Política CSP – UserRights
Importante
Esse CSP contém algumas configurações que estão em desenvolvimento e só se aplicam Windows Insider Preview builds. Essas configurações estão sujeitas a alterações e podem ter dependências de outros recursos ou serviços em versão prévia.
Os direitos do usuário são atribuídos a contas de usuário ou grupos. O nome da política define o direito do usuário em questão e os valores são sempre usuários ou grupos. Os valores podem ser representados como SID (Identificadores de Segurança) ou cadeias de caracteres. Para obter mais informações, consulte Estruturas sid bem conhecidas.
Embora haja suporte para cadeias de caracteres para contas e grupos conhecidos, é melhor usar SIDs, pois as cadeias de caracteres são localizadas para idiomas diferentes. Alguns direitos de usuário permitem coisas como AccessFromNetwork, enquanto outros não permitem coisas, como DenyAccessFromNetwork.
Exemplo geral
Aqui está um exemplo para definir o usuário direito BackupFilesAndDirectories for Administrators and Authenticated Users groups.
<SyncML xmlns="SYNCML:SYNCML1.2">
<SyncBody>
<Replace>
<CmdID>2</CmdID>
<Item>
<Meta>
<Format>chr</Format>
<Type>text/plain</Type>
</Meta>
<Target>
<LocURI>./Device/Vendor/MSFT/Policy/Config/UserRights/BackupFilesAndDirectories</LocURI>
</Target>
<Data>Authenticated UsersAdministrators</Data>
</Item>
</Replace>
<Final/>
</SyncBody>
</SyncML>
Aqui estão exemplos de campos de dados. O codificado 0xF000 é o delimitador/separador padrão.
Conceda um direito do usuário ao grupo Administradores por meio do SID:
<Data>*S-1-5-32-544</Data>Conceda um direito do usuário a vários grupos (Administradores, Usuários Autenticados) por meio do SID:
<Data>*S-1-5-32-544*S-1-5-11</Data>Conceda um direito do usuário a vários grupos (Administradores, Usuários Autenticados) por meio de uma mistura de SID e Cadeias de Caracteres:
<Data>*S-1-5-32-544Authenticated Users</Data>Conceda um direito do usuário a vários grupos (Usuários Autenticados, Administradores) por meio de cadeias de caracteres:
<Data>Authenticated UsersAdministrators</Data>A entrada vazia indica que não há usuários configurados para ter esse usuário correto:
<Data></Data>
Se você usar Intune perfis personalizados para atribuir políticas UserRights, use a marca CDATA (<![CDATA[...]]>) para envolver os campos de dados. Você pode especificar um ou mais grupos de usuários na marca CDATA usando 0xF000 como delimitador/separador.
Observação
 é a codificação de entidade de 0xF000.
Por exemplo, a sintaxe a seguir concede direitos de usuário a usuários autenticados e grupos de usuários replicadores:
<![CDATA[Authenticated UsersReplicator]]>
Por exemplo, a sintaxe a seguir concede direitos de usuário a dois usuários Microsoft Entra específicos da Contoso, user1 e user2:
<![CDATA[AzureAD\user1@contoso.comAzureAD\user2@contoso.com]]>
Por exemplo, a sintaxe a seguir concede direitos de usuário a um usuário ou grupo específico, usando o SID da conta ou grupo:
<![CDATA[*S-1-12-1-430441778-1204322964-3914475434-3271576427*S-1-12-1-2699785510-1240757380-4153857927-656075536]]>
AccessCredentialManagerAsTrustedCaller
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134] e posterior |
./Device/Vendor/MSFT/Policy/Config/UserRights/AccessCredentialManagerAsTrustedCaller
Esse direito de usuário é usado pelo Credential Manager durante o Backup/Restauração. Nenhuma conta deve ter esse privilégio, pois ela só é atribuída ao Winlogon. As credenciais salvas dos usuários poderão ser comprometidas se esse privilégio for dado a outras entidades.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | chr (cadeia de caracteres) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valores Permitidos | Lista (Delimitador: 0xF000) |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Acessar o Gerenciador de Credenciais como um chamador confiável |
| Caminho | Configurações do Windows Configurações >> de segurança Atribuição de direitos do usuário de políticas > locais |
AccessFromNetwork
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134] e posterior |
./Device/Vendor/MSFT/Policy/Config/UserRights/AccessFromNetwork
Esse direito do usuário determina quais usuários e grupos podem se conectar ao computador pela rede. Os Serviços de Área de Trabalho Remota não são afetados por esse direito de usuário.
Observação
Os Serviços de Área de Trabalho Remota eram chamados de Serviços de Terminal em versões anteriores do Windows Server.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | chr (cadeia de caracteres) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valores Permitidos | Lista (Delimitador: 0xF000) |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Acesso a este computador da rede |
| Caminho | Configurações do Windows Configurações >> de segurança Atribuição de direitos do usuário de políticas > locais |
ActAsPartOfTheOperatingSystem
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134] e posterior |
./Device/Vendor/MSFT/Policy/Config/UserRights/ActAsPartOfTheOperatingSystem
Esse direito de usuário permite que um processo represente qualquer usuário sem autenticação. Portanto, o processo pode obter acesso aos mesmos recursos locais que esse usuário. Os processos que exigem esse privilégio devem usar a conta LocalSystem, que já inclui esse privilégio, em vez de usar uma conta de usuário separada com esse privilégio especialmente atribuído.
Cuidado
Atribuir esse direito de usuário pode ser um risco de segurança. Atribua somente esse direito de usuário a usuários confiáveis.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | chr (cadeia de caracteres) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valores Permitidos | Lista (Delimitador: 0xF000) |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Agir como parte do sistema operacional |
| Caminho | Configurações do Windows Configurações >> de segurança Atribuição de direitos do usuário de políticas > locais |
AdjustMemoryQuotasForProcess
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/UserRights/AdjustMemoryQuotasForProcess
Ajustar cotas de memória para um processo – esse privilégio determina quem pode alterar a memória máxima que pode ser consumida por um processo. Esse privilégio é útil para ajuste do sistema em um grupo ou usuário.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | chr (cadeia de caracteres) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valores Permitidos | Lista (Delimitador: 0xF000) |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Ajustar quotas de memória para um processo |
| Caminho | Configurações do Windows Configurações >> de segurança Atribuição de direitos do usuário de políticas > locais |
AllowLocalLogOn
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134] e posterior |
./Device/Vendor/MSFT/Policy/Config/UserRights/AllowLocalLogOn
Esse direito do usuário determina quais usuários podem fazer logon no computador.
Observação
Modificar essa configuração pode afetar a compatibilidade com clientes, serviços e aplicativos. Para obter informações de compatibilidade sobre essa configuração, consulte Permitir logon localmente (https://go.microsoft.com/fwlink/?LinkId=24268 ) no site da Microsoft.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | chr (cadeia de caracteres) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valores Permitidos | Lista (Delimitador: 0xF000) |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Permitir logon localmente |
| Caminho | Configurações do Windows Configurações >> de segurança Atribuição de direitos do usuário de políticas > locais |
AllowLogOnThroughRemoteDesktop
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/UserRights/AllowLogOnThroughRemoteDesktop
Permitir logon por meio dos Serviços de Área de Trabalho Remota – essa configuração de política determina quais usuários ou grupos podem acessar a tela de entrada de um dispositivo remoto por meio de uma conexão dos Serviços de Área de Trabalho Remota.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | chr (cadeia de caracteres) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valores Permitidos | Lista (Delimitador: 0xF000) |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Permitir logon por meio dos Serviços de Área de Trabalho Remota |
| Caminho | Configurações do Windows Configurações >> de segurança Atribuição de direitos do usuário de políticas > locais |
BackupFilesAndDirectories
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134] e posterior |
./Device/Vendor/MSFT/Policy/Config/UserRights/BackupFilesAndDirectories
Esse direito do usuário determina quais usuários podem ignorar permissões de arquivo, diretório, registro e outros objetos persistentes ao fazer backup de arquivos e diretórios. Especificamente, esse direito de usuário é semelhante à concessão das seguintes permissões para o usuário ou grupo em questão em todos os arquivos e pastas no sistema:Pasta Traverse/Arquivo executar, Leitura.
Cuidado
Atribuir esse direito de usuário pode ser um risco de segurança. Como os usuários com esse direito de usuário podem ler quaisquer configurações e arquivos de registro, atribua apenas esse direito de usuário a usuários confiáveis.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | chr (cadeia de caracteres) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valores Permitidos | Lista (Delimitador: 0xF000) |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Fazer backup de arquivos e pastas |
| Caminho | Configurações do Windows Configurações >> de segurança Atribuição de direitos do usuário de políticas > locais |
BypassTraverseChecking
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/UserRights/BypassTraverseChecking
Esse direito do usuário determina quais usuários podem percorrer árvores de diretório, embora o usuário possa não ter permissões no diretório percorrido. Esse privilégio não permite que o usuário liste o conteúdo de um diretório, apenas para percorrer diretórios.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | chr (cadeia de caracteres) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valores Permitidos | Lista (Delimitador: 0xF000) |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Ignorar a verificação completa |
| Caminho | Configurações do Windows Configurações >> de segurança Atribuição de direitos do usuário de políticas > locais |
ChangeSystemTime
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134] e posterior |
./Device/Vendor/MSFT/Policy/Config/UserRights/ChangeSystemTime
Esse direito do usuário determina quais usuários e grupos podem alterar a hora e a data no relógio interno do computador. Os usuários atribuídos a esse direito de usuário podem afetar a aparência dos logs de eventos. Se o tempo do sistema for alterado, os eventos registrados refletirão essa nova hora, não a hora real em que os eventos ocorreram.
Cuidado
Quando você configura os direitos do usuário, ele substitui usuários ou grupos existentes que foram atribuídos anteriormente a esses direitos de usuário. O sistema exige que a CONTA do Serviço Local (SID S-1-5-19) sempre tenha o ChangeSystemTime certo. Especifique sempre o Serviço Local, além de outras contas que você precisa configurar nesta política.
Se você não incluir a conta do Serviço Local , a solicitação falhará com o seguinte erro:
| Código de erro | Nome simbólico | Descrição do erro | Cabeçalho |
|---|---|---|---|
0x80070032 (Hex) |
ERROR_NOT_SUPPORTED | A solicitação não tem suporte. | winerror.h |
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | chr (cadeia de caracteres) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valores Permitidos | Lista (Delimitador: 0xF000) |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Alterar a hora do sistema |
| Caminho | Configurações do Windows Configurações >> de segurança Atribuição de direitos do usuário de políticas > locais |
ChangeTimeZone
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/UserRights/ChangeTimeZone
Esse direito do usuário determina quais usuários e grupos podem alterar o fuso horário usado pelo computador para exibir o horário local, que é a hora do sistema do computador mais o deslocamento do fuso horário. O tempo do sistema em si é absoluto e não é afetado por uma alteração no fuso horário.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | chr (cadeia de caracteres) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valores Permitidos | Lista (Delimitador: 0xF000) |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Alterar o fuso horário |
| Caminho | Configurações do Windows Configurações >> de segurança Atribuição de direitos do usuário de políticas > locais |
CreateGlobalObjects
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134] e posterior |
./Device/Vendor/MSFT/Policy/Config/UserRights/CreateGlobalObjects
Essa configuração de segurança determina se os usuários podem criar objetos globais disponíveis para todas as sessões. Os usuários ainda podem criar objetos específicos para sua própria sessão se não tiverem esse usuário direito. Os usuários que podem criar objetos globais podem afetar processos executados em sessões de outros usuários, o que pode levar à falha do aplicativo ou à corrupção de dados.
Cuidado
Atribuir esse direito de usuário pode ser um risco de segurança. Atribua esse direito de usuário somente a usuários confiáveis.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | chr (cadeia de caracteres) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valores Permitidos | Lista (Delimitador: 0xF000) |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Create global objects |
| Caminho | Configurações do Windows Configurações >> de segurança Atribuição de direitos do usuário de políticas > locais |
CreatePageFile
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134] e posterior |
./Device/Vendor/MSFT/Policy/Config/UserRights/CreatePageFile
Esse direito do usuário determina quais usuários e grupos podem chamar uma API (interface de programação de aplicativo) interna para criar e alterar o tamanho de um arquivo de página. Esse direito de usuário é usado internamente pelo sistema operacional e geralmente não precisa ser atribuído a nenhum usuário.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | chr (cadeia de caracteres) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valores Permitidos | Lista (Delimitador: 0xF000) |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Criar um arquivo de página |
| Caminho | Configurações do Windows Configurações >> de segurança Atribuição de direitos do usuário de políticas > locais |
CreatePermanentSharedObjects
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134] e posterior |
./Device/Vendor/MSFT/Policy/Config/UserRights/CreatePermanentSharedObjects
Esse direito do usuário determina quais contas podem ser usadas por processos para criar um objeto de diretório usando o gerenciador de objetos. Esse direito do usuário é usado internamente pelo sistema operacional e é útil para componentes do modo kernel que estendem o namespace do objeto. Como os componentes que estão em execução no modo kernel já têm esse direito de usuário atribuído a eles, não é necessário atribuí-lo especificamente.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | chr (cadeia de caracteres) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valores Permitidos | Lista (Delimitador: 0xF000) |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Criar objetos compartilhados permanentemente |
| Caminho | Configurações do Windows Configurações >> de segurança Atribuição de direitos do usuário de políticas > locais |
CreateSymbolicLinks
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134] e posterior |
./Device/Vendor/MSFT/Policy/Config/UserRights/CreateSymbolicLinks
Esse direito do usuário determina se o usuário pode criar um link simbólico do computador ao qual está conectado.
Cuidado
Esse privilégio só deve ser dado a usuários confiáveis. Links simbólicos podem expor vulnerabilidades de segurança em aplicativos que não foram projetados para lidar com eles.
Observação
Essa configuração pode ser usada em conjunto com uma configuração de sistema de arquivos symlink que pode ser manipulada com o utilitário de linha de comando para controlar os tipos de symlinks permitidos no computador. Digite 'fsutil behavior set symlinkevaluation /?' na linha de comando para obter mais informações sobre links fsutil e simbólicos.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | chr (cadeia de caracteres) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valores Permitidos | Lista (Delimitador: 0xF000) |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Criar vínculos simbólicos |
| Caminho | Configurações do Windows Configurações >> de segurança Atribuição de direitos do usuário de políticas > locais |
CreateToken
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134] e posterior |
./Device/Vendor/MSFT/Policy/Config/UserRights/CreateToken
Esse direito do usuário determina quais contas podem ser usadas por processos para criar um token que pode ser usado para obter acesso a qualquer recurso local quando o processo usa uma API (interface de programação de aplicativo) interna para criar um token de acesso. Esse direito de usuário é usado internamente pelo sistema operacional. A menos que seja necessário, não atribua esse direito de usuário a um usuário, grupo ou processo diferente do Sistema Local.
Cuidado
Atribuir esse direito de usuário pode ser um risco de segurança. Não atribua esse direito de usuário a nenhum usuário, grupo ou processo que você não deseja assumir o sistema.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | chr (cadeia de caracteres) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valores Permitidos | Lista (Delimitador: 0xF000) |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Criar um objeto token |
| Caminho | Configurações do Windows Configurações >> de segurança Atribuição de direitos do usuário de políticas > locais |
DebugPrograms
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134] e posterior |
./Device/Vendor/MSFT/Policy/Config/UserRights/DebugPrograms
Esse direito do usuário determina quais usuários podem anexar um depurador a qualquer processo ou ao kernel. Os desenvolvedores que estão depurando seus próprios aplicativos não precisam receber esse direito de usuário. Os desenvolvedores que estão depurando novos componentes do sistema precisarão desse direito de usuário para poder fazê-lo. Esse direito do usuário fornece acesso completo a componentes confidenciais e críticos do sistema operacional.
Cuidado
Atribuir esse direito de usuário pode ser um risco de segurança. Atribua somente esse direito de usuário a usuários confiáveis.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | chr (cadeia de caracteres) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valores Permitidos | Lista (Delimitador: 0xF000) |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Depurar programas |
| Caminho | Configurações do Windows Configurações >> de segurança Atribuição de direitos do usuário de políticas > locais |
DenyAccessFromNetwork
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134] e posterior |
./Device/Vendor/MSFT/Policy/Config/UserRights/DenyAccessFromNetwork
Esse direito do usuário determina quais usuários são impedidos de acessar um computador pela rede. Essa configuração de política substitui o Access deste computador da configuração de política de rede se uma conta de usuário estiver sujeita a ambas as políticas.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | chr (cadeia de caracteres) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valores Permitidos | Lista (Delimitador: 0xF000) |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Negar o acesso a este computador a partir da rede |
| Caminho | Configurações do Windows Configurações >> de segurança Atribuição de direitos do usuário de políticas > locais |
DenyLocalLogOn
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134] e posterior |
./Device/Vendor/MSFT/Policy/Config/UserRights/DenyLocalLogOn
Essa configuração de segurança determina quais contas de serviço são impedidas de registrar um processo como serviço.
Observação
Essa configuração de segurança não se aplica às contas Sistema, Serviço Local ou Serviço de Rede.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | chr (cadeia de caracteres) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valores Permitidos | Lista (Delimitador: 0xF000) |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Negar o logon como um serviço |
| Caminho | Configurações do Windows Configurações >> de segurança Atribuição de direitos do usuário de políticas > locais |
DenyLogOnAsBatchJob
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/UserRights/DenyLogOnAsBatchJob
Essa configuração de segurança determina quais contas são impedidas de fazer logon como um trabalho em lote. Essa configuração de política substitui o Log on como uma configuração de política de trabalho em lote se uma conta de usuário estiver sujeita a ambas as políticas.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | chr (cadeia de caracteres) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valores Permitidos | Lista (Delimitador: 0xF000) |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Negar o logon como um trabalho em lotes |
| Caminho | Configurações do Windows Configurações >> de segurança Atribuição de direitos do usuário de políticas > locais |
DenyLogOnAsService
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/UserRights/DenyLogOnAsService
Negar logon como serviço -Essa configuração de segurança determina quais contas de serviço são impedidas de registrar um processo como serviço. Essa configuração de política substitui o Log on como uma configuração de política de serviço se uma conta estiver sujeita a ambas as políticas.
Observação
Essa configuração de segurança não se aplica às contas Sistema, Serviço Local ou Serviço de Rede. Padrão: Nenhum.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | chr (cadeia de caracteres) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valores Permitidos | Lista (Delimitador: 0xF000) |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Negar o logon como um serviço |
| Caminho | Configurações do Windows Configurações >> de segurança Atribuição de direitos do usuário de políticas > locais |
DenyRemoteDesktopServicesLogOn
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134] e posterior |
./Device/Vendor/MSFT/Policy/Config/UserRights/DenyRemoteDesktopServicesLogOn
Esse direito do usuário determina quais usuários e grupos estão proibidos de fazer logon como um cliente dos Serviços de Área de Trabalho Remota.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | chr (cadeia de caracteres) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valores Permitidos | Lista (Delimitador: 0xF000) |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Negar o logon por meio dos Serviços de Área de Trabalho Remota |
| Caminho | Configurações do Windows Configurações >> de segurança Atribuição de direitos do usuário de políticas > locais |
EnableDelegation
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134] e posterior |
./Device/Vendor/MSFT/Policy/Config/UserRights/EnableDelegation
Esse direito do usuário determina quais usuários podem definir a configuração Trusted for Delegation em um objeto de usuário ou computador. O usuário ou objeto que recebeu esse privilégio deve ter acesso de gravação aos sinalizadores de controle de conta no objeto usuário ou computador. Um processo de servidor em execução em um computador (ou em um contexto de usuário) confiável para delegação pode acessar recursos em outro computador usando credenciais delegadas de um cliente, desde que a conta cliente não tenha o conjunto de sinalizadores de controle da conta delegada.
Cuidado
O uso indevido desse direito de usuário ou da configuração Trusted for Delegation pode tornar a rede vulnerável a ataques sofisticados usando programas de cavalo de Tróia que representam clientes de entrada e usam suas credenciais para obter acesso aos recursos de rede.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | chr (cadeia de caracteres) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valores Permitidos | Lista (Delimitador: 0xF000) |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Permitir que contas de computador e usuário sejam confiáveis para delegação |
| Caminho | Configurações do Windows Configurações >> de segurança Atribuição de direitos do usuário de políticas > locais |
GenerateSecurityAudits
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134] e posterior |
./Device/Vendor/MSFT/Policy/Config/UserRights/GenerateSecurityAudits
Esse direito do usuário determina quais contas podem ser usadas por um processo para adicionar entradas ao log de segurança. O log de segurança é usado para rastrear o acesso não autorizado do sistema. O uso indevido desse direito de usuário pode resultar na geração de muitos eventos de auditoria, potencialmente ocultando evidências de um ataque ou causando uma negação de serviço. Desligue o sistema imediatamente se não for possível registrar a configuração da política de segurança de auditorias de segurança habilitada.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | chr (cadeia de caracteres) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valores Permitidos | Lista (Delimitador: 0xF000) |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Gerar auditorias de segurança |
| Caminho | Configurações do Windows Configurações >> de segurança Atribuição de direitos do usuário de políticas > locais |
ImpersonateClient
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134] e posterior |
./Device/Vendor/MSFT/Policy/Config/UserRights/ImpersonateClient
Atribuir esse direito de usuário a um usuário permite que programas em execução em nome desse usuário representem um cliente. Exigir esse direito de usuário para esse tipo de representação impede um usuário não autorizado de convencer um cliente a se conectar (por exemplo, por chamada de procedimento remoto (RPC) ou pipes nomeados) a um serviço que ele criou e, em seguida, representar esse cliente, o que pode elevar as permissões do usuário não autorizado para níveis administrativos ou de sistema.
Cuidado
Atribuir esse direito de usuário pode ser um risco de segurança. Atribua somente esse direito de usuário a usuários confiáveis.
Observação
Por padrão, os serviços iniciados pelo Service Control Manager têm o grupo de serviços interno adicionado aos tokens de acesso. Os servidores COM (Component Object Model) iniciados pela infraestrutura COM e configurados para serem executados em uma conta específica também têm o grupo De serviço adicionado aos tokens de acesso. Como resultado, esses serviços acertam esse usuário quando são iniciados. Além disso, um usuário também pode representar um token de acesso se alguma das condições a seguir existir. 1) O token de acesso que está sendo representado é para esse usuário. 2) O usuário, nesta sessão de logon, criou o token de acesso fazendo logon na rede com credenciais explícitas. 3) O nível solicitado é menor do que Representar, como Anônimo ou Identificar. Devido a esses fatores, os usuários geralmente não precisam desse usuário direito.
Aviso
Se você habilitar essa configuração, os programas que anteriormente tinham o privilégio De representação poderão perdê-la e eles podem não ser executados.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | chr (cadeia de caracteres) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valores Permitidos | Lista (Delimitador: 0xF000) |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Representar um cliente após a autenticação |
| Caminho | Configurações do Windows Configurações >> de segurança Atribuição de direitos do usuário de políticas > locais |
IncreaseProcessWorkingSet
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/UserRights/IncreaseProcessWorkingSet
Aumente um conjunto de trabalho de processo. Esse privilégio determina quais contas de usuário podem aumentar ou diminuir o tamanho do conjunto de trabalho de um processo. O conjunto de trabalho de um processo é o conjunto de páginas de memória atualmente visíveis para o processo na memória RAM física. Essas páginas são residentes e estão disponíveis para um aplicativo usar sem disparar uma falha de página. Os tamanhos mínimos e máximos do conjunto de trabalho afetam o comportamento de paginação de memória virtual de um processo.
Aviso
Aumentar o tamanho do conjunto de trabalho para um processo diminui a quantidade de memória física disponível para o restante do sistema.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | chr (cadeia de caracteres) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valores Permitidos | Lista (Delimitador: 0xF000) |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Aumentar um conjunto de trabalho de processo |
| Caminho | Configurações do Windows Configurações >> de segurança Atribuição de direitos do usuário de políticas > locais |
IncreaseSchedulingPriority
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134] e posterior |
./Device/Vendor/MSFT/Policy/Config/UserRights/IncreaseSchedulingPriority
Esse direito do usuário determina quais contas podem usar um processo com acesso à Propriedade Write para outro processo para aumentar a prioridade de execução atribuída ao outro processo. Um usuário com esse privilégio pode alterar a prioridade de agendamento de um processo por meio da interface do usuário do Gerenciador de Tarefas.
Aviso
Se você remover o Gerenciador de Janelas\Grupo do Gerenciador de Janelas do usuário de prioridade aumentar o agendamento direito, determinados aplicativos e computadores não funcionarão corretamente. Em particular, o workspace INK não funciona corretamente em computadores portáteis e desktop da UMA (arquitetura de memória unificada) que executam Windows 10, versão 1903 ou posterior e que usam o driver Intel GFX.
Em computadores afetados, a exibição pisca quando os usuários desenham em workspaces ink, como aqueles usados pelo Microsoft Edge, Microsoft PowerPoint ou Microsoft OneNote. O piscar ocorre porque os processos relacionados à incrustação tentam repetidamente usar a prioridade Real-Time, mas têm permissão negada.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | chr (cadeia de caracteres) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valores Permitidos | Lista (Delimitador: 0xF000) |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Aumentar prioridade de agendamento |
| Caminho | Configurações do Windows Configurações >> de segurança Atribuição de direitos do usuário de políticas > locais |
LoadUnloadDeviceDrivers
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134] e posterior |
./Device/Vendor/MSFT/Policy/Config/UserRights/LoadUnloadDeviceDrivers
Esse direito do usuário determina quais usuários podem carregar e descarregar dinamicamente drivers de dispositivo ou outro código no modo kernel. Esse direito do usuário não se aplica a drivers de dispositivo Plug and Play. É recomendável que você não atribua esse privilégio a outros usuários.
Cuidado
Atribuir esse direito de usuário pode ser um risco de segurança. Não atribua esse direito de usuário a nenhum usuário, grupo ou processo que você não deseja assumir o sistema.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | chr (cadeia de caracteres) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valores Permitidos | Lista (Delimitador: 0xF000) |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Carregar e descarregar drivers de dispositivo |
| Caminho | Configurações do Windows Configurações >> de segurança Atribuição de direitos do usuário de políticas > locais |
LockMemory
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134] e posterior |
./Device/Vendor/MSFT/Policy/Config/UserRights/LockMemory
Esse direito do usuário determina quais contas podem usar um processo para manter os dados na memória física, o que impede que o sistema pagine os dados para a memória virtual em disco. O exercício desse privilégio pode afetar significativamente o desempenho do sistema diminuindo a quantidade de memória de acesso aleatório disponível (RAM).
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | chr (cadeia de caracteres) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valores Permitidos | Lista (Delimitador: 0xF000) |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Bloquear páginas na memória |
| Caminho | Configurações do Windows Configurações >> de segurança Atribuição de direitos do usuário de políticas > locais |
LogOnAsBatchJob
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/UserRights/LogOnAsBatchJob
Essa configuração de segurança permite que um usuário seja conectado por meio de uma instalação de fila em lote e é fornecida apenas para compatibilidade com versões mais antigas do Windows. Por exemplo, quando um usuário envia um trabalho por meio do agendador de tarefas, o agendador de tarefas registra esse usuário como usuário em lote e não como um usuário interativo.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | chr (cadeia de caracteres) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valores Permitidos | Lista (Delimitador: 0xF000) |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Fazer logon como um trabalho em lotes |
| Caminho | Configurações do Windows Configurações >> de segurança Atribuição de direitos do usuário de políticas > locais |
LogOnAsService
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/UserRights/LogOnAsService
Essa configuração de segurança permite que uma entidade de segurança faça logon como serviço. Os serviços podem ser configurados para serem executados nas contas sistema local, serviço local ou serviço de rede, que têm o direito de fazer logon como serviço. Qualquer serviço executado em uma conta de usuário separada deve ser atribuído ao direito.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | chr (cadeia de caracteres) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valores Permitidos | Lista (Delimitador: 0xF000) |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Fazer logon como um serviço |
| Caminho | Configurações do Windows Configurações >> de segurança Atribuição de direitos do usuário de políticas > locais |
ManageAuditingAndSecurityLog
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134] e posterior |
./Device/Vendor/MSFT/Policy/Config/UserRights/ManageAuditingAndSecurityLog
Esse direito do usuário determina quais usuários podem especificar opções de auditoria de acesso a objetos para recursos individuais, como arquivos, objetos do Active Directory e chaves de registro. Essa configuração de segurança não permite que um usuário habilite a auditoria de acesso a arquivos e objetos em geral. Você pode exibir eventos auditados no log de segurança do Visualizador de Eventos. Um usuário com esse privilégio também pode exibir e limpar o log de segurança.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | chr (cadeia de caracteres) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valores Permitidos | Lista (Delimitador: 0xF000) |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Gerenciar a auditoria e o log de segurança |
| Caminho | Configurações do Windows Configurações >> de segurança Atribuição de direitos do usuário de políticas > locais |
ManageVolume
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134] e posterior |
./Device/Vendor/MSFT/Policy/Config/UserRights/ManageVolume
Esse direito do usuário determina quais usuários e grupos podem executar tarefas de manutenção em um volume, como desfragmentação remota. Tenha cuidado ao atribuir esse usuário à direita. Os usuários com esse direito de usuário podem explorar discos e estender arquivos na memória que contém outros dados. Quando os arquivos estendidos são abertos, o usuário poderá ler e modificar os dados adquiridos.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | chr (cadeia de caracteres) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valores Permitidos | Lista (Delimitador: 0xF000) |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Executar tarefas de manutenção de volume |
| Caminho | Configurações do Windows Configurações >> de segurança Atribuição de direitos do usuário de políticas > locais |
ModifyFirmwareEnvironment
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134] e posterior |
./Device/Vendor/MSFT/Policy/Config/UserRights/ModifyFirmwareEnvironment
Esse direito do usuário determina quem pode modificar valores de ambiente de firmware. As variáveis de ambiente de firmware são configurações armazenadas na RAM nãovolatile de computadores não baseados em x86. O efeito da configuração depende do processador. Em computadores baseados em x86, o único valor de ambiente de firmware que pode ser modificado atribuindo esse direito de usuário é a configuração Última Configuração Boa Conhecida, que só deve ser modificada pelo sistema. Em computadores baseados em Itanium, as informações de inicialização são armazenadas em RAM nãovolatile. Os usuários devem receber esse direito de usuário para executar bootcfg.exe e alterar a configuração do Sistema Operacional Padrão em Inicialização e Recuperação em Propriedades do Sistema. Em todos os computadores, esse direito de usuário é necessário para instalar ou atualizar o Windows.
Observação
Essa configuração de segurança não afeta quem pode modificar as variáveis de ambiente do sistema e as variáveis de ambiente do usuário exibidas na guia Avançado das Propriedades do Sistema.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | chr (cadeia de caracteres) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valores Permitidos | Lista (Delimitador: 0xF000) |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Modificar valores de ambiente de firmware |
| Caminho | Configurações do Windows Configurações >> de segurança Atribuição de direitos do usuário de políticas > locais |
ModifyObjectLabel
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134] e posterior |
./Device/Vendor/MSFT/Policy/Config/UserRights/ModifyObjectLabel
Esse direito do usuário determina quais contas de usuário podem modificar o rótulo de integridade de objetos, como arquivos, chaves de registro ou processos de propriedade de outros usuários. Processos em execução em uma conta de usuário podem modificar o rótulo de um objeto de propriedade desse usuário para um nível inferior sem esse privilégio.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | chr (cadeia de caracteres) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valores Permitidos | Lista (Delimitador: 0xF000) |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Modificar um rótulo de objeto |
| Caminho | Configurações do Windows Configurações >> de segurança Atribuição de direitos do usuário de políticas > locais |
ProfileSingleProcess
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134] e posterior |
./Device/Vendor/MSFT/Policy/Config/UserRights/ProfileSingleProcess
Esse direito do usuário determina quais usuários podem usar ferramentas de monitoramento de desempenho para monitorar o desempenho dos processos do sistema.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | chr (cadeia de caracteres) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valores Permitidos | Lista (Delimitador: 0xF000) |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Traçar um perfil de um único processo |
| Caminho | Configurações do Windows Configurações >> de segurança Atribuição de direitos do usuário de políticas > locais |
ProfileSystemPerformance
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/UserRights/ProfileSystemPerformance
Essa configuração de segurança determina quais usuários podem usar ferramentas de monitoramento de desempenho para monitorar o desempenho dos processos do sistema.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | chr (cadeia de caracteres) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valores Permitidos | Lista (Delimitador: 0xF000) |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Traçar um perfil do desempenho do sistema |
| Caminho | Configurações do Windows Configurações >> de segurança Atribuição de direitos do usuário de políticas > locais |
RemoteShutdown
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134] e posterior |
./Device/Vendor/MSFT/Policy/Config/UserRights/RemoteShutdown
Esse direito do usuário determina quais usuários podem desligar um computador de um local remoto na rede. O uso indevido desse direito de usuário pode resultar em uma negação de serviço.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | chr (cadeia de caracteres) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valores Permitidos | Lista (Delimitador: 0xF000) |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Forçar o desligamento a partir de um sistema remoto |
| Caminho | Configurações do Windows Configurações >> de segurança Atribuição de direitos do usuário de políticas > locais |
ReplaceProcessLevelToken
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/UserRights/ReplaceProcessLevelToken
Essa configuração de segurança determina quais contas de usuário podem chamar a API (interface de programação de aplicativo) CreateProcessAsUser() para que um serviço possa iniciar outro. Um exemplo de um processo que usa esse direito de usuário é Agendador de Tarefas. Para obter informações sobre o Agendador de Tarefas, consulte Visão geral do Agendador de Tarefas.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | chr (cadeia de caracteres) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valores Permitidos | Lista (Delimitador: 0xF000) |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Substituir um token de nível de processo |
| Caminho | Configurações do Windows Configurações >> de segurança Atribuição de direitos do usuário de políticas > locais |
RestoreFilesAndDirectories
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134] e posterior |
./Device/Vendor/MSFT/Policy/Config/UserRights/RestoreFilesAndDirectories
Esse direito do usuário determina quais usuários podem ignorar permissões de arquivo, diretório, registro e outros objetos persistentes ao restaurar arquivos e diretórios com backup e determina quais usuários podem definir qualquer entidade de segurança válida como o proprietário de um objeto. Especificamente, esse direito de usuário é semelhante à concessão das seguintes permissões ao usuário ou grupo em questão em todos os arquivos e pastas no sistema:Pasta Traverse/Executar Arquivo, Gravar.
Cuidado
Atribuir esse direito de usuário pode ser um risco de segurança. Como os usuários com esse direito de usuário podem substituir as configurações do registro, ocultar dados e obter a propriedade de objetos do sistema, atribua apenas esse direito de usuário a usuários confiáveis.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | chr (cadeia de caracteres) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valores Permitidos | Lista (Delimitador: 0xF000) |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Restaurar arquivos e diretórios |
| Caminho | Configurações do Windows Configurações >> de segurança Atribuição de direitos do usuário de políticas > locais |
ShutDownTheSystem
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/UserRights/ShutDownTheSystem
Essa configuração de segurança determina quais usuários que estão conectados localmente ao computador podem desligar o sistema operacional usando o comando Desligar. O uso indevido desse direito de usuário pode resultar em uma negação de serviço.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | chr (cadeia de caracteres) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valores Permitidos | Lista (Delimitador: 0xF000) |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Desligar o sistema |
| Caminho | Configurações do Windows Configurações >> de segurança Atribuição de direitos do usuário de políticas > locais |
TakeOwnership
| Escopo | Edições | Sistema operacional aplicável |
|---|---|---|
| Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows 10, versão 1803 [10.0.17134] e posterior |
./Device/Vendor/MSFT/Policy/Config/UserRights/TakeOwnership
Esse direito do usuário determina quais usuários podem se apropriar de qualquer objeto protegível no sistema, incluindo objetos, arquivos e pastas do Active Directory, impressoras, chaves de registro, processos e threads.
Cuidado
Atribuir esse direito de usuário pode ser um risco de segurança. Como os proprietários de objetos têm controle total deles, atribua apenas esse direito de usuário a usuários confiáveis.
Propriedades da estrutura de descrição:
| Nome da propriedade | Valor de propriedade |
|---|---|
| Formato | chr (cadeia de caracteres) |
| Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
| Valores Permitidos | Lista (Delimitador: 0xF000) |
Mapeamento de política de grupo:
| Nome | Valor |
|---|---|
| Nome | Apropriar-se de arquivos ou de outros objetos |
| Caminho | Configurações do Windows Configurações >> de segurança Atribuição de direitos do usuário de políticas > locais |
Artigos relacionados
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de