CSP de Política - UserRights
Os direitos de utilizador são atribuídos a contas ou grupos de utilizadores. O nome da política define o direito de utilizador em questão e os valores são sempre utilizadores ou grupos. Os valores podem ser representados como Identificadores de Segurança (SID) ou cadeias. Para obter mais informações, veja Estruturas de SID bem conhecidas.
Apesar de as cadeias de carateres serem suportadas para contas e grupos conhecidos, é melhor utilizar SIDs, uma vez que as cadeias de carateres são localizadas para idiomas diferentes. Alguns direitos de utilizador permitem coisas como AccessFromNetwork, enquanto outros não permitem coisas, como DenyAccessFromNetwork.
Exemplo geral
Eis um exemplo para definir o utilizador correto BackupFilesAndDirectories para administradores e grupos de Utilizadores Autenticados.
<SyncML xmlns="SYNCML:SYNCML1.2">
<SyncBody>
<Replace>
<CmdID>2</CmdID>
<Item>
<Meta>
<Format>chr</Format>
<Type>text/plain</Type>
</Meta>
<Target>
<LocURI>./Device/Vendor/MSFT/Policy/Config/UserRights/BackupFilesAndDirectories</LocURI>
</Target>
<Data>Authenticated UsersAdministrators</Data>
</Item>
</Replace>
<Final/>
</SyncBody>
</SyncML>
Eis exemplos de campos de dados. O codificado 0xF000 é o delimitador/separador padrão.
Conceder um direito de utilizador ao grupo Administradores através de SID:
<Data>*S-1-5-32-544</Data>Conceda um direito de utilizador a vários grupos (Administradores, Utilizadores Autenticados) através de SID:
<Data>*S-1-5-32-544*S-1-5-11</Data>Conceda um direito de utilizador a vários grupos (Administradores, Utilizadores Autenticados) através de uma combinação de SID e Cadeias:
<Data>*S-1-5-32-544Authenticated Users</Data>Conceda um direito de utilizador a vários grupos (Utilizadores Autenticados, Administradores) através de cadeias de carateres:
<Data>Authenticated UsersAdministrators</Data>A entrada vazia indica que não existem utilizadores configurados para ter esse direito de utilizador:
<Data></Data>
Se utilizar Intune perfis personalizados para atribuir políticas UserRights, tem de utilizar a etiqueta CDATA (<![CDATA[...]]>) para encapsular os campos de dados. Pode especificar um ou mais grupos de utilizadores na etiqueta CDATA ao utilizar 0xF000 como delimitador/separador.
Observação
 é a codificação de entidade de 0xF000.
Por exemplo, a seguinte sintaxe concede direitos de utilizador a Utilizadores Autenticados e grupos de utilizadores do Replicator:
<![CDATA[Authenticated UsersReplicator]]>
Por exemplo, a seguinte sintaxe concede direitos de utilizador a dois utilizadores Microsoft Entra específicos da Contoso, utilizador1 e utilizador2:
<![CDATA[AzureAD\user1@contoso.comAzureAD\user2@contoso.com]]>
Por exemplo, a seguinte sintaxe concede direitos de utilizador a um utilizador ou grupo específico, utilizando o SID da conta ou grupo:
<![CDATA[*S-1-12-1-430441778-1204322964-3914475434-3271576427*S-1-12-1-2699785510-1240757380-4153857927-656075536]]>
AccessCredentialManagerAsTrustedCaller
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134] e posterior |
./Device/Vendor/MSFT/Policy/Config/UserRights/AccessCredentialManagerAsTrustedCaller
Este direito de utilizador é utilizado pelo Gestor de Credenciais durante a Cópia de Segurança/Restauro. Nenhuma conta deve ter este privilégio, uma vez que só está atribuída ao Winlogon. As credenciais guardadas dos utilizadores poderão ficar comprometidas se este privilégio for concedido a outras entidades.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato |
chr (cadeia) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valores Permitidos | Lista (Delimitador: 0xF000) |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Aceder ao Gestor de Credenciais como um chamador fidedigno |
| Caminho | Definições > de Segurança do Windows Definições Políticas > Locais Atribuição de Direitos > de Utilizador |
AccessFromNetwork
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134] e posterior |
./Device/Vendor/MSFT/Policy/Config/UserRights/AccessFromNetwork
Este direito de utilizador determina que utilizadores e grupos podem ligar-se ao computador através da rede. Os Serviços de Ambiente de Trabalho Remoto não são afetados por este direito de utilizador.
Observação
Os Serviços de Ambiente de Trabalho Remoto eram denominados Serviços de Terminal em versões anteriores do Windows Server.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato |
chr (cadeia) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valores Permitidos | Lista (Delimitador: 0xF000) |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Acesso a este computador da rede |
| Caminho | Definições > de Segurança do Windows Definições Políticas > Locais Atribuição de Direitos > de Utilizador |
ActAsPartOfTheOperatingSystem
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134] e posterior |
./Device/Vendor/MSFT/Policy/Config/UserRights/ActAsPartOfTheOperatingSystem
Este direito de utilizador permite que um processo represente qualquer utilizador sem autenticação. Por conseguinte, o processo pode obter acesso aos mesmos recursos locais que esse utilizador. Os processos que requerem este privilégio devem utilizar a conta LocalSystem, que já inclui este privilégio, em vez de utilizar uma conta de utilizador separada com este privilégio especialmente atribuído.
Cuidado
Atribuir este direito de utilizador pode ser um risco de segurança. Atribua apenas este direito de utilizador a utilizadores fidedignos.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato |
chr (cadeia) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valores Permitidos | Lista (Delimitador: 0xF000) |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Agir como parte do sistema operacional |
| Caminho | Definições > de Segurança do Windows Definições Políticas > Locais Atribuição de Direitos > de Utilizador |
AdjustMemoryQuotasForProcess
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 11, versão 24H2 [10.0.26100] e posterior |
./Device/Vendor/MSFT/Policy/Config/UserRights/AdjustMemoryQuotasForProcess
Ajustar as quotas de memória de um processo – este privilégio determina quem pode alterar a memória máxima que pode ser consumida por um processo. Este privilégio é útil para otimização do sistema numa base de grupo ou utilizador.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato |
chr (cadeia) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valores Permitidos | Lista (Delimitador: 0xF000) |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Ajustar quotas de memória para um processo |
| Caminho | Definições > de Segurança do Windows Definições Políticas > Locais Atribuição de Direitos > de Utilizador |
AllowLocalLogOn
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134] e posterior |
./Device/Vendor/MSFT/Policy/Config/UserRights/AllowLocalLogOn
Este direito de utilizador determina que utilizadores podem iniciar sessão no computador.
Observação
Modificar esta definição pode afetar a compatibilidade com clientes, serviços e aplicações. Para obter informações de compatibilidade sobre esta definição, consulte Permitir início de sessão localmente (https://go.microsoft.com/fwlink/?LinkId=24268 ) no site da Microsoft.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato |
chr (cadeia) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valores Permitidos | Lista (Delimitador: 0xF000) |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Permitir logon localmente |
| Caminho | Definições > de Segurança do Windows Definições Políticas > Locais Atribuição de Direitos > de Utilizador |
AllowLogOnThroughRemoteDesktop
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 11, versão 24H2 [10.0.26100] e posterior |
./Device/Vendor/MSFT/Policy/Config/UserRights/AllowLogOnThroughRemoteDesktop
Permitir o início de sessão através dos Serviços de Ambiente de Trabalho Remoto – esta definição de política determina que utilizadores ou grupos podem aceder ao ecrã de início de sessão de um dispositivo remoto através de uma ligação dos Serviços de Ambiente de Trabalho Remoto.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato |
chr (cadeia) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valores Permitidos | Lista (Delimitador: 0xF000) |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Permitir logon por meio dos Serviços de Área de Trabalho Remota |
| Caminho | Definições > de Segurança do Windows Definições Políticas > Locais Atribuição de Direitos > de Utilizador |
BackupFilesAndDirectories
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134] e posterior |
./Device/Vendor/MSFT/Policy/Config/UserRights/BackupFilesAndDirectories
Este direito de utilizador determina quais os utilizadores que podem ignorar as permissões de ficheiros, diretórios, registos e outros objetos persistentes ao criar cópias de segurança de ficheiros e diretórios. Especificamente, este direito de utilizador é semelhante a conceder as seguintes permissões ao utilizador ou grupo em questão em todos os ficheiros e pastas no sistema:Atravessar Pasta/Executar Ficheiro, Ler.
Cuidado
Atribuir este direito de utilizador pode ser um risco de segurança. Uma vez que os utilizadores com este direito de utilizador podem ler quaisquer ficheiros e definições de registo, atribua apenas este direito de utilizador a utilizadores fidedignos.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato |
chr (cadeia) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valores Permitidos | Lista (Delimitador: 0xF000) |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Fazer backup de arquivos e pastas |
| Caminho | Definições > de Segurança do Windows Definições Políticas > Locais Atribuição de Direitos > de Utilizador |
BypassTraverseChecking
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 11, versão 24H2 [10.0.26100] e posterior |
./Device/Vendor/MSFT/Policy/Config/UserRights/BypassTraverseChecking
Este direito de utilizador determina que utilizadores podem atravessar árvores de diretório, embora o utilizador possa não ter permissões no diretório percorrido. Este privilégio não permite que o utilizador liste os conteúdos de um diretório, apenas para percorrer diretórios.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato |
chr (cadeia) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valores Permitidos | Lista (Delimitador: 0xF000) |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Ignorar a verificação completa |
| Caminho | Definições > de Segurança do Windows Definições Políticas > Locais Atribuição de Direitos > de Utilizador |
ChangeSystemTime
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134] e posterior |
./Device/Vendor/MSFT/Policy/Config/UserRights/ChangeSystemTime
Este direito de utilizador determina que utilizadores e grupos podem alterar a hora e a data no relógio interno do computador. Os utilizadores a que foi atribuído este direito de utilizador podem afetar o aspeto dos registos de eventos. Se a hora do sistema for alterada, os eventos registados refletirão esta nova hora e não a hora real em que os eventos ocorreram.
Cuidado
Quando configura direitos de utilizador, este substitui os utilizadores ou grupos existentes que foram anteriormente atribuídos a esses direitos de utilizador. O sistema requer que a conta de Serviço Local (SID S-1-5-19) tenha sempre o direito ChangeSystemTime. Especifique sempre o Serviço Local, para além de quaisquer outras contas que tenha de configurar nesta política.
Se não incluir a conta do Serviço Local , o pedido falha com o seguinte erro:
| Código de erro | Nome simbólico | Descrição do erro | Cabeçalho |
|---|---|---|---|
0x80070032 (Hex) |
ERROR_NOT_SUPPORTED | O pedido não é suportado. | winerror.h |
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato |
chr (cadeia) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valores Permitidos | Lista (Delimitador: 0xF000) |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Alterar a hora do sistema |
| Caminho | Definições > de Segurança do Windows Definições Políticas > Locais Atribuição de Direitos > de Utilizador |
ChangeTimeZone
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 11, versão 24H2 [10.0.26100] e posterior |
./Device/Vendor/MSFT/Policy/Config/UserRights/ChangeTimeZone
Este direito de utilizador determina que utilizadores e grupos podem alterar o fuso horário utilizado pelo computador para apresentar a hora local, que é a hora do sistema do computador mais o desvio do fuso horário. A hora do sistema em si é absoluta e não é afetada por uma alteração no fuso horário.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato |
chr (cadeia) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valores Permitidos | Lista (Delimitador: 0xF000) |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Alterar o fuso horário |
| Caminho | Definições > de Segurança do Windows Definições Políticas > Locais Atribuição de Direitos > de Utilizador |
CreateGlobalObjects
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134] e posterior |
./Device/Vendor/MSFT/Policy/Config/UserRights/CreateGlobalObjects
Esta definição de segurança determina se os utilizadores podem criar objetos globais que estão disponíveis para todas as sessões. Os utilizadores ainda podem criar objetos específicos da sua própria sessão se não tiverem este direito de utilizador. Os utilizadores que podem criar objetos globais podem afetar os processos que são executados nas sessões de outros utilizadores, o que pode levar a falhas de aplicações ou danos em dados.
Cuidado
Atribuir este direito de utilizador pode ser um risco de segurança. Atribua este direito de utilizador apenas a utilizadores fidedignos.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato |
chr (cadeia) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valores Permitidos | Lista (Delimitador: 0xF000) |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Create global objects |
| Caminho | Definições > de Segurança do Windows Definições Políticas > Locais Atribuição de Direitos > de Utilizador |
CreatePageFile
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134] e posterior |
./Device/Vendor/MSFT/Policy/Config/UserRights/CreatePageFile
Este direito de utilizador determina que utilizadores e grupos podem chamar uma interface de programação de aplicações (API) interna para criar e alterar o tamanho de um ficheiro de página. Este direito de utilizador é utilizado internamente pelo sistema operativo e, normalmente, não precisa de ser atribuído a nenhum utilizador.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato |
chr (cadeia) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valores Permitidos | Lista (Delimitador: 0xF000) |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Criar um arquivo de página |
| Caminho | Definições > de Segurança do Windows Definições Políticas > Locais Atribuição de Direitos > de Utilizador |
CreatePermanentSharedObjects
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134] e posterior |
./Device/Vendor/MSFT/Policy/Config/UserRights/CreatePermanentSharedObjects
Este direito de utilizador determina que contas podem ser utilizadas por processos para criar um objeto de diretório com o gestor de objetos. Este direito de utilizador é utilizado internamente pelo sistema operativo e é útil para componentes de modo kernel que expandem o espaço de nomes de objetos. Uma vez que os componentes em execução no modo kernel já têm este direito de utilizador atribuído, não é necessário atribuí-lo especificamente.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato |
chr (cadeia) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valores Permitidos | Lista (Delimitador: 0xF000) |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Criar objetos compartilhados permanentemente |
| Caminho | Definições > de Segurança do Windows Definições Políticas > Locais Atribuição de Direitos > de Utilizador |
CreateSymbolicLinks
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134] e posterior |
./Device/Vendor/MSFT/Policy/Config/UserRights/CreateSymbolicLinks
Este direito de utilizador determina se o utilizador pode criar uma ligação simbólica a partir do computador no qual tem sessão iniciada.
Cuidado
Este privilégio só deve ser atribuído a utilizadores fidedignos. As ligações simbólicas podem expor vulnerabilidades de segurança em aplicações que não foram concebidas para lidar com as mesmas.
Observação
Esta definição pode ser utilizada em conjunto com uma definição de sistema de ficheiros de symlink que pode ser manipulada com o utilitário da linha de comandos para controlar os tipos de symlinks permitidos no computador. Escreva "fsutil behavior set symlinkevaluation /?". na linha de comandos para obter mais informações sobre ligações simbólicas e fsutil.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato |
chr (cadeia) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valores Permitidos | Lista (Delimitador: 0xF000) |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Criar vínculos simbólicos |
| Caminho | Definições > de Segurança do Windows Definições Políticas > Locais Atribuição de Direitos > de Utilizador |
CreateToken
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134] e posterior |
./Device/Vendor/MSFT/Policy/Config/UserRights/CreateToken
Este direito de utilizador determina que contas podem ser utilizadas por processos para criar um token que pode ser utilizado para obter acesso a quaisquer recursos locais quando o processo utiliza uma interface de programação de aplicações interna (API) para criar um token de acesso. Este direito de utilizador é utilizado internamente pelo sistema operativo. A menos que seja necessário, não atribua este direito de utilizador a um utilizador, grupo ou processo que não seja o Sistema Local.
Cuidado
Atribuir este direito de utilizador pode ser um risco de segurança. Não atribua este direito de utilizador a nenhum utilizador, grupo ou processo que não queira assumir.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato |
chr (cadeia) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valores Permitidos | Lista (Delimitador: 0xF000) |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Criar um objeto token |
| Caminho | Definições > de Segurança do Windows Definições Políticas > Locais Atribuição de Direitos > de Utilizador |
DebugPrograms
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134] e posterior |
./Device/Vendor/MSFT/Policy/Config/UserRights/DebugPrograms
Este direito de utilizador determina que utilizadores podem anexar um depurador a qualquer processo ou ao kernel. Os programadores que estão a depurar as suas próprias aplicações não precisam de ter este direito de utilizador atribuído. Os programadores que estão a depurar novos componentes do sistema precisarão deste direito de utilizador para o poder fazer. Este direito de utilizador fornece acesso total a componentes confidenciais e críticos do sistema operativo.
Cuidado
Atribuir este direito de utilizador pode ser um risco de segurança. Atribua apenas este direito de utilizador a utilizadores fidedignos.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato |
chr (cadeia) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valores Permitidos | Lista (Delimitador: 0xF000) |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Depurar programas |
| Caminho | Definições > de Segurança do Windows Definições Políticas > Locais Atribuição de Direitos > de Utilizador |
DenyAccessFromNetwork
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134] e posterior |
./Device/Vendor/MSFT/Policy/Config/UserRights/DenyAccessFromNetwork
Este direito de utilizador determina que utilizadores estão impedidos de aceder a um computador através da rede. Esta definição de política substitui a definição Aceder a este computador a partir da política de rede se uma conta de utilizador estiver sujeita a ambas as políticas.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato |
chr (cadeia) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valores Permitidos | Lista (Delimitador: 0xF000) |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Negar o acesso a este computador a partir da rede |
| Caminho | Definições > de Segurança do Windows Definições Políticas > Locais Atribuição de Direitos > de Utilizador |
DenyLocalLogOn
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134] e posterior |
./Device/Vendor/MSFT/Policy/Config/UserRights/DenyLocalLogOn
Esta definição de segurança determina que contas de serviço estão impedidas de registar um processo como um serviço.
Observação
Esta definição de segurança não se aplica às contas de Sistema, Serviço Local ou Serviço de Rede.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato |
chr (cadeia) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valores Permitidos | Lista (Delimitador: 0xF000) |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Negar o logon como um serviço |
| Caminho | Definições > de Segurança do Windows Definições Políticas > Locais Atribuição de Direitos > de Utilizador |
DenyLogOnAsBatchJob
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 11, versão 24H2 [10.0.26100] e posterior |
./Device/Vendor/MSFT/Policy/Config/UserRights/DenyLogOnAsBatchJob
Esta definição de segurança determina que contas estão impedidas de iniciar sessão como uma tarefa de lote. Esta definição de política substitui a definição de política Iniciar sessão como uma tarefa de lote se uma conta de utilizador estiver sujeita a ambas as políticas.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato |
chr (cadeia) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valores Permitidos | Lista (Delimitador: 0xF000) |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Negar o logon como um trabalho em lotes |
| Caminho | Definições > de Segurança do Windows Definições Políticas > Locais Atribuição de Direitos > de Utilizador |
DenyLogOnAsService
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 11, versão 24H2 [10.0.26100] e posterior |
./Device/Vendor/MSFT/Policy/Config/UserRights/DenyLogOnAsService
Negar o início de sessão como um serviço – esta definição de segurança determina que contas de serviço estão impedidas de registar um processo como um serviço. Esta definição de política substitui a definição iniciar sessão como uma política de serviço se uma conta estiver sujeita a ambas as políticas.
Observação
Esta definição de segurança não se aplica às contas de Sistema, Serviço Local ou Serviço de Rede. Predefinição: Nenhum.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato |
chr (cadeia) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valores Permitidos | Lista (Delimitador: 0xF000) |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Negar o logon como um serviço |
| Caminho | Definições > de Segurança do Windows Definições Políticas > Locais Atribuição de Direitos > de Utilizador |
DenyRemoteDesktopServicesLogOn
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134] e posterior |
./Device/Vendor/MSFT/Policy/Config/UserRights/DenyRemoteDesktopServicesLogOn
Este direito de utilizador determina que utilizadores e grupos estão proibidos de iniciar sessão como um cliente dos Serviços de Ambiente de Trabalho Remoto.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato |
chr (cadeia) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valores Permitidos | Lista (Delimitador: 0xF000) |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Negar o logon por meio dos Serviços de Área de Trabalho Remota |
| Caminho | Definições > de Segurança do Windows Definições Políticas > Locais Atribuição de Direitos > de Utilizador |
EnableDelegation
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134] e posterior |
./Device/Vendor/MSFT/Policy/Config/UserRights/EnableDelegation
Este direito de utilizador determina que utilizadores podem definir a definição Fidedigno para Delegação num objeto de utilizador ou computador. O utilizador ou objeto que concede este privilégio tem de ter acesso de escrita aos sinalizadores de controlo de conta no objeto de utilizador ou computador. Um processo de servidor em execução num computador (ou num contexto de utilizador) fidedigno para delegação pode aceder a recursos noutro computador com credenciais delegadas de um cliente, desde que a conta de cliente não tenha o sinalizador de controlo de conta delegado definido.
Cuidado
A utilização indevida deste direito de utilizador, ou da definição Fidedigna para Delegação, pode tornar a rede vulnerável a ataques sofisticados através de programas trojan que representam clientes recebidos e utilizam as respetivas credenciais para obter acesso aos recursos de rede.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato |
chr (cadeia) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valores Permitidos | Lista (Delimitador: 0xF000) |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Permitir que contas de computador e usuário sejam confiáveis para delegação |
| Caminho | Definições > de Segurança do Windows Definições Políticas > Locais Atribuição de Direitos > de Utilizador |
GenerateSecurityAudits
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134] e posterior |
./Device/Vendor/MSFT/Policy/Config/UserRights/GenerateSecurityAudits
Este direito de utilizador determina que contas podem ser utilizadas por um processo para adicionar entradas ao registo de segurança. O registo de segurança é utilizado para rastrear o acesso não autorizado ao sistema. A utilização indevida deste direito de utilizador pode resultar na geração de muitos eventos de auditoria, potencialmente ocultando provas de um ataque ou causando uma negação de serviço. Encerre o sistema imediatamente se não for possível registar a definição de política de segurança de auditorias de segurança.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato |
chr (cadeia) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valores Permitidos | Lista (Delimitador: 0xF000) |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Gerar auditorias de segurança |
| Caminho | Definições > de Segurança do Windows Definições Políticas > Locais Atribuição de Direitos > de Utilizador |
ImpersonateClient
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134] e posterior |
./Device/Vendor/MSFT/Policy/Config/UserRights/ImpersonateClient
Atribuir este direito de utilizador a um utilizador permite que os programas em execução em nome desse utilizador representem um cliente. Exigir este direito de utilizador para este tipo de representação impede um utilizador não autorizado de convencer um cliente a ligar (por exemplo, por chamada de procedimento remoto (RPC) ou pipes nomeados) a um serviço que criou e, em seguida, representar esse cliente, o que pode elevar as permissões do utilizador não autorizado para níveis administrativos ou de sistema.
Cuidado
Atribuir este direito de utilizador pode ser um risco de segurança. Atribua apenas este direito de utilizador a utilizadores fidedignos.
Observação
Por predefinição, os serviços iniciados pelo Service Control Manager têm o grupo de Serviços incorporado adicionado aos respetivos tokens de acesso. Os servidores do Modelo de Objeto de Componente (COM) iniciados pela infraestrutura COM e que estão configurados para serem executados numa conta específica também têm o Grupo de serviços adicionado aos respetivos tokens de acesso. Como resultado, estes serviços acertam este utilizador quando são iniciados. Além disso, um utilizador também pode representar um token de acesso se existir alguma das seguintes condições. 1) O token de acesso que está a ser representado é para este utilizador. 2) O utilizador, nesta sessão de início de sessão, criou o token de acesso ao iniciar sessão na rede com credenciais explícitas. 3) O nível pedido é menor do que Representar, como Anónimo ou Identificar. Devido a estes fatores, os utilizadores normalmente não precisam deste direito de utilizador.
Aviso
Se ativar esta definição, os programas que tinham o privilégio Representar podem perdê-la e não podem ser executados.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato |
chr (cadeia) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valores Permitidos | Lista (Delimitador: 0xF000) |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Representar um cliente após a autenticação |
| Caminho | Definições > de Segurança do Windows Definições Políticas > Locais Atribuição de Direitos > de Utilizador |
IncreaseProcessWorkingSet
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 11, versão 24H2 [10.0.26100] e posterior |
./Device/Vendor/MSFT/Policy/Config/UserRights/IncreaseProcessWorkingSet
Aumente um conjunto de trabalho do processo. Este privilégio determina que contas de utilizador podem aumentar ou diminuir o tamanho do conjunto de trabalho de um processo. O conjunto de trabalho de um processo é o conjunto de páginas de memória atualmente visíveis para o processo na memória física da RAM. Estas páginas são residentes e estão disponíveis para uma aplicação utilizar sem acionar uma falha de página. Os tamanhos mínimos e máximos do conjunto de trabalho afetam o comportamento de paginação de memória virtual de um processo.
Aviso
Aumentar o tamanho do conjunto de trabalho de um processo diminui a quantidade de memória física disponível para o resto do sistema.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato |
chr (cadeia) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valores Permitidos | Lista (Delimitador: 0xF000) |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Aumentar um conjunto de trabalho de processo |
| Caminho | Definições > de Segurança do Windows Definições Políticas > Locais Atribuição de Direitos > de Utilizador |
IncreaseSchedulingPriority
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134] e posterior |
./Device/Vendor/MSFT/Policy/Config/UserRights/IncreaseSchedulingPriority
Este direito de utilizador determina que contas podem utilizar um processo com acesso de Propriedade de Escrita a outro processo para aumentar a prioridade de execução atribuída ao outro processo. Um utilizador com este privilégio pode alterar a prioridade de agendamento de um processo através da interface de utilizador do Gestor de Tarefas.
Aviso
Se remover o Gestor de Janelas\Grupo gestor de janelas do direito de utilizador Aumentar prioridade de agendamento , determinadas aplicações e computadores não funcionarão corretamente. Em particular, a área de trabalho INK não funciona corretamente em computadores portáteis e computadores de secretária de arquitetura de memória unificada (UMA) que executam Windows 10, versão 1903 ou posterior e que utilizam o controlador Intel GFX.
Nos computadores afetados, o ecrã pisca quando os utilizadores desenham em áreas de trabalho de TINTA DIGITAL, como as utilizadas pelo Microsoft Edge, Microsoft PowerPoint ou Microsoft OneNote. O piscar ocorre porque os processos relacionados com a utilização de tinta digital tentam repetidamente utilizar a prioridade Real-Time, mas são negadas permissões.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato |
chr (cadeia) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valores Permitidos | Lista (Delimitador: 0xF000) |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Aumentar prioridade de agendamento |
| Caminho | Definições > de Segurança do Windows Definições Políticas > Locais Atribuição de Direitos > de Utilizador |
LoadUnloadDeviceDrivers
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134] e posterior |
./Device/Vendor/MSFT/Policy/Config/UserRights/LoadUnloadDeviceDrivers
Este direito de utilizador determina que utilizadores podem carregar e descarregar dinamicamente controladores de dispositivo ou outro código no modo kernel. Este direito de utilizador não se aplica a controladores de dispositivo Plug and Play. Recomenda-se que não atribua este privilégio a outros utilizadores.
Cuidado
Atribuir este direito de utilizador pode ser um risco de segurança. Não atribua este direito de utilizador a nenhum utilizador, grupo ou processo que não queira assumir.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato |
chr (cadeia) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valores Permitidos | Lista (Delimitador: 0xF000) |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Carregar e descarregar drivers de dispositivo |
| Caminho | Definições > de Segurança do Windows Definições Políticas > Locais Atribuição de Direitos > de Utilizador |
LockMemory
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134] e posterior |
./Device/Vendor/MSFT/Policy/Config/UserRights/LockMemory
Este direito de utilizador determina que contas podem utilizar um processo para manter os dados na memória física, o que impede o sistema de paginar os dados para a memória virtual no disco. O exercício deste privilégio pode afetar significativamente o desempenho do sistema ao diminuir a quantidade de memória de acesso aleatório (RAM) disponível.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato |
chr (cadeia) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valores Permitidos | Lista (Delimitador: 0xF000) |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Bloquear páginas na memória |
| Caminho | Definições > de Segurança do Windows Definições Políticas > Locais Atribuição de Direitos > de Utilizador |
LogOnAsBatchJob
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 11, versão 24H2 [10.0.26100] e posterior |
./Device/Vendor/MSFT/Policy/Config/UserRights/LogOnAsBatchJob
Esta definição de segurança permite que um utilizador tenha sessão iniciada através de uma instalação de fila de lotes e é fornecida apenas para compatibilidade com versões mais antigas do Windows. Por exemplo, quando um utilizador submete uma tarefa através do agendador de tarefas, o agendador de tarefas regista esse utilizador como um utilizador em lote e não como um utilizador interativo.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato |
chr (cadeia) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valores Permitidos | Lista (Delimitador: 0xF000) |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Fazer logon como um trabalho em lotes |
| Caminho | Definições > de Segurança do Windows Definições Políticas > Locais Atribuição de Direitos > de Utilizador |
LogOnAsService
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 11, versão 24H2 [10.0.26100] e posterior |
./Device/Vendor/MSFT/Policy/Config/UserRights/LogOnAsService
Esta definição de segurança permite que um principal de segurança inicie sessão como um serviço. Os serviços podem ser configurados para serem executados nas contas Sistema Local, Serviço Local ou Serviço de Rede, que têm o direito incorporado de iniciar sessão como um serviço. Qualquer serviço que seja executado numa conta de utilizador separada tem de ter o direito atribuído.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato |
chr (cadeia) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valores Permitidos | Lista (Delimitador: 0xF000) |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Fazer logon como um serviço |
| Caminho | Definições > de Segurança do Windows Definições Políticas > Locais Atribuição de Direitos > de Utilizador |
ManageAuditingAndSecurityLog
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134] e posterior |
./Device/Vendor/MSFT/Policy/Config/UserRights/ManageAuditingAndSecurityLog
Este direito de utilizador determina que utilizadores podem especificar opções de auditoria de acesso a objetos para recursos individuais, tais como ficheiros, objetos do Active Directory e chaves de registo. Esta definição de segurança não permite que um utilizador ative a auditoria de acesso a ficheiros e objetos em geral. Pode ver eventos auditados no registo de segurança do Visualizador de Eventos. Um utilizador com este privilégio também pode ver e limpar o registo de segurança.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato |
chr (cadeia) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valores Permitidos | Lista (Delimitador: 0xF000) |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Gerenciar a auditoria e o log de segurança |
| Caminho | Definições > de Segurança do Windows Definições Políticas > Locais Atribuição de Direitos > de Utilizador |
ManageVolume
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134] e posterior |
./Device/Vendor/MSFT/Policy/Config/UserRights/ManageVolume
Este direito de utilizador determina que utilizadores e grupos podem executar tarefas de manutenção num volume, como a desfragmentação remota. Tenha cuidado ao atribuir este direito de utilizador. Os utilizadores com este direito de utilizador podem explorar discos e expandir ficheiros para a memória que contém outros dados. Quando os ficheiros expandidos são abertos, o utilizador poderá conseguir ler e modificar os dados adquiridos.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato |
chr (cadeia) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valores Permitidos | Lista (Delimitador: 0xF000) |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Executar tarefas de manutenção de volume |
| Caminho | Definições > de Segurança do Windows Definições Políticas > Locais Atribuição de Direitos > de Utilizador |
ModifyFirmwareEnvironment
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134] e posterior |
./Device/Vendor/MSFT/Policy/Config/UserRights/ModifyFirmwareEnvironment
Este direito de utilizador determina quem pode modificar os valores do ambiente de firmware. As variáveis de ambiente de firmware são definições armazenadas na RAM não complexa de computadores não baseados em x86. O efeito da definição depende do processador. Em computadores baseados em x86, o único valor de ambiente de firmware que pode ser modificado ao atribuir este direito de utilizador é a definição Última Configuração De Bom Conhecido, que só deve ser modificada pelo sistema. Em computadores baseados em Itanium, as informações de arranque são armazenadas numa RAM não complexa. Tem de ser atribuído direito a este utilizador para executar bootcfg.exe e para alterar a definição do Sistema Operativo Predefinido em Arranque e Recuperação nas Propriedades do Sistema. Em todos os computadores, este direito de utilizador é necessário para instalar ou atualizar o Windows.
Observação
Esta definição de segurança não afeta quem pode modificar as variáveis de ambiente do sistema e as variáveis de ambiente de utilizador que são apresentadas no separador Avançadas das Propriedades do Sistema.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato |
chr (cadeia) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valores Permitidos | Lista (Delimitador: 0xF000) |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Modificar valores de ambiente de firmware |
| Caminho | Definições > de Segurança do Windows Definições Políticas > Locais Atribuição de Direitos > de Utilizador |
ModifyObjectLabel
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134] e posterior |
./Device/Vendor/MSFT/Policy/Config/UserRights/ModifyObjectLabel
Este direito de utilizador determina que contas de utilizador podem modificar a etiqueta de integridade dos objetos, como ficheiros, chaves de registo ou processos pertencentes a outros utilizadores. Os processos em execução numa conta de utilizador podem modificar a etiqueta de um objeto pertencente a esse utilizador para um nível inferior sem este privilégio.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato |
chr (cadeia) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valores Permitidos | Lista (Delimitador: 0xF000) |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Modificar um rótulo de objeto |
| Caminho | Definições > de Segurança do Windows Definições Políticas > Locais Atribuição de Direitos > de Utilizador |
ProfileSingleProcess
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134] e posterior |
./Device/Vendor/MSFT/Policy/Config/UserRights/ProfileSingleProcess
Este direito de utilizador determina que utilizadores podem utilizar ferramentas de monitorização de desempenho para monitorizar o desempenho dos processos do sistema.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato |
chr (cadeia) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valores Permitidos | Lista (Delimitador: 0xF000) |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Traçar um perfil de um único processo |
| Caminho | Definições > de Segurança do Windows Definições Políticas > Locais Atribuição de Direitos > de Utilizador |
ProfileSystemPerformance
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 11, versão 24H2 [10.0.26100] e posterior |
./Device/Vendor/MSFT/Policy/Config/UserRights/ProfileSystemPerformance
Esta definição de segurança determina que utilizadores podem utilizar ferramentas de monitorização de desempenho para monitorizar o desempenho dos processos do sistema.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato |
chr (cadeia) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valores Permitidos | Lista (Delimitador: 0xF000) |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Traçar um perfil do desempenho do sistema |
| Caminho | Definições > de Segurança do Windows Definições Políticas > Locais Atribuição de Direitos > de Utilizador |
RemoteShutdown
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134] e posterior |
./Device/Vendor/MSFT/Policy/Config/UserRights/RemoteShutdown
Este direito de utilizador determina que utilizadores têm permissão para encerrar um computador a partir de uma localização remota na rede. A utilização indevida deste direito de utilizador pode resultar numa negação de serviço.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato |
chr (cadeia) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valores Permitidos | Lista (Delimitador: 0xF000) |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Forçar o desligamento a partir de um sistema remoto |
| Caminho | Definições > de Segurança do Windows Definições Políticas > Locais Atribuição de Direitos > de Utilizador |
ReplaceProcessLevelToken
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 11, versão 24H2 [10.0.26100] e posterior |
./Device/Vendor/MSFT/Policy/Config/UserRights/ReplaceProcessLevelToken
Esta definição de segurança determina que contas de utilizador podem chamar a interface de programação de aplicações (API) CreateProcessAsUser() para que um serviço possa iniciar outro. Um exemplo de um processo que utiliza este direito de utilizador é o Programador de Tarefas. Para obter informações sobre o Programador de Tarefas, veja Descrição geral do Programador de Tarefas.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato |
chr (cadeia) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valores Permitidos | Lista (Delimitador: 0xF000) |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Substituir um token de nível de processo |
| Caminho | Definições > de Segurança do Windows Definições Políticas > Locais Atribuição de Direitos > de Utilizador |
RestoreFilesAndDirectories
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134] e posterior |
./Device/Vendor/MSFT/Policy/Config/UserRights/RestoreFilesAndDirectories
Este direito de utilizador determina que utilizadores podem ignorar as permissões de ficheiros, diretórios, registos e outros objetos persistentes ao restaurar ficheiros e diretórios em cópia de segurança e determina quais os utilizadores que podem definir qualquer principal de segurança válido como proprietário de um objeto. Especificamente, este direito de utilizador é semelhante a conceder as seguintes permissões ao utilizador ou grupo em questão em todos os ficheiros e pastas no sistema:Atravessar Pasta/Executar Ficheiro, Escrever.
Cuidado
Atribuir este direito de utilizador pode ser um risco de segurança. Uma vez que os utilizadores com este direito de utilizador podem substituir as definições de registo, ocultar dados e obter a propriedade dos objetos do sistema, atribua apenas este direito de utilizador a utilizadores fidedignos.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato |
chr (cadeia) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valores Permitidos | Lista (Delimitador: 0xF000) |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Restaurar arquivos e diretórios |
| Caminho | Definições > de Segurança do Windows Definições Políticas > Locais Atribuição de Direitos > de Utilizador |
ShutDownTheSystem
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 11, versão 24H2 [10.0.26100] e posterior |
./Device/Vendor/MSFT/Policy/Config/UserRights/ShutDownTheSystem
Esta definição de segurança determina que utilizadores com sessão iniciada localmente no computador podem encerrar o sistema operativo com o comando Encerrar. A utilização indevida deste direito de utilizador pode resultar numa negação de serviço.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato |
chr (cadeia) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valores Permitidos | Lista (Delimitador: 0xF000) |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Desligar o sistema |
| Caminho | Definições > de Segurança do Windows Definições Políticas > Locais Atribuição de Direitos > de Utilizador |
TakeOwnership
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134] e posterior |
./Device/Vendor/MSFT/Policy/Config/UserRights/TakeOwnership
Este direito de utilizador determina que utilizadores podem assumir a propriedade de qualquer objeto com capacidade de segurança no sistema, incluindo objetos, ficheiros e pastas do Active Directory, impressoras, chaves de registo, processos e threads.
Cuidado
Atribuir este direito de utilizador pode ser um risco de segurança. Uma vez que os proprietários de objetos têm controlo total sobre os mesmos, atribua apenas este direito de utilizador a utilizadores fidedignos.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato |
chr (cadeia) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valores Permitidos | Lista (Delimitador: 0xF000) |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Apropriar-se de arquivos ou de outros objetos |
| Caminho | Definições > de Segurança do Windows Definições Políticas > Locais Atribuição de Direitos > de Utilizador |