Главная » Linux

Windows system user rights

Содержание
  1. Обзор управления доступом Access Control Overview
  2. Описание функции Feature description
  3. Работа в режиме операционной системы Act as part of the operating system
  4. Справочные материалы Reference
  5. Возможные значения Possible values
  6. Рекомендации Best practices
  7. Location Location
  8. Значения по умолчанию Default values
  9. Управление политикой Policy management
  10. Групповая политика Group Policy
  11. Вопросы безопасности Security considerations
  12. Уязвимость Vulnerability
  13. Противодействие Countermeasure
  14. Возможное влияние Potential impact
  15. Назначение прав пользователя User Rights Assignment

Обзор управления доступом Access Control Overview

Относится к: Applies to

  • Windows 10 Windows 10
  • Windows Server 2016 Windows Server 2016

В этом разделе для ИТ-специалистов описывается управление доступом в Windows, которое является процессом авторизации пользователей, групп и компьютеров для доступа к объектам в сети или на компьютере. This topic for the IT professional describes access control in Windows, which is the process of authorizing users, groups, and computers to access objects on the network or computer. Ключевыми понятиями, которые составляют управление доступом, являются разрешения, владение объектами, наследование разрешений, права пользователей и аудит объектов. Key concepts that make up access control are permissions, ownership of objects, inheritance of permissions, user rights, and object auditing.

Описание функции Feature description

Компьютеры с поддерживаемой версией Windows могут управлять использованием системных и сетевых ресурсов с помощью взаимосвязанных механизмов проверки подлинности и авторизации. Computers that are running a supported version of Windows can control the use of system and network resources through the interrelated mechanisms of authentication and authorization. После проверки подлинности пользователя операционная система Windows использует встроенные технологии авторизации и управления доступом для реализации второго этапа защиты ресурсов: определения, имеет ли пользователь с проверкой подлинности правильные разрешения на доступ к ресурсу. After a user is authenticated, the Windows operating system uses built-in authorization and access control technologies to implement the second phase of protecting resources: determining if an authenticated user has the correct permissions to access a resource.

Общие ресурсы доступны пользователям и группам, кроме владельца ресурса, и они должны быть защищены от несанкционированного использования. Shared resources are available to users and groups other than the resource’s owner, and they need to be protected from unauthorized use. В модели управления доступом пользователи и группы (также именуемые директорами безопасности) представлены уникальными идентификаторами безопасности (SID). In the access control model, users and groups (also referred to as security principals) are represented by unique security identifiers (SIDs). Им назначены права и разрешения, которые информируют операционную систему о том, что может сделать каждый пользователь и группа. They are assigned rights and permissions that inform the operating system what each user and group can do. У каждого ресурса есть владелец, который предоставляет разрешения директорам безопасности. Each resource has an owner who grants permissions to security principals. Во время проверки контроля доступа эти разрешения проверяются, чтобы определить, какие принципы безопасности могут получить доступ к ресурсу и каким образом они могут получить к нему доступ. During the access control check, these permissions are examined to determine which security principals can access the resource and how they can access it.

Принципы безопасности выполняют действия (в том числе чтение, записи, изменение или полный контроль) на объектах. Security principals perform actions (which include Read, Write, Modify, or Full control) on objects. Объекты включают файлы, папки, принтеры, ключи реестра и объекты служб домена Active Directory (AD DS). Objects include files, folders, printers, registry keys, and Active Directory Domain Services (AD DS) objects. Общие ресурсы используют списки управления доступом (ACLs) для назначения разрешений. Shared resources use access control lists (ACLs) to assign permissions. Это позволяет руководителям ресурсов применять управление доступом следующими способами: This enables resource managers to enforce access control in the following ways:

Читайте также:  Сервер задач останавливает фоновые задачи microsoft windows software protection

Отказ в доступе к несанкционированным пользователям и группам Deny access to unauthorized users and groups

Установите четко определенные ограничения доступа, предоставляемого уполномоченным пользователям и группам Set well-defined limits on the access that is provided to authorized users and groups

Владельцы объектов обычно выдают разрешения группам безопасности, а не отдельным пользователям. Object owners generally grant permissions to security groups rather than to individual users. Пользователи и компьютеры, добавленные в существующие группы, принимают разрешения этой группы. Users and computers that are added to existing groups assume the permissions of that group. Если объект (например, папка) может удерживать другие объекты (например, подмостки и файлы), он называется контейнером. If an object (such as a folder) can hold other objects (such as subfolders and files), it is called a container. В иерархии объектов связь между контейнером и его контентом выражается, ссылаясь на контейнер в качестве родительского. In a hierarchy of objects, the relationship between a container and its content is expressed by referring to the container as the parent. Объект в контейнере называется ребенком, и ребенок наследует параметры управления доступом родителя. An object in the container is referred to as the child, and the child inherits the access control settings of the parent. Владельцы объектов часто определяют разрешения для контейнерных объектов, а не отдельных детских объектов, чтобы облегчить управление управлением доступом. Object owners often define permissions for container objects, rather than individual child objects, to ease access control management.

Этот набор контента содержит: This content set contains:

Работа в режиме операционной системы Act as part of the operating system

Область применения Applies to

В этой статье описываются практические советы, расположение, значения, **** управление политиками и вопросы безопасности для Закона в рамках параметра политики безопасности операционной системы. Describes the best practices, location, values, policy management, and security considerations for the Act as part of the operating system security policy setting.

Справочные материалы Reference

Действие в качестве части параметра политики операционной системы определяет, может ли процесс считать удостоверение любого пользователя и, таким образом, получить доступ к ресурсам, к которые пользователь имеет право доступа. The Act as part of the operating system policy setting determines whether a process can assume the identity of any user and thereby gain access to the resources that the user is authorized to access. Обычно это право пользователя требуется только низкоуровневой службе проверки подлинности. Typically, only low-level authentication services require this user right. Потенциальный доступ не ограничивается тем, что по умолчанию связано с пользователем. Potential access is not limited to what is associated with the user by default. Процесс вызова может запросить, чтобы в маркер доступа были добавлены произвольные дополнительные привилегии. The calling process may request that arbitrary additional privileges be added to the access token. Процесс вызова также может создать маркер доступа, который не предоставляет основное удостоверение для аудита в журналах системных событий. The calling process may also build an access token that does not provide a primary identity for auditing in the system event logs. Константа: SeTcbPrivilege Constant: SeTcbPrivilege

Возможные значения Possible values

  • Определяемый пользователей список учетных записей User-defined list of accounts
  • Не определено Not defined

Рекомендации Best practices

  • Не назначать это право учетным записям пользователей. Do not assign this right to any user accounts. Назначьте это право только доверенным пользователям. Only assign this user right to trusted users.
  • Если службе требуется это право пользователя, настройте службу для входа с помощью локальной системной учетной записи, которая изначально включает это право пользователя. If a service requires this user right, configure the service to log on by using the local System account, which inherently includes this user right. Не создавайте отдельную учетную запись и не назначайте этому пользователю право на нее. Do not create a separate account and assign this user right to it.
Читайте также:  Не запускается windows 10 с флешки асус

Location Location

Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment

Значения по умолчанию Default values

В следующей таблице перечислены фактические и эффективные значения политики по умолчанию для последних поддерживаемых версий Windows. The following table lists the actual and effective default policy values for the most recent supported versions of Windows. Значения по умолчанию также можно найти на странице свойств политики. Default values are also listed on the policy’s property page.

Тип сервера или объект групповой политики Server type or GPO Значение по умолчанию Default value
Политика домена по умолчанию Default domain policy Не определено Not defined
Политика контроллера домена по умолчанию Default domain controller policy Не определено Not defined
Параметры по умолчанию для отдельного сервера Stand-alone server default settings Не определено Not defined
Параметры по умолчанию для контроллера домена Domain controller effective default settings Не определено Not defined
Эффективные параметры по умолчанию для серверов-членов Member server effective default settings Не определено Not defined
Параметры по умолчанию для клиентского компьютера Client computer effective default settings Не определено Not defined

Управление политикой Policy management

Перезапуск устройства не требуется для того, чтобы этот параметр политики был эффективным. A restart of the device is not required for this policy setting to be effective.

Изменения прав пользователя вступают в силу при его следующем входе в учетную запись. Any change to the user rights assignment for an account becomes effective the next time the owner of the account logs on.

Групповая политика Group Policy

Параметры применяются в следующем порядке с помощью объекта групповой политики (GPO), который будет перезаписывать параметры на локальном компьютере при следующем обновлении групповой политики: Settings are applied in the following order through a Group Policy Object (GPO), which will overwrite settings on the local computer at the next Group Policy update:

  1. Параметры локальной политики Local policy settings
  2. Параметры политики сайта Site policy settings
  3. Параметры политики домена Domain policy settings
  4. Параметры политики подразделения OU policy settings

Если локальный параметр затеняется, это означает, что в настоящее время этот параметр контролируется GPO. When a local setting is greyed out, it indicates that a GPO currently controls that setting.

Вопросы безопасности Security considerations

В этом разделе описывается, каким образом злоумышленник может использовать компонент или его конфигурацию, как реализовать меры противодействия, а также рассматриваются возможные отрицательные последствия их реализации. This section describes how an attacker might exploit a feature or its configuration, how to implement the countermeasure, and the possible negative consequences of countermeasure implementation.

Уязвимость Vulnerability

Действие как часть права пользователя операционной системы является очень мощным. The Act as part of the operating system user right is extremely powerful. Пользователи с этим правом могут полностью управлять устройством и стирая свидетельства своей деятельности. Users with this user right can take complete control of the device and erase evidence of their activities.

Противодействие Countermeasure

Ограничите действие как часть права пользователя операционной системы на максимально возможное количество учетных записей— его даже не следует на назначенную группу администраторов при типичных обстоятельствах. Restrict the Act as part of the operating system user right to as few accounts as possible—it should not even be assigned to the Administrators group under typical circumstances. Если службе требуется это право пользователя, настройте службу для входа с помощью учетной записи Local System, которая изначально включает эту привилегию. When a service requires this user right, configure the service to log on with the Local System account, which inherently includes this privilege. Не создавайте отдельную учетную запись и не назначайте этому пользователю право на нее. Do not create a separate account and assign this user right to it.

Возможное влияние Potential impact

Это должно иметь небольшое **** влияние, так как закон как часть права пользователя операционной системы редко требуется учетным записям, кроме учетной записи local System. There should be little or no impact because the Act as part of the operating system user right is rarely needed by any accounts other than the Local System account.

Назначение прав пользователя User Rights Assignment

Область применения Applies to

Обзор и ссылки на сведения о параметрах политики безопасности назначения прав пользователей, доступных в Windows. Provides an overview and links to information about the User Rights Assignment security policy settings user rights that are available in Windows. Права пользователя управляют методами, с помощью которых пользователь может войти в систему. User rights govern the methods by which a user can log on to a system. Права пользователей применяются на уровне локального устройства и позволяют пользователям выполнять задачи на устройстве или в домене. User rights are applied at the local device level, and they allow users to perform tasks on a device or in a domain. Права пользователя включают права и разрешения для логотипа. User rights include logon rights and permissions. Управление правами входа в систему, авторизованный для входа на устройство и его возможность входа в систему. Logon rights control who is authorized to log on to a device and how they can log on. Разрешения прав пользователей контролируют доступ к ресурсам компьютера и домена и могут переопределять разрешения, заданные для определенных объектов. User rights permissions control access to computer and domain resources, and they can override permissions that have been set on specific objects. Управление правами пользователей можно выполнять в групповой политике в элементе «Назначение прав пользователя». User rights are managed in Group Policy under the User Rights Assignment item.

С каждым правом пользователя связано постоянное имя и имя групповой политики. Each user right has a constant name and a Group Policy name associated with it. Имена констант используются при ссылке на пользователя в событиях журнала. The constant names are used when referring to the user right in log events. Параметры назначения прав пользователей можно настроить в следующем расположении в консоли управления групповыми политиками (GPMC) в области Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Назначениеправ пользователя или на локальном устройстве с помощью редактора локальных групповых политик (gpedit.msc). You can configure the user rights assignment settings in the following location within the Group Policy Management Console (GPMC) under Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment, or on the local device by using the Local Group Policy Editor (gpedit.msc).

Сведения о настройке политик безопасности см. в подстройке «Настройка параметров политики безопасности». For information about setting security policies, see Configure security policy settings.

В следующей таблице ссылки на каждый параметр политики безопасности и предоставляется постоянное имя для каждого из них. The following table links to each security policy setting and provides the constant name for each. Описания параметров содержат справочную информацию, советы и советы по настройке параметра политики, значения по умолчанию, различия между версиями операционной системы, а также соображения по управлению политиками и безопасности. Setting descriptions contain reference information, best practices for configuring the policy setting, default values, differences between operating system versions, and considerations for policy management and security.

Читайте также:  Windows 10 разница сборки
Оцените статью
© 2024 Советы по настройке компьютера