Compartilhar via


CSP de Política - UserRights

Os direitos de utilizador são atribuídos a contas ou grupos de utilizadores. O nome da política define o direito de utilizador em questão e os valores são sempre utilizadores ou grupos. Os valores podem ser representados como Identificadores de Segurança (SID) ou cadeias. Para obter mais informações, veja Estruturas de SID bem conhecidas.

Apesar de as cadeias de carateres serem suportadas para contas e grupos conhecidos, é melhor utilizar SIDs, uma vez que as cadeias de carateres são localizadas para idiomas diferentes. Alguns direitos de utilizador permitem coisas como AccessFromNetwork, enquanto outros não permitem coisas, como DenyAccessFromNetwork.

Exemplo geral

Eis um exemplo para definir o utilizador correto BackupFilesAndDirectories para administradores e grupos de Utilizadores Autenticados.

<SyncML xmlns="SYNCML:SYNCML1.2">

<SyncBody>
    <Replace>
      <CmdID>2</CmdID>
      <Item>
        <Meta>
          <Format>chr</Format>
          <Type>text/plain</Type>
        </Meta>
        <Target>
          <LocURI>./Device/Vendor/MSFT/Policy/Config/UserRights/BackupFilesAndDirectories</LocURI>
        </Target>
        <Data>Authenticated Users&#xF000;Administrators</Data>
      </Item>
    </Replace>
  <Final/>
  </SyncBody>
</SyncML>

Eis exemplos de campos de dados. O codificado 0xF000 é o delimitador/separador padrão.

  • Conceder um direito de utilizador ao grupo Administradores através de SID:

    <Data>*S-1-5-32-544</Data>
    
  • Conceda um direito de utilizador a vários grupos (Administradores, Utilizadores Autenticados) através de SID:

    <Data>*S-1-5-32-544&#xF000;*S-1-5-11</Data>
    
  • Conceda um direito de utilizador a vários grupos (Administradores, Utilizadores Autenticados) através de uma combinação de SID e Cadeias:

    <Data>*S-1-5-32-544&#xF000;Authenticated Users</Data>
    
  • Conceda um direito de utilizador a vários grupos (Utilizadores Autenticados, Administradores) através de cadeias de carateres:

    <Data>Authenticated Users&#xF000;Administrators</Data>
    
  • A entrada vazia indica que não existem utilizadores configurados para ter esse direito de utilizador:

    <Data></Data>
    

Se utilizar Intune perfis personalizados para atribuir políticas UserRights, tem de utilizar a etiqueta CDATA (<![CDATA[...]]>) para encapsular os campos de dados. Pode especificar um ou mais grupos de utilizadores na etiqueta CDATA ao utilizar 0xF000 como delimitador/separador.

Observação

&#xF000; é a codificação de entidade de 0xF000.

Por exemplo, a seguinte sintaxe concede direitos de utilizador a Utilizadores Autenticados e grupos de utilizadores do Replicator:

<![CDATA[Authenticated Users&#xF000;Replicator]]>

Por exemplo, a seguinte sintaxe concede direitos de utilizador a dois utilizadores Microsoft Entra específicos da Contoso, utilizador1 e utilizador2:

<![CDATA[AzureAD\user1@contoso.com&#xF000;AzureAD\user2@contoso.com]]>

Por exemplo, a seguinte sintaxe concede direitos de utilizador a um utilizador ou grupo específico, utilizando o SID da conta ou grupo:

<![CDATA[*S-1-12-1-430441778-1204322964-3914475434-3271576427&#xF000;*S-1-12-1-2699785510-1240757380-4153857927-656075536]]>

AccessCredentialManagerAsTrustedCaller

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 10, versão 1803 [10.0.17134] e posterior
./Device/Vendor/MSFT/Policy/Config/UserRights/AccessCredentialManagerAsTrustedCaller

Este direito de utilizador é utilizado pelo Gestor de Credenciais durante a Cópia de Segurança/Restauro. Nenhuma conta deve ter este privilégio, uma vez que só está atribuída ao Winlogon. As credenciais guardadas dos utilizadores poderão ficar comprometidas se este privilégio for concedido a outras entidades.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato chr (cadeia)
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valores Permitidos Lista (Delimitador: 0xF000)

Mapeamento de política de grupo:

Nome Valor
Nome Aceder ao Gestor de Credenciais como um chamador fidedigno
Caminho Definições > de Segurança do Windows Definições Políticas > Locais Atribuição de Direitos > de Utilizador

AccessFromNetwork

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 10, versão 1803 [10.0.17134] e posterior
./Device/Vendor/MSFT/Policy/Config/UserRights/AccessFromNetwork

Este direito de utilizador determina que utilizadores e grupos podem ligar-se ao computador através da rede. Os Serviços de Ambiente de Trabalho Remoto não são afetados por este direito de utilizador.

Observação

Os Serviços de Ambiente de Trabalho Remoto eram denominados Serviços de Terminal em versões anteriores do Windows Server.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato chr (cadeia)
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valores Permitidos Lista (Delimitador: 0xF000)

Mapeamento de política de grupo:

Nome Valor
Nome Acesso a este computador da rede
Caminho Definições > de Segurança do Windows Definições Políticas > Locais Atribuição de Direitos > de Utilizador

ActAsPartOfTheOperatingSystem

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 10, versão 1803 [10.0.17134] e posterior
./Device/Vendor/MSFT/Policy/Config/UserRights/ActAsPartOfTheOperatingSystem

Este direito de utilizador permite que um processo represente qualquer utilizador sem autenticação. Por conseguinte, o processo pode obter acesso aos mesmos recursos locais que esse utilizador. Os processos que requerem este privilégio devem utilizar a conta LocalSystem, que já inclui este privilégio, em vez de utilizar uma conta de utilizador separada com este privilégio especialmente atribuído.

Cuidado

Atribuir este direito de utilizador pode ser um risco de segurança. Atribua apenas este direito de utilizador a utilizadores fidedignos.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato chr (cadeia)
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valores Permitidos Lista (Delimitador: 0xF000)

Mapeamento de política de grupo:

Nome Valor
Nome Agir como parte do sistema operacional
Caminho Definições > de Segurança do Windows Definições Políticas > Locais Atribuição de Direitos > de Utilizador

AdjustMemoryQuotasForProcess

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 11, versão 24H2 [10.0.26100] e posterior
./Device/Vendor/MSFT/Policy/Config/UserRights/AdjustMemoryQuotasForProcess

Ajustar as quotas de memória de um processo – este privilégio determina quem pode alterar a memória máxima que pode ser consumida por um processo. Este privilégio é útil para otimização do sistema numa base de grupo ou utilizador.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato chr (cadeia)
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valores Permitidos Lista (Delimitador: 0xF000)

Mapeamento de política de grupo:

Nome Valor
Nome Ajustar quotas de memória para um processo
Caminho Definições > de Segurança do Windows Definições Políticas > Locais Atribuição de Direitos > de Utilizador

AllowLocalLogOn

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 10, versão 1803 [10.0.17134] e posterior
./Device/Vendor/MSFT/Policy/Config/UserRights/AllowLocalLogOn

Este direito de utilizador determina que utilizadores podem iniciar sessão no computador.

Observação

Modificar esta definição pode afetar a compatibilidade com clientes, serviços e aplicações. Para obter informações de compatibilidade sobre esta definição, consulte Permitir início de sessão localmente (https://go.microsoft.com/fwlink/?LinkId=24268 ) no site da Microsoft.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato chr (cadeia)
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valores Permitidos Lista (Delimitador: 0xF000)

Mapeamento de política de grupo:

Nome Valor
Nome Permitir logon localmente
Caminho Definições > de Segurança do Windows Definições Políticas > Locais Atribuição de Direitos > de Utilizador

AllowLogOnThroughRemoteDesktop

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 11, versão 24H2 [10.0.26100] e posterior
./Device/Vendor/MSFT/Policy/Config/UserRights/AllowLogOnThroughRemoteDesktop

Permitir o início de sessão através dos Serviços de Ambiente de Trabalho Remoto – esta definição de política determina que utilizadores ou grupos podem aceder ao ecrã de início de sessão de um dispositivo remoto através de uma ligação dos Serviços de Ambiente de Trabalho Remoto.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato chr (cadeia)
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valores Permitidos Lista (Delimitador: 0xF000)

Mapeamento de política de grupo:

Nome Valor
Nome Permitir logon por meio dos Serviços de Área de Trabalho Remota
Caminho Definições > de Segurança do Windows Definições Políticas > Locais Atribuição de Direitos > de Utilizador

BackupFilesAndDirectories

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 10, versão 1803 [10.0.17134] e posterior
./Device/Vendor/MSFT/Policy/Config/UserRights/BackupFilesAndDirectories

Este direito de utilizador determina quais os utilizadores que podem ignorar as permissões de ficheiros, diretórios, registos e outros objetos persistentes ao criar cópias de segurança de ficheiros e diretórios. Especificamente, este direito de utilizador é semelhante a conceder as seguintes permissões ao utilizador ou grupo em questão em todos os ficheiros e pastas no sistema:Atravessar Pasta/Executar Ficheiro, Ler.

Cuidado

Atribuir este direito de utilizador pode ser um risco de segurança. Uma vez que os utilizadores com este direito de utilizador podem ler quaisquer ficheiros e definições de registo, atribua apenas este direito de utilizador a utilizadores fidedignos.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato chr (cadeia)
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valores Permitidos Lista (Delimitador: 0xF000)

Mapeamento de política de grupo:

Nome Valor
Nome Fazer backup de arquivos e pastas
Caminho Definições > de Segurança do Windows Definições Políticas > Locais Atribuição de Direitos > de Utilizador

BypassTraverseChecking

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 11, versão 24H2 [10.0.26100] e posterior
./Device/Vendor/MSFT/Policy/Config/UserRights/BypassTraverseChecking

Este direito de utilizador determina que utilizadores podem atravessar árvores de diretório, embora o utilizador possa não ter permissões no diretório percorrido. Este privilégio não permite que o utilizador liste os conteúdos de um diretório, apenas para percorrer diretórios.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato chr (cadeia)
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valores Permitidos Lista (Delimitador: 0xF000)

Mapeamento de política de grupo:

Nome Valor
Nome Ignorar a verificação completa
Caminho Definições > de Segurança do Windows Definições Políticas > Locais Atribuição de Direitos > de Utilizador

ChangeSystemTime

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 10, versão 1803 [10.0.17134] e posterior
./Device/Vendor/MSFT/Policy/Config/UserRights/ChangeSystemTime

Este direito de utilizador determina que utilizadores e grupos podem alterar a hora e a data no relógio interno do computador. Os utilizadores a que foi atribuído este direito de utilizador podem afetar o aspeto dos registos de eventos. Se a hora do sistema for alterada, os eventos registados refletirão esta nova hora e não a hora real em que os eventos ocorreram.

Cuidado

Quando configura direitos de utilizador, este substitui os utilizadores ou grupos existentes que foram anteriormente atribuídos a esses direitos de utilizador. O sistema requer que a conta de Serviço Local (SID S-1-5-19) tenha sempre o direito ChangeSystemTime. Especifique sempre o Serviço Local, para além de quaisquer outras contas que tenha de configurar nesta política.

Se não incluir a conta do Serviço Local , o pedido falha com o seguinte erro:

Código de erro Nome simbólico Descrição do erro Cabeçalho
0x80070032 (Hex) ERROR_NOT_SUPPORTED O pedido não é suportado. winerror.h

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato chr (cadeia)
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valores Permitidos Lista (Delimitador: 0xF000)

Mapeamento de política de grupo:

Nome Valor
Nome Alterar a hora do sistema
Caminho Definições > de Segurança do Windows Definições Políticas > Locais Atribuição de Direitos > de Utilizador

ChangeTimeZone

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 11, versão 24H2 [10.0.26100] e posterior
./Device/Vendor/MSFT/Policy/Config/UserRights/ChangeTimeZone

Este direito de utilizador determina que utilizadores e grupos podem alterar o fuso horário utilizado pelo computador para apresentar a hora local, que é a hora do sistema do computador mais o desvio do fuso horário. A hora do sistema em si é absoluta e não é afetada por uma alteração no fuso horário.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato chr (cadeia)
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valores Permitidos Lista (Delimitador: 0xF000)

Mapeamento de política de grupo:

Nome Valor
Nome Alterar o fuso horário
Caminho Definições > de Segurança do Windows Definições Políticas > Locais Atribuição de Direitos > de Utilizador

CreateGlobalObjects

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 10, versão 1803 [10.0.17134] e posterior
./Device/Vendor/MSFT/Policy/Config/UserRights/CreateGlobalObjects

Esta definição de segurança determina se os utilizadores podem criar objetos globais que estão disponíveis para todas as sessões. Os utilizadores ainda podem criar objetos específicos da sua própria sessão se não tiverem este direito de utilizador. Os utilizadores que podem criar objetos globais podem afetar os processos que são executados nas sessões de outros utilizadores, o que pode levar a falhas de aplicações ou danos em dados.

Cuidado

Atribuir este direito de utilizador pode ser um risco de segurança. Atribua este direito de utilizador apenas a utilizadores fidedignos.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato chr (cadeia)
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valores Permitidos Lista (Delimitador: 0xF000)

Mapeamento de política de grupo:

Nome Valor
Nome Create global objects
Caminho Definições > de Segurança do Windows Definições Políticas > Locais Atribuição de Direitos > de Utilizador

CreatePageFile

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 10, versão 1803 [10.0.17134] e posterior
./Device/Vendor/MSFT/Policy/Config/UserRights/CreatePageFile

Este direito de utilizador determina que utilizadores e grupos podem chamar uma interface de programação de aplicações (API) interna para criar e alterar o tamanho de um ficheiro de página. Este direito de utilizador é utilizado internamente pelo sistema operativo e, normalmente, não precisa de ser atribuído a nenhum utilizador.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato chr (cadeia)
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valores Permitidos Lista (Delimitador: 0xF000)

Mapeamento de política de grupo:

Nome Valor
Nome Criar um arquivo de página
Caminho Definições > de Segurança do Windows Definições Políticas > Locais Atribuição de Direitos > de Utilizador

CreatePermanentSharedObjects

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 10, versão 1803 [10.0.17134] e posterior
./Device/Vendor/MSFT/Policy/Config/UserRights/CreatePermanentSharedObjects

Este direito de utilizador determina que contas podem ser utilizadas por processos para criar um objeto de diretório com o gestor de objetos. Este direito de utilizador é utilizado internamente pelo sistema operativo e é útil para componentes de modo kernel que expandem o espaço de nomes de objetos. Uma vez que os componentes em execução no modo kernel já têm este direito de utilizador atribuído, não é necessário atribuí-lo especificamente.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato chr (cadeia)
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valores Permitidos Lista (Delimitador: 0xF000)

Mapeamento de política de grupo:

Nome Valor
Nome Criar objetos compartilhados permanentemente
Caminho Definições > de Segurança do Windows Definições Políticas > Locais Atribuição de Direitos > de Utilizador
Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 10, versão 1803 [10.0.17134] e posterior
./Device/Vendor/MSFT/Policy/Config/UserRights/CreateSymbolicLinks

Este direito de utilizador determina se o utilizador pode criar uma ligação simbólica a partir do computador no qual tem sessão iniciada.

Cuidado

Este privilégio só deve ser atribuído a utilizadores fidedignos. As ligações simbólicas podem expor vulnerabilidades de segurança em aplicações que não foram concebidas para lidar com as mesmas.

Observação

Esta definição pode ser utilizada em conjunto com uma definição de sistema de ficheiros de symlink que pode ser manipulada com o utilitário da linha de comandos para controlar os tipos de symlinks permitidos no computador. Escreva "fsutil behavior set symlinkevaluation /?". na linha de comandos para obter mais informações sobre ligações simbólicas e fsutil.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato chr (cadeia)
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valores Permitidos Lista (Delimitador: 0xF000)

Mapeamento de política de grupo:

Nome Valor
Nome Criar vínculos simbólicos
Caminho Definições > de Segurança do Windows Definições Políticas > Locais Atribuição de Direitos > de Utilizador

CreateToken

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 10, versão 1803 [10.0.17134] e posterior
./Device/Vendor/MSFT/Policy/Config/UserRights/CreateToken

Este direito de utilizador determina que contas podem ser utilizadas por processos para criar um token que pode ser utilizado para obter acesso a quaisquer recursos locais quando o processo utiliza uma interface de programação de aplicações interna (API) para criar um token de acesso. Este direito de utilizador é utilizado internamente pelo sistema operativo. A menos que seja necessário, não atribua este direito de utilizador a um utilizador, grupo ou processo que não seja o Sistema Local.

Cuidado

Atribuir este direito de utilizador pode ser um risco de segurança. Não atribua este direito de utilizador a nenhum utilizador, grupo ou processo que não queira assumir.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato chr (cadeia)
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valores Permitidos Lista (Delimitador: 0xF000)

Mapeamento de política de grupo:

Nome Valor
Nome Criar um objeto token
Caminho Definições > de Segurança do Windows Definições Políticas > Locais Atribuição de Direitos > de Utilizador

DebugPrograms

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 10, versão 1803 [10.0.17134] e posterior
./Device/Vendor/MSFT/Policy/Config/UserRights/DebugPrograms

Este direito de utilizador determina que utilizadores podem anexar um depurador a qualquer processo ou ao kernel. Os programadores que estão a depurar as suas próprias aplicações não precisam de ter este direito de utilizador atribuído. Os programadores que estão a depurar novos componentes do sistema precisarão deste direito de utilizador para o poder fazer. Este direito de utilizador fornece acesso total a componentes confidenciais e críticos do sistema operativo.

Cuidado

Atribuir este direito de utilizador pode ser um risco de segurança. Atribua apenas este direito de utilizador a utilizadores fidedignos.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato chr (cadeia)
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valores Permitidos Lista (Delimitador: 0xF000)

Mapeamento de política de grupo:

Nome Valor
Nome Depurar programas
Caminho Definições > de Segurança do Windows Definições Políticas > Locais Atribuição de Direitos > de Utilizador

DenyAccessFromNetwork

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 10, versão 1803 [10.0.17134] e posterior
./Device/Vendor/MSFT/Policy/Config/UserRights/DenyAccessFromNetwork

Este direito de utilizador determina que utilizadores estão impedidos de aceder a um computador através da rede. Esta definição de política substitui a definição Aceder a este computador a partir da política de rede se uma conta de utilizador estiver sujeita a ambas as políticas.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato chr (cadeia)
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valores Permitidos Lista (Delimitador: 0xF000)

Mapeamento de política de grupo:

Nome Valor
Nome Negar o acesso a este computador a partir da rede
Caminho Definições > de Segurança do Windows Definições Políticas > Locais Atribuição de Direitos > de Utilizador

DenyLocalLogOn

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 10, versão 1803 [10.0.17134] e posterior
./Device/Vendor/MSFT/Policy/Config/UserRights/DenyLocalLogOn

Esta definição de segurança determina que contas de serviço estão impedidas de registar um processo como um serviço.

Observação

Esta definição de segurança não se aplica às contas de Sistema, Serviço Local ou Serviço de Rede.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato chr (cadeia)
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valores Permitidos Lista (Delimitador: 0xF000)

Mapeamento de política de grupo:

Nome Valor
Nome Negar o logon como um serviço
Caminho Definições > de Segurança do Windows Definições Políticas > Locais Atribuição de Direitos > de Utilizador

DenyLogOnAsBatchJob

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 11, versão 24H2 [10.0.26100] e posterior
./Device/Vendor/MSFT/Policy/Config/UserRights/DenyLogOnAsBatchJob

Esta definição de segurança determina que contas estão impedidas de iniciar sessão como uma tarefa de lote. Esta definição de política substitui a definição de política Iniciar sessão como uma tarefa de lote se uma conta de utilizador estiver sujeita a ambas as políticas.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato chr (cadeia)
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valores Permitidos Lista (Delimitador: 0xF000)

Mapeamento de política de grupo:

Nome Valor
Nome Negar o logon como um trabalho em lotes
Caminho Definições > de Segurança do Windows Definições Políticas > Locais Atribuição de Direitos > de Utilizador

DenyLogOnAsService

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 11, versão 24H2 [10.0.26100] e posterior
./Device/Vendor/MSFT/Policy/Config/UserRights/DenyLogOnAsService

Negar o início de sessão como um serviço – esta definição de segurança determina que contas de serviço estão impedidas de registar um processo como um serviço. Esta definição de política substitui a definição iniciar sessão como uma política de serviço se uma conta estiver sujeita a ambas as políticas.

Observação

Esta definição de segurança não se aplica às contas de Sistema, Serviço Local ou Serviço de Rede. Predefinição: Nenhum.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato chr (cadeia)
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valores Permitidos Lista (Delimitador: 0xF000)

Mapeamento de política de grupo:

Nome Valor
Nome Negar o logon como um serviço
Caminho Definições > de Segurança do Windows Definições Políticas > Locais Atribuição de Direitos > de Utilizador

DenyRemoteDesktopServicesLogOn

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 10, versão 1803 [10.0.17134] e posterior
./Device/Vendor/MSFT/Policy/Config/UserRights/DenyRemoteDesktopServicesLogOn

Este direito de utilizador determina que utilizadores e grupos estão proibidos de iniciar sessão como um cliente dos Serviços de Ambiente de Trabalho Remoto.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato chr (cadeia)
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valores Permitidos Lista (Delimitador: 0xF000)

Mapeamento de política de grupo:

Nome Valor
Nome Negar o logon por meio dos Serviços de Área de Trabalho Remota
Caminho Definições > de Segurança do Windows Definições Políticas > Locais Atribuição de Direitos > de Utilizador

EnableDelegation

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 10, versão 1803 [10.0.17134] e posterior
./Device/Vendor/MSFT/Policy/Config/UserRights/EnableDelegation

Este direito de utilizador determina que utilizadores podem definir a definição Fidedigno para Delegação num objeto de utilizador ou computador. O utilizador ou objeto que concede este privilégio tem de ter acesso de escrita aos sinalizadores de controlo de conta no objeto de utilizador ou computador. Um processo de servidor em execução num computador (ou num contexto de utilizador) fidedigno para delegação pode aceder a recursos noutro computador com credenciais delegadas de um cliente, desde que a conta de cliente não tenha o sinalizador de controlo de conta delegado definido.

Cuidado

A utilização indevida deste direito de utilizador, ou da definição Fidedigna para Delegação, pode tornar a rede vulnerável a ataques sofisticados através de programas trojan que representam clientes recebidos e utilizam as respetivas credenciais para obter acesso aos recursos de rede.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato chr (cadeia)
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valores Permitidos Lista (Delimitador: 0xF000)

Mapeamento de política de grupo:

Nome Valor
Nome Permitir que contas de computador e usuário sejam confiáveis para delegação
Caminho Definições > de Segurança do Windows Definições Políticas > Locais Atribuição de Direitos > de Utilizador

GenerateSecurityAudits

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 10, versão 1803 [10.0.17134] e posterior
./Device/Vendor/MSFT/Policy/Config/UserRights/GenerateSecurityAudits

Este direito de utilizador determina que contas podem ser utilizadas por um processo para adicionar entradas ao registo de segurança. O registo de segurança é utilizado para rastrear o acesso não autorizado ao sistema. A utilização indevida deste direito de utilizador pode resultar na geração de muitos eventos de auditoria, potencialmente ocultando provas de um ataque ou causando uma negação de serviço. Encerre o sistema imediatamente se não for possível registar a definição de política de segurança de auditorias de segurança.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato chr (cadeia)
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valores Permitidos Lista (Delimitador: 0xF000)

Mapeamento de política de grupo:

Nome Valor
Nome Gerar auditorias de segurança
Caminho Definições > de Segurança do Windows Definições Políticas > Locais Atribuição de Direitos > de Utilizador

ImpersonateClient

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 10, versão 1803 [10.0.17134] e posterior
./Device/Vendor/MSFT/Policy/Config/UserRights/ImpersonateClient

Atribuir este direito de utilizador a um utilizador permite que os programas em execução em nome desse utilizador representem um cliente. Exigir este direito de utilizador para este tipo de representação impede um utilizador não autorizado de convencer um cliente a ligar (por exemplo, por chamada de procedimento remoto (RPC) ou pipes nomeados) a um serviço que criou e, em seguida, representar esse cliente, o que pode elevar as permissões do utilizador não autorizado para níveis administrativos ou de sistema.

Cuidado

Atribuir este direito de utilizador pode ser um risco de segurança. Atribua apenas este direito de utilizador a utilizadores fidedignos.

Observação

Por predefinição, os serviços iniciados pelo Service Control Manager têm o grupo de Serviços incorporado adicionado aos respetivos tokens de acesso. Os servidores do Modelo de Objeto de Componente (COM) iniciados pela infraestrutura COM e que estão configurados para serem executados numa conta específica também têm o Grupo de serviços adicionado aos respetivos tokens de acesso. Como resultado, estes serviços acertam este utilizador quando são iniciados. Além disso, um utilizador também pode representar um token de acesso se existir alguma das seguintes condições. 1) O token de acesso que está a ser representado é para este utilizador. 2) O utilizador, nesta sessão de início de sessão, criou o token de acesso ao iniciar sessão na rede com credenciais explícitas. 3) O nível pedido é menor do que Representar, como Anónimo ou Identificar. Devido a estes fatores, os utilizadores normalmente não precisam deste direito de utilizador.

Aviso

Se ativar esta definição, os programas que tinham o privilégio Representar podem perdê-la e não podem ser executados.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato chr (cadeia)
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valores Permitidos Lista (Delimitador: 0xF000)

Mapeamento de política de grupo:

Nome Valor
Nome Representar um cliente após a autenticação
Caminho Definições > de Segurança do Windows Definições Políticas > Locais Atribuição de Direitos > de Utilizador

IncreaseProcessWorkingSet

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 11, versão 24H2 [10.0.26100] e posterior
./Device/Vendor/MSFT/Policy/Config/UserRights/IncreaseProcessWorkingSet

Aumente um conjunto de trabalho do processo. Este privilégio determina que contas de utilizador podem aumentar ou diminuir o tamanho do conjunto de trabalho de um processo. O conjunto de trabalho de um processo é o conjunto de páginas de memória atualmente visíveis para o processo na memória física da RAM. Estas páginas são residentes e estão disponíveis para uma aplicação utilizar sem acionar uma falha de página. Os tamanhos mínimos e máximos do conjunto de trabalho afetam o comportamento de paginação de memória virtual de um processo.

Aviso

Aumentar o tamanho do conjunto de trabalho de um processo diminui a quantidade de memória física disponível para o resto do sistema.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato chr (cadeia)
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valores Permitidos Lista (Delimitador: 0xF000)

Mapeamento de política de grupo:

Nome Valor
Nome Aumentar um conjunto de trabalho de processo
Caminho Definições > de Segurança do Windows Definições Políticas > Locais Atribuição de Direitos > de Utilizador

IncreaseSchedulingPriority

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 10, versão 1803 [10.0.17134] e posterior
./Device/Vendor/MSFT/Policy/Config/UserRights/IncreaseSchedulingPriority

Este direito de utilizador determina que contas podem utilizar um processo com acesso de Propriedade de Escrita a outro processo para aumentar a prioridade de execução atribuída ao outro processo. Um utilizador com este privilégio pode alterar a prioridade de agendamento de um processo através da interface de utilizador do Gestor de Tarefas.

Aviso

Se remover o Gestor de Janelas\Grupo gestor de janelas do direito de utilizador Aumentar prioridade de agendamento , determinadas aplicações e computadores não funcionarão corretamente. Em particular, a área de trabalho INK não funciona corretamente em computadores portáteis e computadores de secretária de arquitetura de memória unificada (UMA) que executam Windows 10, versão 1903 ou posterior e que utilizam o controlador Intel GFX.

Nos computadores afetados, o ecrã pisca quando os utilizadores desenham em áreas de trabalho de TINTA DIGITAL, como as utilizadas pelo Microsoft Edge, Microsoft PowerPoint ou Microsoft OneNote. O piscar ocorre porque os processos relacionados com a utilização de tinta digital tentam repetidamente utilizar a prioridade Real-Time, mas são negadas permissões.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato chr (cadeia)
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valores Permitidos Lista (Delimitador: 0xF000)

Mapeamento de política de grupo:

Nome Valor
Nome Aumentar prioridade de agendamento
Caminho Definições > de Segurança do Windows Definições Políticas > Locais Atribuição de Direitos > de Utilizador

LoadUnloadDeviceDrivers

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 10, versão 1803 [10.0.17134] e posterior
./Device/Vendor/MSFT/Policy/Config/UserRights/LoadUnloadDeviceDrivers

Este direito de utilizador determina que utilizadores podem carregar e descarregar dinamicamente controladores de dispositivo ou outro código no modo kernel. Este direito de utilizador não se aplica a controladores de dispositivo Plug and Play. Recomenda-se que não atribua este privilégio a outros utilizadores.

Cuidado

Atribuir este direito de utilizador pode ser um risco de segurança. Não atribua este direito de utilizador a nenhum utilizador, grupo ou processo que não queira assumir.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato chr (cadeia)
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valores Permitidos Lista (Delimitador: 0xF000)

Mapeamento de política de grupo:

Nome Valor
Nome Carregar e descarregar drivers de dispositivo
Caminho Definições > de Segurança do Windows Definições Políticas > Locais Atribuição de Direitos > de Utilizador

LockMemory

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 10, versão 1803 [10.0.17134] e posterior
./Device/Vendor/MSFT/Policy/Config/UserRights/LockMemory

Este direito de utilizador determina que contas podem utilizar um processo para manter os dados na memória física, o que impede o sistema de paginar os dados para a memória virtual no disco. O exercício deste privilégio pode afetar significativamente o desempenho do sistema ao diminuir a quantidade de memória de acesso aleatório (RAM) disponível.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato chr (cadeia)
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valores Permitidos Lista (Delimitador: 0xF000)

Mapeamento de política de grupo:

Nome Valor
Nome Bloquear páginas na memória
Caminho Definições > de Segurança do Windows Definições Políticas > Locais Atribuição de Direitos > de Utilizador

LogOnAsBatchJob

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 11, versão 24H2 [10.0.26100] e posterior
./Device/Vendor/MSFT/Policy/Config/UserRights/LogOnAsBatchJob

Esta definição de segurança permite que um utilizador tenha sessão iniciada através de uma instalação de fila de lotes e é fornecida apenas para compatibilidade com versões mais antigas do Windows. Por exemplo, quando um utilizador submete uma tarefa através do agendador de tarefas, o agendador de tarefas regista esse utilizador como um utilizador em lote e não como um utilizador interativo.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato chr (cadeia)
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valores Permitidos Lista (Delimitador: 0xF000)

Mapeamento de política de grupo:

Nome Valor
Nome Fazer logon como um trabalho em lotes
Caminho Definições > de Segurança do Windows Definições Políticas > Locais Atribuição de Direitos > de Utilizador

LogOnAsService

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 11, versão 24H2 [10.0.26100] e posterior
./Device/Vendor/MSFT/Policy/Config/UserRights/LogOnAsService

Esta definição de segurança permite que um principal de segurança inicie sessão como um serviço. Os serviços podem ser configurados para serem executados nas contas Sistema Local, Serviço Local ou Serviço de Rede, que têm o direito incorporado de iniciar sessão como um serviço. Qualquer serviço que seja executado numa conta de utilizador separada tem de ter o direito atribuído.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato chr (cadeia)
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valores Permitidos Lista (Delimitador: 0xF000)

Mapeamento de política de grupo:

Nome Valor
Nome Fazer logon como um serviço
Caminho Definições > de Segurança do Windows Definições Políticas > Locais Atribuição de Direitos > de Utilizador

ManageAuditingAndSecurityLog

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 10, versão 1803 [10.0.17134] e posterior
./Device/Vendor/MSFT/Policy/Config/UserRights/ManageAuditingAndSecurityLog

Este direito de utilizador determina que utilizadores podem especificar opções de auditoria de acesso a objetos para recursos individuais, tais como ficheiros, objetos do Active Directory e chaves de registo. Esta definição de segurança não permite que um utilizador ative a auditoria de acesso a ficheiros e objetos em geral. Pode ver eventos auditados no registo de segurança do Visualizador de Eventos. Um utilizador com este privilégio também pode ver e limpar o registo de segurança.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato chr (cadeia)
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valores Permitidos Lista (Delimitador: 0xF000)

Mapeamento de política de grupo:

Nome Valor
Nome Gerenciar a auditoria e o log de segurança
Caminho Definições > de Segurança do Windows Definições Políticas > Locais Atribuição de Direitos > de Utilizador

ManageVolume

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 10, versão 1803 [10.0.17134] e posterior
./Device/Vendor/MSFT/Policy/Config/UserRights/ManageVolume

Este direito de utilizador determina que utilizadores e grupos podem executar tarefas de manutenção num volume, como a desfragmentação remota. Tenha cuidado ao atribuir este direito de utilizador. Os utilizadores com este direito de utilizador podem explorar discos e expandir ficheiros para a memória que contém outros dados. Quando os ficheiros expandidos são abertos, o utilizador poderá conseguir ler e modificar os dados adquiridos.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato chr (cadeia)
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valores Permitidos Lista (Delimitador: 0xF000)

Mapeamento de política de grupo:

Nome Valor
Nome Executar tarefas de manutenção de volume
Caminho Definições > de Segurança do Windows Definições Políticas > Locais Atribuição de Direitos > de Utilizador

ModifyFirmwareEnvironment

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 10, versão 1803 [10.0.17134] e posterior
./Device/Vendor/MSFT/Policy/Config/UserRights/ModifyFirmwareEnvironment

Este direito de utilizador determina quem pode modificar os valores do ambiente de firmware. As variáveis de ambiente de firmware são definições armazenadas na RAM não complexa de computadores não baseados em x86. O efeito da definição depende do processador. Em computadores baseados em x86, o único valor de ambiente de firmware que pode ser modificado ao atribuir este direito de utilizador é a definição Última Configuração De Bom Conhecido, que só deve ser modificada pelo sistema. Em computadores baseados em Itanium, as informações de arranque são armazenadas numa RAM não complexa. Tem de ser atribuído direito a este utilizador para executar bootcfg.exe e para alterar a definição do Sistema Operativo Predefinido em Arranque e Recuperação nas Propriedades do Sistema. Em todos os computadores, este direito de utilizador é necessário para instalar ou atualizar o Windows.

Observação

Esta definição de segurança não afeta quem pode modificar as variáveis de ambiente do sistema e as variáveis de ambiente de utilizador que são apresentadas no separador Avançadas das Propriedades do Sistema.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato chr (cadeia)
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valores Permitidos Lista (Delimitador: 0xF000)

Mapeamento de política de grupo:

Nome Valor
Nome Modificar valores de ambiente de firmware
Caminho Definições > de Segurança do Windows Definições Políticas > Locais Atribuição de Direitos > de Utilizador

ModifyObjectLabel

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 10, versão 1803 [10.0.17134] e posterior
./Device/Vendor/MSFT/Policy/Config/UserRights/ModifyObjectLabel

Este direito de utilizador determina que contas de utilizador podem modificar a etiqueta de integridade dos objetos, como ficheiros, chaves de registo ou processos pertencentes a outros utilizadores. Os processos em execução numa conta de utilizador podem modificar a etiqueta de um objeto pertencente a esse utilizador para um nível inferior sem este privilégio.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato chr (cadeia)
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valores Permitidos Lista (Delimitador: 0xF000)

Mapeamento de política de grupo:

Nome Valor
Nome Modificar um rótulo de objeto
Caminho Definições > de Segurança do Windows Definições Políticas > Locais Atribuição de Direitos > de Utilizador

ProfileSingleProcess

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 10, versão 1803 [10.0.17134] e posterior
./Device/Vendor/MSFT/Policy/Config/UserRights/ProfileSingleProcess

Este direito de utilizador determina que utilizadores podem utilizar ferramentas de monitorização de desempenho para monitorizar o desempenho dos processos do sistema.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato chr (cadeia)
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valores Permitidos Lista (Delimitador: 0xF000)

Mapeamento de política de grupo:

Nome Valor
Nome Traçar um perfil de um único processo
Caminho Definições > de Segurança do Windows Definições Políticas > Locais Atribuição de Direitos > de Utilizador

ProfileSystemPerformance

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 11, versão 24H2 [10.0.26100] e posterior
./Device/Vendor/MSFT/Policy/Config/UserRights/ProfileSystemPerformance

Esta definição de segurança determina que utilizadores podem utilizar ferramentas de monitorização de desempenho para monitorizar o desempenho dos processos do sistema.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato chr (cadeia)
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valores Permitidos Lista (Delimitador: 0xF000)

Mapeamento de política de grupo:

Nome Valor
Nome Traçar um perfil do desempenho do sistema
Caminho Definições > de Segurança do Windows Definições Políticas > Locais Atribuição de Direitos > de Utilizador

RemoteShutdown

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 10, versão 1803 [10.0.17134] e posterior
./Device/Vendor/MSFT/Policy/Config/UserRights/RemoteShutdown

Este direito de utilizador determina que utilizadores têm permissão para encerrar um computador a partir de uma localização remota na rede. A utilização indevida deste direito de utilizador pode resultar numa negação de serviço.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato chr (cadeia)
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valores Permitidos Lista (Delimitador: 0xF000)

Mapeamento de política de grupo:

Nome Valor
Nome Forçar o desligamento a partir de um sistema remoto
Caminho Definições > de Segurança do Windows Definições Políticas > Locais Atribuição de Direitos > de Utilizador

ReplaceProcessLevelToken

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 11, versão 24H2 [10.0.26100] e posterior
./Device/Vendor/MSFT/Policy/Config/UserRights/ReplaceProcessLevelToken

Esta definição de segurança determina que contas de utilizador podem chamar a interface de programação de aplicações (API) CreateProcessAsUser() para que um serviço possa iniciar outro. Um exemplo de um processo que utiliza este direito de utilizador é o Programador de Tarefas. Para obter informações sobre o Programador de Tarefas, veja Descrição geral do Programador de Tarefas.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato chr (cadeia)
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valores Permitidos Lista (Delimitador: 0xF000)

Mapeamento de política de grupo:

Nome Valor
Nome Substituir um token de nível de processo
Caminho Definições > de Segurança do Windows Definições Políticas > Locais Atribuição de Direitos > de Utilizador

RestoreFilesAndDirectories

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 10, versão 1803 [10.0.17134] e posterior
./Device/Vendor/MSFT/Policy/Config/UserRights/RestoreFilesAndDirectories

Este direito de utilizador determina que utilizadores podem ignorar as permissões de ficheiros, diretórios, registos e outros objetos persistentes ao restaurar ficheiros e diretórios em cópia de segurança e determina quais os utilizadores que podem definir qualquer principal de segurança válido como proprietário de um objeto. Especificamente, este direito de utilizador é semelhante a conceder as seguintes permissões ao utilizador ou grupo em questão em todos os ficheiros e pastas no sistema:Atravessar Pasta/Executar Ficheiro, Escrever.

Cuidado

Atribuir este direito de utilizador pode ser um risco de segurança. Uma vez que os utilizadores com este direito de utilizador podem substituir as definições de registo, ocultar dados e obter a propriedade dos objetos do sistema, atribua apenas este direito de utilizador a utilizadores fidedignos.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato chr (cadeia)
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valores Permitidos Lista (Delimitador: 0xF000)

Mapeamento de política de grupo:

Nome Valor
Nome Restaurar arquivos e diretórios
Caminho Definições > de Segurança do Windows Definições Políticas > Locais Atribuição de Direitos > de Utilizador

ShutDownTheSystem

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 11, versão 24H2 [10.0.26100] e posterior
./Device/Vendor/MSFT/Policy/Config/UserRights/ShutDownTheSystem

Esta definição de segurança determina que utilizadores com sessão iniciada localmente no computador podem encerrar o sistema operativo com o comando Encerrar. A utilização indevida deste direito de utilizador pode resultar numa negação de serviço.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato chr (cadeia)
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valores Permitidos Lista (Delimitador: 0xF000)

Mapeamento de política de grupo:

Nome Valor
Nome Desligar o sistema
Caminho Definições > de Segurança do Windows Definições Políticas > Locais Atribuição de Direitos > de Utilizador

TakeOwnership

Escopo Edições Sistema operacional aplicável
Dispositivo ✅
Usuário ❌
Pro ✅
Corporativo ✅
Educação ✅
Windows SE ✅
Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅
✅Windows 10, versão 1803 [10.0.17134] e posterior
./Device/Vendor/MSFT/Policy/Config/UserRights/TakeOwnership

Este direito de utilizador determina que utilizadores podem assumir a propriedade de qualquer objeto com capacidade de segurança no sistema, incluindo objetos, ficheiros e pastas do Active Directory, impressoras, chaves de registo, processos e threads.

Cuidado

Atribuir este direito de utilizador pode ser um risco de segurança. Uma vez que os proprietários de objetos têm controlo total sobre os mesmos, atribua apenas este direito de utilizador a utilizadores fidedignos.

Propriedades da estrutura de descrição:

Nome da propriedade Valor de propriedade
Formato chr (cadeia)
Tipo de acesso Adicionar, Excluir, Obter, Substituir
Valores Permitidos Lista (Delimitador: 0xF000)

Mapeamento de política de grupo:

Nome Valor
Nome Apropriar-se de arquivos ou de outros objetos
Caminho Definições > de Segurança do Windows Definições Políticas > Locais Atribuição de Direitos > de Utilizador

Provedor de serviço da configuração de política