования учетных записей пользователя назначить привилегии следует в первую очередь учетным записям группы, а не отдельным учетным записям пользователя. При назначении привилегий учетной записи групп пользователи автоматически получают эти привилегии, когда становятся членами этой группы. Этот метод администрирования привилегий значительно проще назначения отдельных привилегий каждой учетной записи пользователя в момент создания учетной записи.

В следующей таблице перечислены и описаны предоставляемые пользователю привилегии.

Функционирование в виде части операционной системы

Позволяет процессу олицетворять любого пользователя без проверки подлинности. Таким образом, процесс может получить доступ к тем же локальным ресурсам, что и пользователь.

Процессы, требующие эту привилегию, вместо использования отдельной учетной записи пользователя со специально назначенной привилегией должны применять учетную запись «Локальная система», которая уже содержит эту привилегию. Эта привилегия назначается пользователям, только если на серверах организации запущены Windows 2000 или Windows NT 4.0 и используются приложения с паролями в виде обычного текста.

Добавление рабочих станций в домен

Определяет группы или пользователей, которые могут добавлять рабочие станции в домен.

Это право пользователя используется только для контроллеров доменов. По умолчанию это право имеет любой прошедший проверки подлинности пользователь; он также может создавать до 10 учетных записей компьютера в домене.

Благодаря добавлению учетной записи в домен, компьютер распознает учетные записи и группы, существующие в доменной службе Active Directory (AD DS).

Контроллеры домена. «Прошедшие проверку»

Настройка квот памяти для процесса

Определяет пользователей, которые могут изменять максимальный объем памяти, используемый процессом.

Это право пользователя определено в объекте групповой политики «Контроллер домена по умолчанию» и локальной политике безопасности рабочих станций и серверов.

Архивирование файлов и каталогов

Определяет пользователей, которые могут обойти разрешения на файлы, каталоги, реестр и другие постоянные объекты при резервном копировании системы.

«Администраторы» и «Операторы архива»

Обход перекрестной проверки

Определяет, какие пользователи могут производить обзор деревьев каталога, даже если у этих пользователей отсутствуют разрешения на каталог. Эта привилегия не позволяет пользователям просматривать содержимое каталога, а позволяет только выполнять обзор.

Это право пользователя определено в объекте групповой политики «Контроллер домена по умолчанию» и локальной политике безопасности рабочих станций и серверов.

Рабочие станции и серверы. «Администраторы», «Операторы архива», «Опытные пользователи», «Пользователи», «Все»

Контроллеры домена. «Администраторы» и «Прошедшие проверку»

Изменение системного времени

Определяет пользователей и группы, которые могут изменять время и дату на внутренних часах компьютера. Пользователи, имеющие данное право, могут изменять внешний вид журналов событий. При изменении системного времени регистрируемые события будут отображать новое время, а не фактическое время возникновения события.

Это право пользователя определено в объекте групповой политики «Контроллер домена по умолчанию» и локальной политике безопасности рабочих станций и серверов.

Рабочие станции и серверы. «Администраторы« и «Опытные пользователи»

Контроллеры домена. «Администраторы» и «Операторы сервера»

Создание файла подкачки

Позволяет создавать файл подкачки и изменять его размер. Для этого в группе Параметры быстродействия на вкладке Дополнительно диалогового окнаСвойства системы следует указать размер файла подкачки для определенного диска.

Создание объекта типа токен

Позволяет процессу создавать токен, который затем может использоваться для доступа к любому локальному ресурсу при применении NtCreateToken() или других API, создающих токен.

Процессы, требующие эту учетную запись, вместо использования отдельной учетной записи пользователя со специально назначенной привилегией должны применять учетную запись «Локальная система», которая уже содержит эту привилегию.

Создание глобальных объектов

Определяет учетные записи, которые могут создавать глобальные объекты в сеансе служб терминалов или служб удаленного рабочего стола.

«Администраторы» и «Локальная система»

Создание постоянных общих объектов

Позволяет процессу создавать объект каталога в диспетчере объектов операционной системы. Эта привилегия полезна для работающих в режиме ядра компонентов, расширяющих пространство имен объекта. Компоненты, работающие в режиме ядра, уже имеют эту привилегию, поэтому назначать ее не нужно.

Определяет пользователей, которые могут прикреплять отладчик к любому процессу или ядру. Разработчикам, выполняющим отладку собственных приложений, это право назначать не нужно. Это право следует назначить разработчикам, выполняющим отладку новых системных компонентов. Это право предоставляет полный доступ к важным компонентам операционной системы.

«Администраторы» и «Локальная система»

Разрешение доверия к учетным записям компьютеров и пользователей при делегировании

Определяет пользователей, которые могут устанавливать параметр Делегирование разрешено в объекте пользователя или компьютера.

Пользователь или объект, получившие это право, должны иметь доступ на запись к управляющим флагам учетной записи объекта пользователя или компьютера. Серверный процесс, выполняемый на компьютере (или в пользовательском контексте), которому разрешено делегирование, может получить доступ к ресурсам другого компьютера, используя делегированные учетные данные клиента, пока в учетной записи клиента не будет установлен управляющий флаг Учетная запись не может быть делегирована.

Это право пользователя определено в объекте групповой политики «Контроллер домена по умолчанию» и локальной политике безопасности рабочих станций и серверов.

Контроллеры домена. «Администраторы»

Принудительное удаленное завершение работы

Определяет, кому из пользователей разрешено удаленное завершение работы компьютера. Неправильное применение этого права пользователя может стать причиной отказа в обслуживании.

Это право пользователя определено в объекте групповой политики «Контроллер домена по умолчанию» и локальной политике безопасности рабочих станций и серверов.

Рабочие станции и серверы. «Администраторы»

Контроллеры домена. «Администраторы» и «Операторы сервера»

Создание аудитов безопасности

Определяет, какие учетные записи могут быть использованы процессом для добавления записей в журнал безопасности. Журнал безопасности используется для отслеживания несанкционированного доступа в систему. Неправильное применение этого права пользователя может стать причиной формирования множества событий аудита, которые могут скрыть свидетельства атаки или вызвать отказ в обслуживании, если включен параметр безопасности Аудит: немедленное отключение системы, если невозможно внести в журнал записи об аудите безопасности. Дополнительные сведения см. в разделе Аудит: немедленное отключение системы, если невозможно внести в журнал записи об аудите безопасности (страница может быть на английском языке)(http://go.microsoft.com/fwlink/?LinkId=136299).

Олицетворение клиента после проверки подлинности

Определяет учетные записи, разрешенные для олицетворения других учетных записей.

«Администраторы» и «Служба»

Увеличение приоритета выполнения

Определяет, какие учетные записи могут использовать процесс, имеющий право доступа «Запись свойства» для другого процесса, для увеличения приоритета выполнения, назначенного другому процессу. Пользователь, имеющий данную привилегию, может изменять приоритет выполнения процесса через пользовательский интерфейс диспетчера задач.

Загрузка и выгрузка драйверов устройств

Определяет, кто из пользователей может динамически загружать и выгружать драйверы устройств или другой код в режиме ядра. Данное пользовательское право не применяется к драйверам устройств Plug and Play. Поскольку драйверы устройств выполняются как доверенные (или с высокими привилегиями) программы, не назначайте эту привилегию другим пользователям. Вместо этого используйте API StartService().

Блокировка страниц в памяти

Определяет, какие учетные записи могут использовать процессы для сохранения данных в физической памяти для предотвращения сброса этих данных в виртуальную память на диске. Применение этой привилегии может существенно повлиять на производительность системы, снижая объем доступной оперативной памяти (ОЗУ).

Нет; некоторые системные процессы имеют эту привилегию изначально

Управление аудитом и журналом безопасности

Определяет, кто из пользователей может указывать параметры аудита доступа к объектам для отдельных ресурсов, таких как файлы, объекты Active Directory и разделы реестра.

Данный параметр безопасности не позволяет пользователю включить аудит доступа к файлам и объектам в целом. Для включения такого аудита нужно настроить параметр доступа к объекту «Аудит» в пути «Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Политики аудита». Дополнительные сведения см. в статье Доступ к объекту «Аудит» (страница может быть на английском языке) http://go.microsoft.com/fwlink/?LinkId=136283.

События аудита можно просмотреть в журнале безопасности средства просмотра событий. Пользователь с данной привилегией может также просматривать и очищать журнал безопасности.

Изменение значения параметров аппаратной среды

Определяет, кто может изменять значения параметров аппаратной среды. Переменные аппаратной среды — это параметры, сохраняемые в энергонезависимой памяти компьютеров, архитектура которых отлична от x86. Действие параметра зависит от процессора.

На компьютерах архитектуры x86 единственное значение аппаратной среды, которое можно изменить назначением данного права пользователя, — это параметр Последняя удачная конфигурация, который должен изменяться только системой.

В компьютерах на базе процессоров Itanium загрузочные данные хранятся в энергонезависимой памяти. Данное право пользователя требуется для выполнения программы Bootcfg.exe и изменения параметра Операционная система по умолчанию компонента Загрузка и восстановлениедиалогового окна Свойства системы.

На всех компьютерах это право пользователя требуется для установки и модернизации Windows.

«Администраторы» и «Локальная система»

Профилирование одного процесса

Определяет пользователей, которые могут использовать средства мониторинга производительности для отслеживания производительности несистемных процессов.

«Администраторы», «Опытные пользователи» и «Локальная система»

Профилирование производительности системы

Определяет пользователей, которые могут использовать средства мониторинга производительности для отслеживания производительности системных процессов.

«Администраторы» и «Локальная система»

Отключение компьютера от стыковочного узла

Определяет, может ли пользователь отстыковать портативный компьютер от стыковочного узла без входа в систему.

Если данная политика включена, пользователь перед отключением портативного компьютера от стыковочного узла должен войти в систему. Если данная политика отключена, пользователь может отключить портативный компьютер от стыковочного узла, не входя в систему.

Замена токена уровня процесса

Определяет, какие учетные записи пользователей могут инициализировать процесс замены токена по умолчанию, связанного с запущенным подпроцессом.

Это право пользователя определено в объекте групповой политики «Контроллер домена по умолчанию» и локальной политике безопасности рабочих станций и серверов.

«Локальная служба» и «Сетевая служба»

Восстановление файлов и каталогов

Определяет пользователей, которые могут обойти разрешения на файлы, каталоги, реестр и другие постоянные объекты при восстановлении резервных копий файлов и каталогов, а также пользователей, которые могут назначить любого действительного субъекта безопасности владельцем объекта.

В частности, это право пользователя подобно предоставлению следующих разрешений пользователю или группе для всех папок и файлов в системе:

Обзор папок/Выполнение файлов

Рабочие станции и серверы. «Администраторы» и «Операторы архива»

Контроллеры домена. «Администраторы», «Операторы архива» и «Операторы сервера»

Завершение работы системы

Определяет пользователей, которые после локального входа в систему могут завершить работу операционной системы при помощи команды Завершить работу. Неправильное применение этого права пользователя может стать причиной отказа в обслуживании.

Рабочие станции. «Администраторы», «Операторы архива», «Опытные пользователи», «Пользователи»

Серверы. «Администраторы», «Операторы архива», «Опытные пользователи»

Контроллеры домена. «Операторы учетных записей», «Администраторы», «Операторы архива», «Операторы сервера», «Операторы печати»

Синхронизация данных службы каталогов

Определяет пользователей и группы, которые имеют право синхронизировать все данные службы каталогов. Это также называется синхронизацией Active Directory.

Смена владельцев файлов или иных объектов

Определяет пользователей, которые могут стать владельцем любого защищаемого объекта системы, в том числе: объектов Active Directory, файлов и папок, принтеров, разделов реестра, процессов и потоков.

Некоторые привилегии могут переопределять разрешения, заданные для объекта. Например, пользователь, вошедший в домен в качестве члена группы «Операторы архива», имеет право на выполнение операций резервного копирования для всех серверов домена. Однако для этого необходимо право на чтение всех файлов на этих серверах, даже тех файлов, для которых их владельцы установили разрешения, явно запрещающие доступ всем пользователям, включая членов группы «Операторы архива». Право пользователя (в данном случае — право на выполнение резервного копирования) имеет приоритет над всеми разрешениями для файлов и каталогов. Дополнительные сведения см. в статье Резервное копирование и восстановление (страница может быть на английском языке) http://go.microsoft.com/fwlink/?LinkId=131606.

Чтобы просмотреть свои привилегии, в командной строке введите whoami /priv.

Вам также может понравиться

Windows или Linux: Что лучше выбрать?

Есть много причин выбирать между Windows и Linux, но

Файл владелец изменить linux

Команда Chown в Linux Chown Command in Linux (File

Установка шлюза по умолчанию linux

Настройка сети вручную Содержание Краткое описание

Чем разбить диск для linux

ИТ База знаний Курс по Asterisk Полезно — Узнать IP —

	Примечание