Fournisseur de services de configuration de stratégie - UserRights
Des droits d’utilisateur sont attribués pour les comptes d’utilisateur ou les groupes. Le nom de la stratégie définit le droit d’utilisateur en question, et les valeurs sont toujours des utilisateurs ou des groupes. Les valeurs peuvent être représentées sous la forme d’identificateurs de sécurité (SID) ou de chaînes. Pour plus d’informations, consultez Structures SID connues.
Même si les chaînes sont prises en charge pour les comptes et groupes connus, il est préférable d’utiliser des SID, car les chaînes sont localisées pour différentes langues. Certains droits d’utilisateur autorisent des éléments tels que AccessFromNetwork, tandis que d’autres interdisent les éléments, comme DenyAccessFromNetwork.
Exemple général
Voici un exemple pour définir le droit d’utilisateur BackupFilesAndDirectories pour les groupes Administrateurs et Utilisateurs authentifiés.
<SyncML xmlns="SYNCML:SYNCML1.2">
<SyncBody>
<Replace>
<CmdID>2</CmdID>
<Item>
<Meta>
<Format>chr</Format>
<Type>text/plain</Type>
</Meta>
<Target>
<LocURI>./Device/Vendor/MSFT/Policy/Config/UserRights/BackupFilesAndDirectories</LocURI>
</Target>
<Data>Authenticated UsersAdministrators</Data>
</Item>
</Replace>
<Final/>
</SyncBody>
</SyncML>
Voici des exemples de champs de données. Le encodé 0xF000 est le délimiteur/séparateur standard.
Accordez un droit d’utilisateur au groupe Administrateurs via LE SID :
<Data>*S-1-5-32-544</Data>Accordez un droit d’utilisateur à plusieurs groupes (administrateurs, utilisateurs authentifiés) via le SID :
<Data>*S-1-5-32-544*S-1-5-11</Data>Accordez un droit d’utilisateur à plusieurs groupes (administrateurs, utilisateurs authentifiés) via une combinaison de SID et de chaînes :
<Data>*S-1-5-32-544Authenticated Users</Data>Accordez un droit d’utilisateur à plusieurs groupes (utilisateurs authentifiés, administrateurs) via des chaînes :
<Data>Authenticated UsersAdministrators</Data>Une entrée vide indique qu’aucun utilisateur n’est configuré pour avoir ce droit d’utilisateur :
<Data></Data>
Si vous utilisez des profils personnalisés Intune pour affecter des stratégies UserRights, vous devez utiliser la balise CDATA (<![CDATA[...]]>) pour encapsuler les champs de données. Vous pouvez spécifier un ou plusieurs groupes d’utilisateurs dans la balise CDATA en utilisant 0xF000 comme séparateur/séparateur.
Remarque
 est l’encodage d’entité de 0xF000.
Par exemple, la syntaxe suivante accorde des droits d’utilisateur aux utilisateurs authentifiés et aux groupes d’utilisateurs réplicateurs :
<![CDATA[Authenticated UsersReplicator]]>
Par exemple, la syntaxe suivante accorde des droits d’utilisateur à deux utilisateurs Microsoft Entra spécifiques de Contoso, user1 et user2 :
<![CDATA[AzureAD\user1@contoso.comAzureAD\user2@contoso.com]]>
Par exemple, la syntaxe suivante accorde des droits d’utilisateur à un utilisateur ou à un groupe spécifique, en utilisant le SID du compte ou du groupe :
<![CDATA[*S-1-12-1-430441778-1204322964-3914475434-3271576427*S-1-12-1-2699785510-1240757380-4153857927-656075536]]>
AccessCredentialManagerAsTrustedCaller
| Étendue | Éditions | Système d’exploitation applicable |
|---|---|---|
|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, version 1803 [10.0.17134] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/UserRights/AccessCredentialManagerAsTrustedCaller
Ce droit d’utilisateur est utilisé par le Gestionnaire d’informations d’identification pendant la sauvegarde/restauration. Aucun compte ne doit avoir ce privilège, car il est uniquement attribué à Winlogon. Les informations d’identification enregistrées des utilisateurs peuvent être compromises si ce privilège est accordé à d’autres entités.
Propriétés de l’infrastructure de description :
| Nom de la propriété | Valeur de la propriété |
|---|---|
| Format |
chr (chaîne) |
| Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
| Valeurs autorisées | Liste (délimiteur : 0xF000) |
Mappage de stratégie de groupe :
| Nom | Valeur |
|---|---|
| Nom | Accéder au Gestionnaire d’informations d’identification pour un appelant approuvé |
| Chemin d'accès | Paramètres Windows Paramètres > de sécurité Stratégies > locales > Attribution des droits de l’utilisateur |
AccessFromNetwork
| Étendue | Éditions | Système d’exploitation applicable |
|---|---|---|
|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, version 1803 [10.0.17134] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/UserRights/AccessFromNetwork
Ce droit d’utilisateur détermine quels utilisateurs et groupes sont autorisés à se connecter à l’ordinateur sur le réseau. Les services Bureau à distance ne sont pas affectés par ce droit d’utilisateur.
Remarque
Les services Bureau à distance étaient appelés services Terminal Server dans les versions précédentes de Windows Server.
Propriétés de l’infrastructure de description :
| Nom de la propriété | Valeur de la propriété |
|---|---|
| Format |
chr (chaîne) |
| Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
| Valeurs autorisées | Liste (délimiteur : 0xF000) |
Mappage de stratégie de groupe :
| Nom | Valeur |
|---|---|
| Nom | Accéder à cet ordinateur à partir du réseau |
| Chemin d'accès | Paramètres Windows Paramètres > de sécurité Stratégies > locales > Attribution des droits de l’utilisateur |
ActAsPartOfTheOperatingSystem
| Étendue | Éditions | Système d’exploitation applicable |
|---|---|---|
|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, version 1803 [10.0.17134] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/UserRights/ActAsPartOfTheOperatingSystem
Ce droit d’utilisateur permet à un processus d’emprunter l’identité d’un utilisateur sans authentification. Le processus peut donc accéder aux mêmes ressources locales que cet utilisateur. Les processus qui nécessitent ce privilège doivent utiliser le compte LocalSystem, qui inclut déjà ce privilège, au lieu d’utiliser un compte d’utilisateur distinct avec ce privilège spécialement attribué.
Attention
L’attribution de ce droit d’utilisateur peut constituer un risque pour la sécurité. Attribuez uniquement ce droit d’utilisateur aux utilisateurs approuvés.
Propriétés de l’infrastructure de description :
| Nom de la propriété | Valeur de la propriété |
|---|---|
| Format |
chr (chaîne) |
| Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
| Valeurs autorisées | Liste (délimiteur : 0xF000) |
Mappage de stratégie de groupe :
| Nom | Valeur |
|---|---|
| Nom | Agir en tant que partie du système d’exploitation |
| Chemin d'accès | Paramètres Windows Paramètres > de sécurité Stratégies > locales > Attribution des droits de l’utilisateur |
AdjustMemoryQuotasForProcess
| Étendue | Éditions | Système d’exploitation applicable |
|---|---|---|
|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 11, version 24H2 [10.0.26100] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/UserRights/AdjustMemoryQuotasForProcess
Ajuster les quotas de mémoire pour un processus : ce privilège détermine qui peut modifier la mémoire maximale qui peut être consommée par un processus. Ce privilège est utile pour le réglage du système sur une base de groupe ou d’utilisateur.
Propriétés de l’infrastructure de description :
| Nom de la propriété | Valeur de la propriété |
|---|---|
| Format |
chr (chaîne) |
| Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
| Valeurs autorisées | Liste (délimiteur : 0xF000) |
Mappage de stratégie de groupe :
| Nom | Valeur |
|---|---|
| Nom | Ajuster les quotas de mémoire pour un processus |
| Chemin d'accès | Paramètres Windows Paramètres > de sécurité Stratégies > locales > Attribution des droits de l’utilisateur |
AllowLocalLogOn
| Étendue | Éditions | Système d’exploitation applicable |
|---|---|---|
|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, version 1803 [10.0.17134] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/UserRights/AllowLocalLogOn
Ce droit d’utilisateur détermine quels utilisateurs peuvent se connecter à l’ordinateur.
Remarque
La modification de ce paramètre peut affecter la compatibilité avec les clients, les services et les applications. Pour plus d’informations sur la compatibilité de ce paramètre, consultez Autoriser l’ouverture de session localement (https://go.microsoft.com/fwlink/?LinkId=24268 ) sur le site web microsoft.
Propriétés de l’infrastructure de description :
| Nom de la propriété | Valeur de la propriété |
|---|---|
| Format |
chr (chaîne) |
| Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
| Valeurs autorisées | Liste (délimiteur : 0xF000) |
Mappage de stratégie de groupe :
| Nom | Valeur |
|---|---|
| Nom | Permettre l’ouverture d’une session locale |
| Chemin d'accès | Paramètres Windows Paramètres > de sécurité Stratégies > locales > Attribution des droits de l’utilisateur |
AllowLogOnThroughRemoteDesktop
| Étendue | Éditions | Système d’exploitation applicable |
|---|---|---|
|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 11, version 24H2 [10.0.26100] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/UserRights/AllowLogOnThroughRemoteDesktop
Autoriser l’ouverture de session via les services Bureau à distance : ce paramètre de stratégie détermine quels utilisateurs ou groupes peuvent accéder à l’écran de connexion d’un appareil distant via une connexion aux services Bureau à distance.
Propriétés de l’infrastructure de description :
| Nom de la propriété | Valeur de la propriété |
|---|---|
| Format |
chr (chaîne) |
| Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
| Valeurs autorisées | Liste (délimiteur : 0xF000) |
Mappage de stratégie de groupe :
| Nom | Valeur |
|---|---|
| Nom | Autoriser l’ouverture de session via les services Bureau à distance |
| Chemin d'accès | Paramètres Windows Paramètres > de sécurité Stratégies > locales > Attribution des droits de l’utilisateur |
BackupFilesAndDirectories
| Étendue | Éditions | Système d’exploitation applicable |
|---|---|---|
|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, version 1803 [10.0.17134] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/UserRights/BackupFilesAndDirectories
Ce droit d’utilisateur détermine quels utilisateurs peuvent contourner les autorisations de fichier, de répertoire, de registre et d’autres objets persistants lors de la sauvegarde de fichiers et de répertoires. Plus précisément, ce droit d’utilisateur est similaire à l’octroi des autorisations suivantes à l’utilisateur ou au groupe en question sur tous les fichiers et dossiers sur le système :Dossier traverse/Exécuter le fichier, lecture.
Attention
L’attribution de ce droit d’utilisateur peut constituer un risque pour la sécurité. Étant donné que les utilisateurs disposant de ce droit d’utilisateur peuvent lire tous les paramètres et fichiers du Registre, attribuez uniquement ce droit d’utilisateur à des utilisateurs approuvés.
Propriétés de l’infrastructure de description :
| Nom de la propriété | Valeur de la propriété |
|---|---|
| Format |
chr (chaîne) |
| Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
| Valeurs autorisées | Liste (délimiteur : 0xF000) |
Mappage de stratégie de groupe :
| Nom | Valeur |
|---|---|
| Nom | Sauvegarder les fichiers et les répertoires |
| Chemin d'accès | Paramètres Windows Paramètres > de sécurité Stratégies > locales > Attribution des droits de l’utilisateur |
BypassTraverseChecking
| Étendue | Éditions | Système d’exploitation applicable |
|---|---|---|
|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 11, version 24H2 [10.0.26100] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/UserRights/BypassTraverseChecking
Ce droit d’utilisateur détermine quels utilisateurs peuvent parcourir les arborescences d’annuaires même si l’utilisateur n’a peut-être pas les autorisations sur l’annuaire traversé. Ce privilège ne permet pas à l’utilisateur de répertorier le contenu d’un répertoire, mais de parcourir les répertoires.
Propriétés de l’infrastructure de description :
| Nom de la propriété | Valeur de la propriété |
|---|---|
| Format |
chr (chaîne) |
| Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
| Valeurs autorisées | Liste (délimiteur : 0xF000) |
Mappage de stratégie de groupe :
| Nom | Valeur |
|---|---|
| Nom | Contourner la vérification de parcours |
| Chemin d'accès | Paramètres Windows Paramètres > de sécurité Stratégies > locales > Attribution des droits de l’utilisateur |
ChangeSystemTime
| Étendue | Éditions | Système d’exploitation applicable |
|---|---|---|
|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, version 1803 [10.0.17134] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/UserRights/ChangeSystemTime
Ce droit d’utilisateur détermine quels utilisateurs et groupes peuvent modifier l’heure et la date de l’horloge interne de l’ordinateur. Les utilisateurs auxquels ce droit d’utilisateur est attribué peuvent affecter l’apparence des journaux des événements. Si l’heure système est modifiée, les événements enregistrés reflètent cette nouvelle heure, et non l’heure réelle à laquelle les événements se sont produits.
Attention
Lorsque vous configurez des droits d’utilisateur, il remplace les utilisateurs ou groupes existants précédemment affectés à ces droits d’utilisateur. Le système exige que le compte de service local (SID S-1-5-19) ait toujours le droit ChangeSystemTime. Spécifiez toujours Service local, en plus des autres comptes que vous devez configurer dans cette stratégie.
Si vous n’incluez pas le compte de service local , la demande échoue avec l’erreur suivante :
| Code d’erreur | Nom symbolique | Description de l’erreur | En-tête |
|---|---|---|---|
0x80070032 (Hexadécimal) |
ERROR_NOT_SUPPORTED | La requête n’est pas prise en charge. | winerror.h |
Propriétés de l’infrastructure de description :
| Nom de la propriété | Valeur de la propriété |
|---|---|
| Format |
chr (chaîne) |
| Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
| Valeurs autorisées | Liste (délimiteur : 0xF000) |
Mappage de stratégie de groupe :
| Nom | Valeur |
|---|---|
| Nom | Modifier l’heure système |
| Chemin d'accès | Paramètres Windows Paramètres > de sécurité Stratégies > locales > Attribution des droits de l’utilisateur |
ChangeTimeZone
| Étendue | Éditions | Système d’exploitation applicable |
|---|---|---|
|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 11, version 24H2 [10.0.26100] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/UserRights/ChangeTimeZone
Ce droit d’utilisateur détermine quels utilisateurs et groupes peuvent modifier le fuseau horaire utilisé par l’ordinateur pour afficher l’heure locale, qui est l’heure système de l’ordinateur plus le décalage de fuseau horaire. L’heure système elle-même est absolue et n’est pas affectée par une modification du fuseau horaire.
Propriétés de l’infrastructure de description :
| Nom de la propriété | Valeur de la propriété |
|---|---|
| Format |
chr (chaîne) |
| Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
| Valeurs autorisées | Liste (délimiteur : 0xF000) |
Mappage de stratégie de groupe :
| Nom | Valeur |
|---|---|
| Nom | Modifier le fuseau horaire |
| Chemin d'accès | Paramètres Windows Paramètres > de sécurité Stratégies > locales > Attribution des droits de l’utilisateur |
CreateGlobalObjects
| Étendue | Éditions | Système d’exploitation applicable |
|---|---|---|
|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, version 1803 [10.0.17134] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/UserRights/CreateGlobalObjects
Ce paramètre de sécurité détermine si les utilisateurs peuvent créer des objets globaux disponibles pour toutes les sessions. Les utilisateurs peuvent toujours créer des objets spécifiques à leur propre session s’ils ne disposent pas de ce droit d’utilisateur. Les utilisateurs qui peuvent créer des objets globaux peuvent affecter les processus qui s’exécutent sous les sessions d’autres utilisateurs, ce qui peut entraîner une défaillance de l’application ou une altération des données.
Attention
L’attribution de ce droit d’utilisateur peut constituer un risque pour la sécurité. Attribuez ce droit d’utilisateur uniquement aux utilisateurs approuvés.
Propriétés de l’infrastructure de description :
| Nom de la propriété | Valeur de la propriété |
|---|---|
| Format |
chr (chaîne) |
| Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
| Valeurs autorisées | Liste (délimiteur : 0xF000) |
Mappage de stratégie de groupe :
| Nom | Valeur |
|---|---|
| Nom | Créer des objets globaux |
| Chemin d'accès | Paramètres Windows Paramètres > de sécurité Stratégies > locales > Attribution des droits de l’utilisateur |
CreatePageFile
| Étendue | Éditions | Système d’exploitation applicable |
|---|---|---|
|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, version 1803 [10.0.17134] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/UserRights/CreatePageFile
Ce droit d’utilisateur détermine quels utilisateurs et groupes peuvent appeler une interface de programmation d’application (API) interne pour créer et modifier la taille d’un fichier de page. Ce droit d’utilisateur est utilisé en interne par le système d’exploitation et n’a généralement pas besoin d’être affecté à des utilisateurs.
Propriétés de l’infrastructure de description :
| Nom de la propriété | Valeur de la propriété |
|---|---|
| Format |
chr (chaîne) |
| Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
| Valeurs autorisées | Liste (délimiteur : 0xF000) |
Mappage de stratégie de groupe :
| Nom | Valeur |
|---|---|
| Nom | Créer un fichier d’échange |
| Chemin d'accès | Paramètres Windows Paramètres > de sécurité Stratégies > locales > Attribution des droits de l’utilisateur |
CreatePermanentSharedObjects
| Étendue | Éditions | Système d’exploitation applicable |
|---|---|---|
|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, version 1803 [10.0.17134] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/UserRights/CreatePermanentSharedObjects
Ce droit d’utilisateur détermine quels comptes peuvent être utilisés par les processus pour créer un objet répertoire à l’aide du gestionnaire d’objets. Ce droit d’utilisateur est utilisé en interne par le système d’exploitation et est utile pour les composants en mode noyau qui étendent l’espace de noms de l’objet. Étant donné que ce droit d’utilisateur est déjà attribué aux composants qui s’exécutent en mode noyau, il n’est pas nécessaire de l’affecter spécifiquement.
Propriétés de l’infrastructure de description :
| Nom de la propriété | Valeur de la propriété |
|---|---|
| Format |
chr (chaîne) |
| Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
| Valeurs autorisées | Liste (délimiteur : 0xF000) |
Mappage de stratégie de groupe :
| Nom | Valeur |
|---|---|
| Nom | Créer des objets partagés permanents |
| Chemin d'accès | Paramètres Windows Paramètres > de sécurité Stratégies > locales > Attribution des droits de l’utilisateur |
CreateSymbolicLinks
| Étendue | Éditions | Système d’exploitation applicable |
|---|---|---|
|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, version 1803 [10.0.17134] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/UserRights/CreateSymbolicLinks
Ce droit d’utilisateur détermine si l’utilisateur peut créer un lien symbolique à partir de l’ordinateur sur lequel il est connecté.
Attention
Ce privilège ne doit être accordé qu’aux utilisateurs approuvés. Les liens symboliques peuvent exposer des vulnérabilités de sécurité dans les applications qui ne sont pas conçues pour les gérer.
Remarque
Ce paramètre peut être utilisé conjointement à un paramètre de système de fichiers symlink qui peut être manipulé avec l’utilitaire de ligne de commande pour contrôler les types de liens symboliques autorisés sur l’ordinateur. Tapez « fsutil behavior set symlinkevaluation / ? » sur la ligne de commande pour obtenir plus d’informations sur fsutil et les liens symboliques.
Propriétés de l’infrastructure de description :
| Nom de la propriété | Valeur de la propriété |
|---|---|
| Format |
chr (chaîne) |
| Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
| Valeurs autorisées | Liste (délimiteur : 0xF000) |
Mappage de stratégie de groupe :
| Nom | Valeur |
|---|---|
| Nom | Créer des liens symboliques |
| Chemin d'accès | Paramètres Windows Paramètres > de sécurité Stratégies > locales > Attribution des droits de l’utilisateur |
CreateToken
| Étendue | Éditions | Système d’exploitation applicable |
|---|---|---|
|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, version 1803 [10.0.17134] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/UserRights/CreateToken
Ce droit d’utilisateur détermine quels comptes peuvent être utilisés par les processus pour créer un jeton qui peut ensuite être utilisé pour accéder à des ressources locales lorsque le processus utilise une interface de programmation d’applications (API) interne pour créer un jeton d’accès. Ce droit d’utilisateur est utilisé en interne par le système d’exploitation. À moins que cela ne soit nécessaire, n’attribuez pas ce droit d’utilisateur à un utilisateur, un groupe ou un processus autre que Système local.
Attention
L’attribution de ce droit d’utilisateur peut constituer un risque pour la sécurité. N’attribuez pas ce droit d’utilisateur à un utilisateur, un groupe ou un processus que vous ne souhaitez pas prendre en charge le système.
Propriétés de l’infrastructure de description :
| Nom de la propriété | Valeur de la propriété |
|---|---|
| Format |
chr (chaîne) |
| Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
| Valeurs autorisées | Liste (délimiteur : 0xF000) |
Mappage de stratégie de groupe :
| Nom | Valeur |
|---|---|
| Nom | Créer un objet-jeton |
| Chemin d'accès | Paramètres Windows Paramètres > de sécurité Stratégies > locales > Attribution des droits de l’utilisateur |
DebugPrograms
| Étendue | Éditions | Système d’exploitation applicable |
|---|---|---|
|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, version 1803 [10.0.17134] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/UserRights/DebugPrograms
Ce droit d’utilisateur détermine quels utilisateurs peuvent attacher un débogueur à n’importe quel processus ou au noyau. Les développeurs qui déboguent leurs propres applications n’ont pas besoin de se voir attribuer ce droit d’utilisateur. Les développeurs qui déboguent de nouveaux composants système auront besoin de ce droit d’utilisateur pour pouvoir le faire. Ce droit d’utilisateur fournit un accès complet aux composants sensibles et critiques du système d’exploitation.
Attention
L’attribution de ce droit d’utilisateur peut constituer un risque pour la sécurité. Attribuez uniquement ce droit d’utilisateur aux utilisateurs approuvés.
Propriétés de l’infrastructure de description :
| Nom de la propriété | Valeur de la propriété |
|---|---|
| Format |
chr (chaîne) |
| Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
| Valeurs autorisées | Liste (délimiteur : 0xF000) |
Mappage de stratégie de groupe :
| Nom | Valeur |
|---|---|
| Nom | Déboguer les programmes |
| Chemin d'accès | Paramètres Windows Paramètres > de sécurité Stratégies > locales > Attribution des droits de l’utilisateur |
DenyAccessFromNetwork
| Étendue | Éditions | Système d’exploitation applicable |
|---|---|---|
|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, version 1803 [10.0.17134] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/UserRights/DenyAccessFromNetwork
Ce droit d’utilisateur détermine quels utilisateurs ne peuvent pas accéder à un ordinateur sur le réseau. Ce paramètre de stratégie remplace le paramètre de stratégie Accéder à cet ordinateur à partir du réseau si un compte d’utilisateur est soumis aux deux stratégies.
Propriétés de l’infrastructure de description :
| Nom de la propriété | Valeur de la propriété |
|---|---|
| Format |
chr (chaîne) |
| Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
| Valeurs autorisées | Liste (délimiteur : 0xF000) |
Mappage de stratégie de groupe :
| Nom | Valeur |
|---|---|
| Nom | Interdire l’accès à cet ordinateur à partir du réseau |
| Chemin d'accès | Paramètres Windows Paramètres > de sécurité Stratégies > locales > Attribution des droits de l’utilisateur |
DenyLocalLogOn
| Étendue | Éditions | Système d’exploitation applicable |
|---|---|---|
|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, version 1803 [10.0.17134] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/UserRights/DenyLocalLogOn
Ce paramètre de sécurité détermine les comptes de service qui ne peuvent pas inscrire un processus en tant que service.
Remarque
Ce paramètre de sécurité ne s’applique pas aux comptes Système, Service local ou Service réseau.
Propriétés de l’infrastructure de description :
| Nom de la propriété | Valeur de la propriété |
|---|---|
| Format |
chr (chaîne) |
| Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
| Valeurs autorisées | Liste (délimiteur : 0xF000) |
Mappage de stratégie de groupe :
| Nom | Valeur |
|---|---|
| Nom | Interdire l’ouverture de session en tant que service |
| Chemin d'accès | Paramètres Windows Paramètres > de sécurité Stratégies > locales > Attribution des droits de l’utilisateur |
DenyLogOnAsBatchJob
| Étendue | Éditions | Système d’exploitation applicable |
|---|---|---|
|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 11, version 24H2 [10.0.26100] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/UserRights/DenyLogOnAsBatchJob
Ce paramètre de sécurité détermine les comptes qui ne peuvent pas se connecter en tant que traitement par lots. Ce paramètre de stratégie remplace le paramètre de stratégie Se connecter en tant que tâche de traitement par lots si un compte d’utilisateur est soumis aux deux stratégies.
Propriétés de l’infrastructure de description :
| Nom de la propriété | Valeur de la propriété |
|---|---|
| Format |
chr (chaîne) |
| Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
| Valeurs autorisées | Liste (délimiteur : 0xF000) |
Mappage de stratégie de groupe :
| Nom | Valeur |
|---|---|
| Nom | Interdire l’ouverture de session en tant que tâche |
| Chemin d'accès | Paramètres Windows Paramètres > de sécurité Stratégies > locales > Attribution des droits de l’utilisateur |
DenyLogOnAsService
| Étendue | Éditions | Système d’exploitation applicable |
|---|---|---|
|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 11, version 24H2 [10.0.26100] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/UserRights/DenyLogOnAsService
Refuser l’ouverture de session en tant que service : ce paramètre de sécurité détermine les comptes de service qui ne peuvent pas inscrire un processus en tant que service. Ce paramètre de stratégie remplace le paramètre de stratégie Se connecter en tant que service si un compte est soumis aux deux stratégies.
Remarque
Ce paramètre de sécurité ne s’applique pas aux comptes Système, Service local ou Service réseau. Valeur par défaut : Aucun.
Propriétés de l’infrastructure de description :
| Nom de la propriété | Valeur de la propriété |
|---|---|
| Format |
chr (chaîne) |
| Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
| Valeurs autorisées | Liste (délimiteur : 0xF000) |
Mappage de stratégie de groupe :
| Nom | Valeur |
|---|---|
| Nom | Interdire l’ouverture de session en tant que service |
| Chemin d'accès | Paramètres Windows Paramètres > de sécurité Stratégies > locales > Attribution des droits de l’utilisateur |
DenyRemoteDesktopServicesLogOn
| Étendue | Éditions | Système d’exploitation applicable |
|---|---|---|
|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, version 1803 [10.0.17134] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/UserRights/DenyRemoteDesktopServicesLogOn
Ce droit d’utilisateur détermine quels utilisateurs et groupes ne peuvent pas se connecter en tant que client des services Bureau à distance.
Propriétés de l’infrastructure de description :
| Nom de la propriété | Valeur de la propriété |
|---|---|
| Format |
chr (chaîne) |
| Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
| Valeurs autorisées | Liste (délimiteur : 0xF000) |
Mappage de stratégie de groupe :
| Nom | Valeur |
|---|---|
| Nom | Interdire l’ouverture de session par les services Bureau à distance |
| Chemin d'accès | Paramètres Windows Paramètres > de sécurité Stratégies > locales > Attribution des droits de l’utilisateur |
EnableDelegation
| Étendue | Éditions | Système d’exploitation applicable |
|---|---|---|
|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, version 1803 [10.0.17134] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/UserRights/EnableDelegation
Ce droit d’utilisateur détermine quels utilisateurs peuvent définir le paramètre Approuvé pour la délégation sur un objet utilisateur ou ordinateur. L’utilisateur ou l’objet auquel ce privilège est accordé doit disposer d’un accès en écriture aux indicateurs de contrôle de compte sur l’objet utilisateur ou ordinateur. Un processus serveur s’exécutant sur un ordinateur (ou sous un contexte utilisateur) approuvé pour la délégation peut accéder aux ressources d’un autre ordinateur à l’aide des informations d’identification déléguées d’un client, tant que l’indicateur de contrôle de compte compte ne peut pas être défini sur le compte client.
Attention
Une mauvaise utilisation de ce droit d’utilisateur ou du paramètre De confiance pour la délégation peut rendre le réseau vulnérable aux attaques sophistiquées à l’aide de programmes de cheval de Troie qui empruntent l’identité des clients entrants et utilisent leurs informations d’identification pour accéder aux ressources réseau.
Propriétés de l’infrastructure de description :
| Nom de la propriété | Valeur de la propriété |
|---|---|
| Format |
chr (chaîne) |
| Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
| Valeurs autorisées | Liste (délimiteur : 0xF000) |
Mappage de stratégie de groupe :
| Nom | Valeur |
|---|---|
| Nom | Permettre à l’ordinateur et aux comptes d’utilisateurs d’être approuvés pour la délégation |
| Chemin d'accès | Paramètres Windows Paramètres > de sécurité Stratégies > locales > Attribution des droits de l’utilisateur |
GenerateSecurityAudits
| Étendue | Éditions | Système d’exploitation applicable |
|---|---|---|
|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, version 1803 [10.0.17134] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/UserRights/GenerateSecurityAudits
Ce droit d’utilisateur détermine quels comptes peuvent être utilisés par un processus pour ajouter des entrées au journal de sécurité. Le journal de sécurité est utilisé pour suivre les accès système non autorisés. Une mauvaise utilisation de ce droit d’utilisateur peut entraîner la génération de nombreux événements d’audit, ce qui peut masquer la preuve d’une attaque ou provoquer un déni de service. Arrêtez immédiatement le système si le paramètre de stratégie de sécurité des audits de sécurité est activé.
Propriétés de l’infrastructure de description :
| Nom de la propriété | Valeur de la propriété |
|---|---|
| Format |
chr (chaîne) |
| Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
| Valeurs autorisées | Liste (délimiteur : 0xF000) |
Mappage de stratégie de groupe :
| Nom | Valeur |
|---|---|
| Nom | Générer des audits de sécurité |
| Chemin d'accès | Paramètres Windows Paramètres > de sécurité Stratégies > locales > Attribution des droits de l’utilisateur |
ImpersonateClient
| Étendue | Éditions | Système d’exploitation applicable |
|---|---|---|
|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, version 1803 [10.0.17134] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/UserRights/ImpersonateClient
L’attribution de ce droit d’utilisateur à un utilisateur permet aux programmes exécutés au nom de cet utilisateur d’emprunter l’identité d’un client. Exiger ce droit d’utilisateur pour ce type d’emprunt d’identité empêche un utilisateur non autorisé de convaincre un client de se connecter (par exemple, par appel de procédure distante (RPC) ou de canaux nommés) à un service qu’il a créé, puis d’emprunter l’identité de ce client, ce qui peut élever les autorisations de l’utilisateur non autorisé au niveau de l’administration ou du système.
Attention
L’attribution de ce droit d’utilisateur peut constituer un risque pour la sécurité. Attribuez uniquement ce droit d’utilisateur aux utilisateurs approuvés.
Remarque
Par défaut, les services démarrés par le Gestionnaire de contrôle de service ont le groupe de services intégré ajouté à leurs jetons d’accès. Les serveurs COM (Component Object Model) démarrés par l’infrastructure COM et configurés pour s’exécuter sous un compte spécifique ont également le groupe de services ajouté à leurs jetons d’accès. Par conséquent, ces services permettent à l’utilisateur d’être correctement au démarrage. En outre, un utilisateur peut également emprunter l’identité d’un jeton d’accès si l’une des conditions suivantes existe. 1) Le jeton d’accès qui est emprunté est pour cet utilisateur. 2) L’utilisateur, dans cette session d’ouverture de session, a créé le jeton d’accès en se connectant au réseau avec des informations d’identification explicites. 3) Le niveau demandé est inférieur à l’emprunt d’identité, par exemple Anonyme ou Identifier. En raison de ces facteurs, les utilisateurs n’ont généralement pas besoin de ce droit d’utilisateur.
Warning
Si vous activez ce paramètre, les programmes qui avaient précédemment le privilège Emprunter l’identité peuvent le perdre et ne pas s’exécuter.
Propriétés de l’infrastructure de description :
| Nom de la propriété | Valeur de la propriété |
|---|---|
| Format |
chr (chaîne) |
| Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
| Valeurs autorisées | Liste (délimiteur : 0xF000) |
Mappage de stratégie de groupe :
| Nom | Valeur |
|---|---|
| Nom | Emprunter l’identité d’un client après l’authentification |
| Chemin d'accès | Paramètres Windows Paramètres > de sécurité Stratégies > locales > Attribution des droits de l’utilisateur |
IncreaseProcessWorkingSet
| Étendue | Éditions | Système d’exploitation applicable |
|---|---|---|
|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 11, version 24H2 [10.0.26100] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/UserRights/IncreaseProcessWorkingSet
Augmenter un jeu de travail de processus. Ce privilège détermine quels comptes d’utilisateur peuvent augmenter ou diminuer la taille du jeu de travail d’un processus. L’ensemble de travail d’un processus est l’ensemble de pages mémoire actuellement visibles par le processus dans la mémoire RAM physique. Ces pages sont résidentes et peuvent être utilisées par une application sans déclencher d’erreur de page. Les tailles minimales et maximales des groupes de travail affectent le comportement de pagination de la mémoire virtuelle d’un processus.
Warning
L’augmentation de la taille du jeu de travail pour un processus diminue la quantité de mémoire physique disponible pour le reste du système.
Propriétés de l’infrastructure de description :
| Nom de la propriété | Valeur de la propriété |
|---|---|
| Format |
chr (chaîne) |
| Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
| Valeurs autorisées | Liste (délimiteur : 0xF000) |
Mappage de stratégie de groupe :
| Nom | Valeur |
|---|---|
| Nom | Augmenter une plage de travail de processus |
| Chemin d'accès | Paramètres Windows Paramètres > de sécurité Stratégies > locales > Attribution des droits de l’utilisateur |
IncreaseSchedulingPriority
| Étendue | Éditions | Système d’exploitation applicable |
|---|---|---|
|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, version 1803 [10.0.17134] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/UserRights/IncreaseSchedulingPriority
Ce droit d’utilisateur détermine quels comptes peuvent utiliser un processus avec un accès propriété d’écriture à un autre processus pour augmenter la priorité d’exécution affectée à l’autre processus. Un utilisateur disposant de ce privilège peut modifier la priorité de planification d’un processus via l’interface utilisateur du Gestionnaire des tâches.
Warning
Si vous supprimez le groupe Gestionnaire de fenêtres\Gestionnaire de fenêtres du droit d’utilisateur Augmenter la priorité de planification , certains ordinateurs et applications ne fonctionneront pas correctement. En particulier, l’espace de travail INK ne fonctionne pas correctement sur les ordinateurs portables et de bureau UMA (Unified Memory Architecture) qui exécutent Windows 10 version 1903 ou ultérieure et qui utilisent le pilote Intel GFX.
Sur les ordinateurs affectés, l’affichage clignote lorsque les utilisateurs dessinent sur des espaces de travail INK tels que ceux utilisés par Microsoft Edge, Microsoft PowerPoint ou Microsoft OneNote. Le clignotement se produit parce que les processus liés à l’entrée manuscrite tentent à plusieurs reprises d’utiliser la priorité Real-Time, mais l’autorisation est refusée.
Propriétés de l’infrastructure de description :
| Nom de la propriété | Valeur de la propriété |
|---|---|
| Format |
chr (chaîne) |
| Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
| Valeurs autorisées | Liste (délimiteur : 0xF000) |
Mappage de stratégie de groupe :
| Nom | Valeur |
|---|---|
| Nom | Augmenter la priorité de planification |
| Chemin d'accès | Paramètres Windows Paramètres > de sécurité Stratégies > locales > Attribution des droits de l’utilisateur |
LoadUnloadDeviceDrivers
| Étendue | Éditions | Système d’exploitation applicable |
|---|---|---|
|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, version 1803 [10.0.17134] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/UserRights/LoadUnloadDeviceDrivers
Ce droit d’utilisateur détermine quels utilisateurs peuvent charger et décharger dynamiquement les pilotes de périphérique ou tout autre code en mode noyau. Ce droit d’utilisateur ne s’applique pas aux pilotes de périphérique Plug-and-Play. Il est recommandé de ne pas attribuer ce privilège à d’autres utilisateurs.
Attention
L’attribution de ce droit d’utilisateur peut constituer un risque pour la sécurité. N’attribuez pas ce droit d’utilisateur à un utilisateur, un groupe ou un processus que vous ne souhaitez pas prendre en charge le système.
Propriétés de l’infrastructure de description :
| Nom de la propriété | Valeur de la propriété |
|---|---|
| Format |
chr (chaîne) |
| Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
| Valeurs autorisées | Liste (délimiteur : 0xF000) |
Mappage de stratégie de groupe :
| Nom | Valeur |
|---|---|
| Nom | Charger et décharger les pilotes de périphériques |
| Chemin d'accès | Paramètres Windows Paramètres > de sécurité Stratégies > locales > Attribution des droits de l’utilisateur |
LockMemory
| Étendue | Éditions | Système d’exploitation applicable |
|---|---|---|
|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, version 1803 [10.0.17134] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/UserRights/LockMemory
Ce droit d’utilisateur détermine quels comptes peuvent utiliser un processus pour conserver les données en mémoire physique, ce qui empêche le système de paginer les données dans la mémoire virtuelle sur le disque. L’exercice de ce privilège peut affecter considérablement les performances du système en réduisant la quantité de mémoire ram (RAM) disponible.
Propriétés de l’infrastructure de description :
| Nom de la propriété | Valeur de la propriété |
|---|---|
| Format |
chr (chaîne) |
| Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
| Valeurs autorisées | Liste (délimiteur : 0xF000) |
Mappage de stratégie de groupe :
| Nom | Valeur |
|---|---|
| Nom | Verrouiller les pages en mémoire |
| Chemin d'accès | Paramètres Windows Paramètres > de sécurité Stratégies > locales > Attribution des droits de l’utilisateur |
LogOnAsBatchJob
| Étendue | Éditions | Système d’exploitation applicable |
|---|---|---|
|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 11, version 24H2 [10.0.26100] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/UserRights/LogOnAsBatchJob
Ce paramètre de sécurité permet à un utilisateur d’être connecté au moyen d’une fonctionnalité de file d’attente par lots et n’est fourni qu’à des fins de compatibilité avec les versions antérieures de Windows. Par exemple, lorsqu’un utilisateur envoie un travail au moyen du planificateur de tâches, le planificateur de tâches journalise cet utilisateur en tant qu’utilisateur de lot plutôt qu’en tant qu’utilisateur interactif.
Propriétés de l’infrastructure de description :
| Nom de la propriété | Valeur de la propriété |
|---|---|
| Format |
chr (chaîne) |
| Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
| Valeurs autorisées | Liste (délimiteur : 0xF000) |
Mappage de stratégie de groupe :
| Nom | Valeur |
|---|---|
| Nom | Ouvrir une session en tant que tâche |
| Chemin d'accès | Paramètres Windows Paramètres > de sécurité Stratégies > locales > Attribution des droits de l’utilisateur |
LogOnAsService
| Étendue | Éditions | Système d’exploitation applicable |
|---|---|---|
|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 11, version 24H2 [10.0.26100] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/UserRights/LogOnAsService
Ce paramètre de sécurité permet à un principal de sécurité de se connecter en tant que service. Les services peuvent être configurés pour s’exécuter sous les comptes Système local, Service local ou Service réseau, qui disposent d’un droit intégré pour se connecter en tant que service. Tout service qui s’exécute sous un compte d’utilisateur distinct doit se voir attribuer le droit.
Propriétés de l’infrastructure de description :
| Nom de la propriété | Valeur de la propriété |
|---|---|
| Format |
chr (chaîne) |
| Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
| Valeurs autorisées | Liste (délimiteur : 0xF000) |
Mappage de stratégie de groupe :
| Nom | Valeur |
|---|---|
| Nom | Ouvrir une session en tant que service |
| Chemin d'accès | Paramètres Windows Paramètres > de sécurité Stratégies > locales > Attribution des droits de l’utilisateur |
ManageAuditingAndSecurityLog
| Étendue | Éditions | Système d’exploitation applicable |
|---|---|---|
|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, version 1803 [10.0.17134] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/UserRights/ManageAuditingAndSecurityLog
Ce droit d’utilisateur détermine quels utilisateurs peuvent spécifier des options d’audit d’accès aux objets pour des ressources individuelles, telles que des fichiers, des objets Active Directory et des clés de Registre. Ce paramètre de sécurité n’autorise pas un utilisateur à activer l’audit de l’accès aux fichiers et aux objets en général. Vous pouvez afficher les événements audités dans le journal de sécurité du observateur d'événements. Un utilisateur disposant de ce privilège peut également afficher et effacer le journal de sécurité.
Propriétés de l’infrastructure de description :
| Nom de la propriété | Valeur de la propriété |
|---|---|
| Format |
chr (chaîne) |
| Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
| Valeurs autorisées | Liste (délimiteur : 0xF000) |
Mappage de stratégie de groupe :
| Nom | Valeur |
|---|---|
| Nom | Gérer le journal d’audit et de sécurité |
| Chemin d'accès | Paramètres Windows Paramètres > de sécurité Stratégies > locales > Attribution des droits de l’utilisateur |
GérerVolume
| Étendue | Éditions | Système d’exploitation applicable |
|---|---|---|
|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, version 1803 [10.0.17134] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/UserRights/ManageVolume
Ce droit d’utilisateur détermine quels utilisateurs et groupes peuvent exécuter des tâches de maintenance sur un volume, telles que la défragmentation à distance. Soyez prudent lorsque vous attribuez ce droit d’utilisateur. Les utilisateurs disposant de ce droit d’utilisateur peuvent explorer les disques et étendre les fichiers à la mémoire contenant d’autres données. Lorsque les fichiers étendus sont ouverts, l’utilisateur peut être en mesure de lire et de modifier les données acquises.
Propriétés de l’infrastructure de description :
| Nom de la propriété | Valeur de la propriété |
|---|---|
| Format |
chr (chaîne) |
| Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
| Valeurs autorisées | Liste (délimiteur : 0xF000) |
Mappage de stratégie de groupe :
| Nom | Valeur |
|---|---|
| Nom | Effectuer les tâches de maintenance de volume |
| Chemin d'accès | Paramètres Windows Paramètres > de sécurité Stratégies > locales > Attribution des droits de l’utilisateur |
ModifyFirmwareEnvironment
| Étendue | Éditions | Système d’exploitation applicable |
|---|---|---|
|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, version 1803 [10.0.17134] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/UserRights/ModifyFirmwareEnvironment
Ce droit d’utilisateur détermine qui peut modifier les valeurs de l’environnement du microprogramme. Les variables d’environnement du microprogramme sont des paramètres stockés dans la RAM non volatile des ordinateurs non x86. L’effet du paramètre dépend du processeur. Sur les ordinateurs x86, la seule valeur d’environnement de microprogramme qui peut être modifiée en attribuant ce droit d’utilisateur est le paramètre Dernière configuration correcte connue, qui ne doit être modifié que par le système. Sur les ordinateurs Itanium, les informations de démarrage sont stockées dans une RAM non volatile. Les utilisateurs doivent se voir attribuer ce droit d’utilisateur pour exécuter bootcfg.exe et modifier le paramètre Système d’exploitation par défaut lors du démarrage et de la récupération dans les propriétés système. Sur tous les ordinateurs, ce droit d’utilisateur est requis pour installer ou mettre à niveau Windows.
Remarque
Ce paramètre de sécurité n’affecte pas qui peut modifier les variables d’environnement système et les variables d’environnement utilisateur affichées sous l’onglet Avancé des propriétés système.
Propriétés de l’infrastructure de description :
| Nom de la propriété | Valeur de la propriété |
|---|---|
| Format |
chr (chaîne) |
| Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
| Valeurs autorisées | Liste (délimiteur : 0xF000) |
Mappage de stratégie de groupe :
| Nom | Valeur |
|---|---|
| Nom | Modifier les valeurs de l’environnement du microprogramme |
| Chemin d'accès | Paramètres Windows Paramètres > de sécurité Stratégies > locales > Attribution des droits de l’utilisateur |
ModifyObjectLabel
| Étendue | Éditions | Système d’exploitation applicable |
|---|---|---|
|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, version 1803 [10.0.17134] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/UserRights/ModifyObjectLabel
Ce droit d’utilisateur détermine quels comptes d’utilisateur peuvent modifier l’étiquette d’intégrité des objets, tels que des fichiers, des clés de Registre ou des processus appartenant à d’autres utilisateurs. Les processus exécutés sous un compte d’utilisateur peuvent modifier l’étiquette d’un objet appartenant à cet utilisateur à un niveau inférieur sans ce privilège.
Propriétés de l’infrastructure de description :
| Nom de la propriété | Valeur de la propriété |
|---|---|
| Format |
chr (chaîne) |
| Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
| Valeurs autorisées | Liste (délimiteur : 0xF000) |
Mappage de stratégie de groupe :
| Nom | Valeur |
|---|---|
| Nom | Modifier un nom d’objet |
| Chemin d'accès | Paramètres Windows Paramètres > de sécurité Stratégies > locales > Attribution des droits de l’utilisateur |
ProfileSingleProcess
| Étendue | Éditions | Système d’exploitation applicable |
|---|---|---|
|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, version 1803 [10.0.17134] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/UserRights/ProfileSingleProcess
Ce droit d’utilisateur détermine quels utilisateurs peuvent utiliser les outils d’analyse des performances pour surveiller les performances des processus système.
Propriétés de l’infrastructure de description :
| Nom de la propriété | Valeur de la propriété |
|---|---|
| Format |
chr (chaîne) |
| Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
| Valeurs autorisées | Liste (délimiteur : 0xF000) |
Mappage de stratégie de groupe :
| Nom | Valeur |
|---|---|
| Nom | Processus unique du profil |
| Chemin d'accès | Paramètres Windows Paramètres > de sécurité Stratégies > locales > Attribution des droits de l’utilisateur |
ProfileSystemPerformance
| Étendue | Éditions | Système d’exploitation applicable |
|---|---|---|
|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 11, version 24H2 [10.0.26100] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/UserRights/ProfileSystemPerformance
Ce paramètre de sécurité détermine quels utilisateurs peuvent utiliser les outils d’analyse des performances pour surveiller les performances des processus système.
Propriétés de l’infrastructure de description :
| Nom de la propriété | Valeur de la propriété |
|---|---|
| Format |
chr (chaîne) |
| Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
| Valeurs autorisées | Liste (délimiteur : 0xF000) |
Mappage de stratégie de groupe :
| Nom | Valeur |
|---|---|
| Nom | Performance système du profil |
| Chemin d'accès | Paramètres Windows Paramètres > de sécurité Stratégies > locales > Attribution des droits de l’utilisateur |
RemoteShutdown
| Étendue | Éditions | Système d’exploitation applicable |
|---|---|---|
|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, version 1803 [10.0.17134] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/UserRights/RemoteShutdown
Ce droit d’utilisateur détermine quels utilisateurs sont autorisés à arrêter un ordinateur à partir d’un emplacement distant sur le réseau. Une mauvaise utilisation de ce droit d’utilisateur peut entraîner un déni de service.
Propriétés de l’infrastructure de description :
| Nom de la propriété | Valeur de la propriété |
|---|---|
| Format |
chr (chaîne) |
| Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
| Valeurs autorisées | Liste (délimiteur : 0xF000) |
Mappage de stratégie de groupe :
| Nom | Valeur |
|---|---|
| Nom | Forcer l’arrêt à partir d’un système distant |
| Chemin d'accès | Paramètres Windows Paramètres > de sécurité Stratégies > locales > Attribution des droits de l’utilisateur |
ReplaceProcessLevelToken
| Étendue | Éditions | Système d’exploitation applicable |
|---|---|---|
|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 11, version 24H2 [10.0.26100] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/UserRights/ReplaceProcessLevelToken
Ce paramètre de sécurité détermine quels comptes d’utilisateur peuvent appeler l’interface de programmation d’application (API) CreateProcessAsUser() afin qu’un service puisse en démarrer un autre. Le planificateur de tâches est un exemple de processus qui utilise ce droit d’utilisateur. Pour plus d’informations sur le Planificateur de tâches, consultez Vue d’ensemble du Planificateur de tâches.
Propriétés de l’infrastructure de description :
| Nom de la propriété | Valeur de la propriété |
|---|---|
| Format |
chr (chaîne) |
| Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
| Valeurs autorisées | Liste (délimiteur : 0xF000) |
Mappage de stratégie de groupe :
| Nom | Valeur |
|---|---|
| Nom | Remplacer un jeton de niveau processus |
| Chemin d'accès | Paramètres Windows Paramètres > de sécurité Stratégies > locales > Attribution des droits de l’utilisateur |
RestoreFilesAndDirectories
| Étendue | Éditions | Système d’exploitation applicable |
|---|---|---|
|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, version 1803 [10.0.17134] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/UserRights/RestoreFilesAndDirectories
Ce droit d’utilisateur détermine quels utilisateurs peuvent contourner les autorisations de fichier, de répertoire, de registre et d’autres objets persistants lors de la restauration des fichiers et répertoires sauvegardés, et détermine quels utilisateurs peuvent définir n’importe quel principal de sécurité valide en tant que propriétaire d’un objet. Plus précisément, ce droit d’utilisateur est similaire à l’octroi des autorisations suivantes à l’utilisateur ou au groupe en question sur tous les fichiers et dossiers sur le système :Traverse Dossier/Exécuter le fichier, Écrire.
Attention
L’attribution de ce droit d’utilisateur peut constituer un risque pour la sécurité. Étant donné que les utilisateurs disposant de ce droit d’utilisateur peuvent remplacer les paramètres du Registre, masquer les données et acquérir la propriété des objets système, attribuez uniquement ce droit d’utilisateur aux utilisateurs approuvés.
Propriétés de l’infrastructure de description :
| Nom de la propriété | Valeur de la propriété |
|---|---|
| Format |
chr (chaîne) |
| Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
| Valeurs autorisées | Liste (délimiteur : 0xF000) |
Mappage de stratégie de groupe :
| Nom | Valeur |
|---|---|
| Nom | Restaurer les fichiers et les répertoires |
| Chemin d'accès | Paramètres Windows Paramètres > de sécurité Stratégies > locales > Attribution des droits de l’utilisateur |
ShutDownTheSystem
| Étendue | Éditions | Système d’exploitation applicable |
|---|---|---|
|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 11, version 24H2 [10.0.26100] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/UserRights/ShutDownTheSystem
Ce paramètre de sécurité détermine les utilisateurs connectés localement à l’ordinateur qui peuvent arrêter le système d’exploitation à l’aide de la commande Arrêter. Une mauvaise utilisation de ce droit d’utilisateur peut entraîner un déni de service.
Propriétés de l’infrastructure de description :
| Nom de la propriété | Valeur de la propriété |
|---|---|
| Format |
chr (chaîne) |
| Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
| Valeurs autorisées | Liste (délimiteur : 0xF000) |
Mappage de stratégie de groupe :
| Nom | Valeur |
|---|---|
| Nom | Arrêter le système |
| Chemin d'accès | Paramètres Windows Paramètres > de sécurité Stratégies > locales > Attribution des droits de l’utilisateur |
TakeOwnership
| Étendue | Éditions | Système d’exploitation applicable |
|---|---|---|
|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10, version 1803 [10.0.17134] et versions ultérieures |
./Device/Vendor/MSFT/Policy/Config/UserRights/TakeOwnership
Ce droit d’utilisateur détermine quels utilisateurs peuvent prendre possession de n’importe quel objet sécurisable dans le système, y compris les objets Active Directory, les fichiers et dossiers, les imprimantes, les clés de Registre, les processus et les threads.
Attention
L’attribution de ce droit d’utilisateur peut constituer un risque pour la sécurité. Étant donné que les propriétaires d’objets en ont le contrôle total, attribuez uniquement ce droit d’utilisateur aux utilisateurs approuvés.
Propriétés de l’infrastructure de description :
| Nom de la propriété | Valeur de la propriété |
|---|---|
| Format |
chr (chaîne) |
| Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
| Valeurs autorisées | Liste (délimiteur : 0xF000) |
Mappage de stratégie de groupe :
| Nom | Valeur |
|---|---|
| Nom | Prendre possession de fichiers ou d’autres objets |
| Chemin d'accès | Paramètres Windows Paramètres > de sécurité Stratégies > locales > Attribution des droits de l’utilisateur |