Поделиться через


Поставщик служб CSP политики — UserRights

Права пользователей назначаются учетным записям пользователей или группам. Имя политики определяет право пользователя, о которых идет речь, и значения всегда являются пользователями или группами. Значения могут быть представлены в виде идентификаторов безопасности (SID) или строк. Дополнительные сведения см. в разделе Известные структуры идентификаторов безопасности.

Хотя строки поддерживаются для хорошо известных учетных записей и групп, лучше использовать идентификаторы безопасности, так как строки локализуются для разных языков. Некоторые права пользователя разрешают такие вещи, как AccessFromNetwork, а другие запрещают такие вещи, как DenyAccessFromNetwork.

Общий пример

Ниже приведен пример настройки права пользователя BackupFilesAndDirectories для групп администраторов и пользователей, прошедших проверку подлинности.

<SyncML xmlns="SYNCML:SYNCML1.2">

<SyncBody>
    <Replace>
      <CmdID>2</CmdID>
      <Item>
        <Meta>
          <Format>chr</Format>
          <Type>text/plain</Type>
        </Meta>
        <Target>
          <LocURI>./Device/Vendor/MSFT/Policy/Config/UserRights/BackupFilesAndDirectories</LocURI>
        </Target>
        <Data>Authenticated Users&#xF000;Administrators</Data>
      </Item>
    </Replace>
  <Final/>
  </SyncBody>
</SyncML>

Ниже приведены примеры полей данных. Закодированный 0xF000 является стандартным разделителем или разделителем.

  • Предоставьте пользователю право на доступ к группе "Администраторы" с помощью идентификатора безопасности:

    <Data>*S-1-5-32-544</Data>
    
  • Предоставьте пользователю право на доступ к нескольким группам (администраторы, пользователи, прошедшие проверку подлинности) с помощью идентификатора безопасности:

    <Data>*S-1-5-32-544&#xF000;*S-1-5-11</Data>
    
  • Предоставьте пользователю право на доступ к нескольким группам (администраторы, пользователи, прошедшие проверку подлинности) с помощью сочетания идентификаторов безопасности и строк:

    <Data>*S-1-5-32-544&#xF000;Authenticated Users</Data>
    
  • Предоставьте пользователю право на доступ к нескольким группам (прошедшие проверку подлинности пользователи, администраторы) с помощью строк:

    <Data>Authenticated Users&#xF000;Administrators</Data>
    
  • Пустые входные данные указывают на отсутствие пользователей, настроенных для этого права пользователя:

    <Data></Data>
    

Если вы используете Intune настраиваемые профили для назначения политик UserRights, необходимо использовать тег CDATA (<![CDATA[...]]>) для упаковки полей данных. Можно указать одну или несколько групп пользователей в теге CDATA, используя 0xF000 в качестве разделителя или разделителя.

Примечание.

&#xF000; — это кодировка сущности 0xF000объекта .

Например, следующий синтаксис предоставляет права пользователей группам пользователей, прошедших проверку подлинности, и группам пользователей репликатора:

<![CDATA[Authenticated Users&#xF000;Replicator]]>

Например, следующий синтаксис предоставляет права пользователя двум конкретным пользователям Microsoft Entra из Contoso: user1 и user2:

<![CDATA[AzureAD\user1@contoso.com&#xF000;AzureAD\user2@contoso.com]]>

Например, следующий синтаксис предоставляет права пользователя определенному пользователю или группе с помощью идентификатора безопасности учетной записи или группы:

<![CDATA[*S-1-12-1-430441778-1204322964-3914475434-3271576427&#xF000;*S-1-12-1-2699785510-1240757380-4153857927-656075536]]>

AccessCredentialManagerAsTrustedCaller

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1803 [10.0.17134] и более поздние
./Device/Vendor/MSFT/Policy/Config/UserRights/AccessCredentialManagerAsTrustedCaller

Это право пользователя используется диспетчером учетных данных во время резервного копирования и восстановления. Ни у каких учетных записей не должно быть этих привилегий, так как они назначены только Winlogon. Сохраненные учетные данные пользователей могут быть скомпрометированы, если эти привилегии предоставлены другим сущностям.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат chr (строка)
Тип доступа Добавить, удалить, получить, заменить
Допустимые значения Список (разделитель: 0xF000)

Сопоставление групповой политики:

Имя Значение
Имя Доступ к диспетчеру учетных данных как доверенному вызывающему объекту
Путь Параметры > Windows Параметры безопасности Локальные > политики > Назначение прав пользователя

AccessFromNetwork

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1803 [10.0.17134] и более поздние
./Device/Vendor/MSFT/Policy/Config/UserRights/AccessFromNetwork

Это право пользователя определяет, каким пользователям и группам разрешено подключаться к компьютеру по сети. Это право пользователя не влияет на службы удаленных рабочих столов.

Примечание.

В предыдущих версиях Windows Server службы удаленных рабочих столов назывались службами терминалов.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат chr (строка)
Тип доступа Добавить, удалить, получить, заменить
Допустимые значения Список (разделитель: 0xF000)

Сопоставление групповой политики:

Имя Значение
Имя Доступ к этому компьютеру из сети
Путь Параметры > Windows Параметры безопасности Локальные > политики > Назначение прав пользователя

ActAsPartOfTheOperatingSystem

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1803 [10.0.17134] и более поздние
./Device/Vendor/MSFT/Policy/Config/UserRights/ActAsPartOfTheOperatingSystem

Это право пользователя позволяет процессу олицетворить любого пользователя без проверки подлинности. Таким образом, процесс может получить доступ к тем же локальным ресурсам, что и этот пользователь. В процессах, которым требуется эта привилегия, следует использовать учетную запись LocalSystem, которая уже включает эту привилегию, а не отдельную учетную запись пользователя с этой привилегией, специально назначенной.

Предостережение

Назначение этого права пользователя может быть угрозой безопасности. Назначьте это право только доверенным пользователям.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат chr (строка)
Тип доступа Добавить, удалить, получить, заменить
Допустимые значения Список (разделитель: 0xF000)

Сопоставление групповой политики:

Имя Значение
Имя Работа в режиме операционной системы
Путь Параметры > Windows Параметры безопасности Локальные > политики > Назначение прав пользователя

AdjustMemoryQuotasForProcess

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 11, версия 24H2 [10.0.26100] и более поздние
./Device/Vendor/MSFT/Policy/Config/UserRights/AdjustMemoryQuotasForProcess

Настройка квот памяти для процесса . Эта привилегия определяет, кто может изменить максимальный объем памяти, который может быть использован процессом. Эта привилегия полезна для настройки системы на основе группы или пользователя.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат chr (строка)
Тип доступа Добавить, удалить, получить, заменить
Допустимые значения Список (разделитель: 0xF000)

Сопоставление групповой политики:

Имя Значение
Имя Настройка квот памяти для процесса
Путь Параметры > Windows Параметры безопасности Локальные > политики > Назначение прав пользователя

AllowLocalLogOn

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1803 [10.0.17134] и более поздние
./Device/Vendor/MSFT/Policy/Config/UserRights/AllowLocalLogOn

Это право пользователя определяет, какие пользователи могут войти на компьютер.

Примечание.

Изменение этого параметра может повлиять на совместимость с клиентами, службами и приложениями. Сведения о совместимости этого параметра см. в статье Разрешить локальный вход в систему (https://go.microsoft.com/fwlink/?LinkId=24268 ) на веб-сайте Майкрософт.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат chr (строка)
Тип доступа Добавить, удалить, получить, заменить
Допустимые значения Список (разделитель: 0xF000)

Сопоставление групповой политики:

Имя Значение
Имя Локальный вход в систему
Путь Параметры > Windows Параметры безопасности Локальные > политики > Назначение прав пользователя

AllowLogOnThroughRemoteDesktop

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 11, версия 24H2 [10.0.26100] и более поздние
./Device/Vendor/MSFT/Policy/Config/UserRights/AllowLogOnThroughRemoteDesktop

Разрешить вход через службы удаленных рабочих столов. Этот параметр политики определяет, какие пользователи или группы могут получить доступ к экрану входа удаленного устройства через подключение к службам удаленных рабочих столов.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат chr (строка)
Тип доступа Добавить, удалить, получить, заменить
Допустимые значения Список (разделитель: 0xF000)

Сопоставление групповой политики:

Имя Значение
Имя Разрешить вход в систему через службу удаленных рабочих столов
Путь Параметры > Windows Параметры безопасности Локальные > политики > Назначение прав пользователя

BackupFilesAndDirectories

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1803 [10.0.17134] и более поздние
./Device/Vendor/MSFT/Policy/Config/UserRights/BackupFilesAndDirectories

Это право пользователя определяет, какие пользователи могут обходить разрешения файлов, каталогов, реестра и других постоянных объектов при резервном копировании файлов и каталогов. В частности, это право пользователя похоже на предоставление пользователю или группе следующих разрешений на все файлы и папки в системе:Обход папки/Выполнение файла, Чтение.

Предостережение

Назначение этого права пользователя может быть угрозой безопасности. Так как пользователи с этим правом могут считывать любые параметры и файлы реестра, назначьте это право только доверенным пользователям.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат chr (строка)
Тип доступа Добавить, удалить, получить, заменить
Допустимые значения Список (разделитель: 0xF000)

Сопоставление групповой политики:

Имя Значение
Имя Архивация файлов и каталогов
Путь Параметры > Windows Параметры безопасности Локальные > политики > Назначение прав пользователя

BypassTraverseChecking

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 11, версия 24H2 [10.0.26100] и более поздние
./Device/Vendor/MSFT/Policy/Config/UserRights/BypassTraverseChecking

Это право пользователя определяет, какие пользователи могут просматривать деревья каталогов, даже если у пользователя могут не быть разрешений на пройденный каталог. Эта привилегия не позволяет пользователю выводить список содержимого каталога, только для обхода каталогов.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат chr (строка)
Тип доступа Добавить, удалить, получить, заменить
Допустимые значения Список (разделитель: 0xF000)

Сопоставление групповой политики:

Имя Значение
Имя Обход перекрестной проверки
Путь Параметры > Windows Параметры безопасности Локальные > политики > Назначение прав пользователя

ChangeSystemTime

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1803 [10.0.17134] и более поздние
./Device/Vendor/MSFT/Policy/Config/UserRights/ChangeSystemTime

Это право пользователя определяет, какие пользователи и группы могут изменять время и дату на внутренних часах компьютера. Пользователи, которым назначено это право, могут повлиять на внешний вид журналов событий. Если системное время изменено, регистрируемые события будут отражать это новое время, а не фактическое время возникновения событий.

Предостережение

При настройке прав пользователей они заменяют существующих пользователей или групп, которым ранее были назначены эти права. Системе требуется, чтобы учетная запись локальной службы (SID S-1-5-19) всегда была права ChangeSystemTime. Всегда указывайте локальную службу в дополнение к другим учетным записям, которые необходимо настроить в этой политике.

Если учетная запись локальной службы не включена, запрос завершается ошибкой со следующей ошибкой:

Код ошибки Символическое имя Описание ошибки Заголовок
0x80070032 (Шестнадцатеричный) ERROR_NOT_SUPPORTED Запрос не поддерживается. winerror.h

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат chr (строка)
Тип доступа Добавить, удалить, получить, заменить
Допустимые значения Список (разделитель: 0xF000)

Сопоставление групповой политики:

Имя Значение
Имя Изменение системного времени
Путь Параметры > Windows Параметры безопасности Локальные > политики > Назначение прав пользователя

ChangeTimeZone

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 11, версия 24H2 [10.0.26100] и более поздние
./Device/Vendor/MSFT/Policy/Config/UserRights/ChangeTimeZone

Это право пользователя определяет, какие пользователи и группы могут изменять часовой пояс, используемый компьютером для отображения местного времени, которое является системным временем компьютера и смещением часового пояса. Само системное время является абсолютным и не зависит от изменения часового пояса.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат chr (строка)
Тип доступа Добавить, удалить, получить, заменить
Допустимые значения Список (разделитель: 0xF000)

Сопоставление групповой политики:

Имя Значение
Имя Изменение часового пояса
Путь Параметры > Windows Параметры безопасности Локальные > политики > Назначение прав пользователя

CreateGlobalObjects

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1803 [10.0.17134] и более поздние
./Device/Vendor/MSFT/Policy/Config/UserRights/CreateGlobalObjects

Этот параметр безопасности определяет, могут ли пользователи создавать глобальные объекты, доступные для всех сеансов. Пользователи по-прежнему могут создавать объекты, относящиеся к их собственному сеансу, если у них нет этого права. Пользователи, которые могут создавать глобальные объекты, могут влиять на процессы, выполняемые в сеансах других пользователей, что может привести к сбою приложения или повреждению данных.

Предостережение

Назначение этого права пользователя может быть угрозой безопасности. Назначьте это право только доверенным пользователям.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат chr (строка)
Тип доступа Добавить, удалить, получить, заменить
Допустимые значения Список (разделитель: 0xF000)

Сопоставление групповой политики:

Имя Значение
Имя Создание глобальных объектов
Путь Параметры > Windows Параметры безопасности Локальные > политики > Назначение прав пользователя

CreatePageFile

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1803 [10.0.17134] и более поздние
./Device/Vendor/MSFT/Policy/Config/UserRights/CreatePageFile

Это право пользователя определяет, какие пользователи и группы могут вызывать внутренний программный интерфейс приложения (API) для создания и изменения размера файла подкачки. Это право пользователя используется операционной системой внутри операционной системы и обычно его не нужно назначать каким-либо пользователям.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат chr (строка)
Тип доступа Добавить, удалить, получить, заменить
Допустимые значения Список (разделитель: 0xF000)

Сопоставление групповой политики:

Имя Значение
Имя Создание файла подкачки
Путь Параметры > Windows Параметры безопасности Локальные > политики > Назначение прав пользователя

CreatePermanentSharedObjects

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1803 [10.0.17134] и более поздние
./Device/Vendor/MSFT/Policy/Config/UserRights/CreatePermanentSharedObjects

Это право пользователя определяет, какие учетные записи могут использоваться процессами для создания объекта каталога с помощью диспетчера объектов. Это право пользователя используется операционной системой внутри операционной системы и полезно для компонентов режима ядра, расширяющих пространство имен объекта. Так как компонентам, работающим в режиме ядра, уже назначено это право пользователя, специально назначать его не нужно.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат chr (строка)
Тип доступа Добавить, удалить, получить, заменить
Допустимые значения Список (разделитель: 0xF000)

Сопоставление групповой политики:

Имя Значение
Имя Создание постоянных общих объектов
Путь Параметры > Windows Параметры безопасности Локальные > политики > Назначение прав пользователя
Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1803 [10.0.17134] и более поздние
./Device/Vendor/MSFT/Policy/Config/UserRights/CreateSymbolicLinks

Это право пользователя определяет, может ли пользователь создать символьную ссылку с компьютера, на который он выполнил вход.

Предостережение

Эта привилегия должна быть предоставлена только доверенным пользователям. Символические ссылки могут выявить уязвимости системы безопасности в приложениях, которые не предназначены для их обработки.

Примечание.

Этот параметр можно использовать в сочетании с параметром файловой системы symlink, которым можно управлять с помощью программы командной строки для управления типами символьных ссылок, которые разрешены на компьютере. Введите 'fsutil behavior set symlinkevaluation /?' в командной строке, чтобы получить дополнительные сведения о fsutil и символьных ссылках.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат chr (строка)
Тип доступа Добавить, удалить, получить, заменить
Допустимые значения Список (разделитель: 0xF000)

Сопоставление групповой политики:

Имя Значение
Имя Создание символических ссылок
Путь Параметры > Windows Параметры безопасности Локальные > политики > Назначение прав пользователя

CreateToken

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1803 [10.0.17134] и более поздние
./Device/Vendor/MSFT/Policy/Config/UserRights/CreateToken

Это право пользователя определяет, какие учетные записи могут использоваться процессами для создания маркера, который затем можно использовать для получения доступа к любым локальным ресурсам, когда процесс использует внутренний программный интерфейс приложения (API) для создания маркера доступа. Это право пользователя используется внутренне операционной системой. Если это не требуется, не назначайте это право пользователю, группе или процессу, отличному от локальной системы.

Предостережение

Назначение этого права пользователя может быть угрозой безопасности. Не назначайте это право пользователю ни одному пользователю, группе или процессу, которым не нужно управлять системой.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат chr (строка)
Тип доступа Добавить, удалить, получить, заменить
Допустимые значения Список (разделитель: 0xF000)

Сопоставление групповой политики:

Имя Значение
Имя Создание маркерного объекта
Путь Параметры > Windows Параметры безопасности Локальные > политики > Назначение прав пользователя

DebugPrograms

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1803 [10.0.17134] и более поздние
./Device/Vendor/MSFT/Policy/Config/UserRights/DebugPrograms

Это право пользователя определяет, какие пользователи могут подключить отладчик к любому процессу или ядру. Разработчикам, которые выполняют отладку собственных приложений, не нужно назначать это право пользователя. Разработчикам, которые выполняют отладку новых системных компонентов, потребуется это право пользователя, чтобы иметь возможность сделать это. Это право пользователя предоставляет полный доступ к конфиденциальным и критически важным компонентам операционной системы.

Предостережение

Назначение этого права пользователя может быть угрозой безопасности. Назначьте это право только доверенным пользователям.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат chr (строка)
Тип доступа Добавить, удалить, получить, заменить
Допустимые значения Список (разделитель: 0xF000)

Сопоставление групповой политики:

Имя Значение
Имя Отладка программ
Путь Параметры > Windows Параметры безопасности Локальные > политики > Назначение прав пользователя

DenyAccessFromNetwork

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1803 [10.0.17134] и более поздние
./Device/Vendor/MSFT/Policy/Config/UserRights/DenyAccessFromNetwork

Это право пользователя определяет, каким пользователям запрещен доступ к компьютеру по сети. Этот параметр политики заменяет параметр "Доступ к этому компьютеру" из параметра политики сети, если учетная запись пользователя подчиняется обеим политикам.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат chr (строка)
Тип доступа Добавить, удалить, получить, заменить
Допустимые значения Список (разделитель: 0xF000)

Сопоставление групповой политики:

Имя Значение
Имя Отказ в доступе к компьютеру из сети
Путь Параметры > Windows Параметры безопасности Локальные > политики > Назначение прав пользователя

DenyLocalLogOn

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1803 [10.0.17134] и более поздние
./Device/Vendor/MSFT/Policy/Config/UserRights/DenyLocalLogOn

Этот параметр безопасности определяет, какие учетные записи служб не могут регистрировать процесс в качестве службы.

Примечание.

Этот параметр безопасности не применяется к учетным записям системной, локальной службы или сетевой службы.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат chr (строка)
Тип доступа Добавить, удалить, получить, заменить
Допустимые значения Список (разделитель: 0xF000)

Сопоставление групповой политики:

Имя Значение
Имя Отказать во входе в качестве службы
Путь Параметры > Windows Параметры безопасности Локальные > политики > Назначение прав пользователя

DenyLogOnAsBatchJob

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 11, версия 24H2 [10.0.26100] и более поздние
./Device/Vendor/MSFT/Policy/Config/UserRights/DenyLogOnAsBatchJob

Этот параметр безопасности определяет, какие учетные записи не могут входить в систему в качестве пакетного задания. Этот параметр политики заменяет параметр политики Вход в качестве пакетного задания, если учетная запись пользователя подчиняется обеим политикам.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат chr (строка)
Тип доступа Добавить, удалить, получить, заменить
Допустимые значения Список (разделитель: 0xF000)

Сопоставление групповой политики:

Имя Значение
Имя Отказ во входе в качестве пакетного задания
Путь Параметры > Windows Параметры безопасности Локальные > политики > Назначение прав пользователя

DenyLogOnAsService

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 11, версия 24H2 [10.0.26100] и более поздние
./Device/Vendor/MSFT/Policy/Config/UserRights/DenyLogOnAsService

Запрет входа в качестве службы . Этот параметр безопасности определяет, какие учетные записи служб не могут регистрировать процесс в качестве службы. Этот параметр политики заменяет параметр политики Вход в качестве службы, если учетная запись подчиняется обеим политикам.

Примечание.

Этот параметр безопасности не применяется к учетным записям системной, локальной службы или сетевой службы. По умолчанию: нет.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат chr (строка)
Тип доступа Добавить, удалить, получить, заменить
Допустимые значения Список (разделитель: 0xF000)

Сопоставление групповой политики:

Имя Значение
Имя Отказать во входе в качестве службы
Путь Параметры > Windows Параметры безопасности Локальные > политики > Назначение прав пользователя

DenyRemoteDesktopServicesLogOn

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1803 [10.0.17134] и более поздние
./Device/Vendor/MSFT/Policy/Config/UserRights/DenyRemoteDesktopServicesLogOn

Это право пользователя определяет, каким пользователям и группам запрещен вход в качестве клиента служб удаленных рабочих столов.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат chr (строка)
Тип доступа Добавить, удалить, получить, заменить
Допустимые значения Список (разделитель: 0xF000)

Сопоставление групповой политики:

Имя Значение
Имя Запретить вход в систему через службу удаленных рабочих столов
Путь Параметры > Windows Параметры безопасности Локальные > политики > Назначение прав пользователя

EnableDelegation

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1803 [10.0.17134] и более поздние
./Device/Vendor/MSFT/Policy/Config/UserRights/EnableDelegation

Это право пользователя определяет, какие пользователи могут задать параметр Trusted for Делегирование для объекта пользователя или компьютера. Пользователь или объект, которому предоставлена эта привилегия, должен иметь доступ на запись к флагам управления учетными записями на объекте пользователя или компьютера. Серверный процесс, запущенный на компьютере (или в контексте пользователя), которому доверено делегирование, может получить доступ к ресурсам на другом компьютере с помощью делегированных учетных данных клиента, если для учетной записи клиента не установлен флаг управления учетной записью.

Предостережение

Неправильное использование этого права пользователя или параметра Trusted for Делегирование может сделать сеть уязвимой для изощренных атак с помощью программ троянского коня, которые олицетворяют входящих клиентов и используют их учетные данные для получения доступа к сетевым ресурсам.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат chr (строка)
Тип доступа Добавить, удалить, получить, заменить
Допустимые значения Список (разделитель: 0xF000)

Сопоставление групповой политики:

Имя Значение
Имя Разрешение доверия к учетным записям компьютеров и пользователей при делегировании
Путь Параметры > Windows Параметры безопасности Локальные > политики > Назначение прав пользователя

GenerateSecurityAudits

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1803 [10.0.17134] и более поздние
./Device/Vendor/MSFT/Policy/Config/UserRights/GenerateSecurityAudits

Это право пользователя определяет, какие учетные записи могут использоваться процессом для добавления записей в журнал безопасности. Журнал безопасности используется для отслеживания несанкционированного доступа к системе. Неправильное использование этого права пользователя может привести к созданию множества событий аудита, потенциально скрывая доказательства атаки или вызывая отказ в обслуживании. Немедленное завершение работы системы, если не удается включить параметр политики безопасности аудита безопасности.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат chr (строка)
Тип доступа Добавить, удалить, получить, заменить
Допустимые значения Список (разделитель: 0xF000)

Сопоставление групповой политики:

Имя Значение
Имя Создание аудитов безопасности
Путь Параметры > Windows Параметры безопасности Локальные > политики > Назначение прав пользователя

ImpersonateClient

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1803 [10.0.17134] и более поздние
./Device/Vendor/MSFT/Policy/Config/UserRights/ImpersonateClient

Назначение этого права пользователю позволяет программам, работающим от имени этого пользователя, олицетворять клиента. Требование этого права пользователя для такого олицетворения не позволяет неавторизованному пользователю убедить клиента подключиться (например, с помощью удаленного вызова процедуры (RPC) или именованных каналов) к созданной службе, а затем олицетворить этот клиент, что может повысить уровень разрешений несанкционированного пользователя на административный или системный уровень.

Предостережение

Назначение этого права пользователя может быть угрозой безопасности. Назначьте это право только доверенным пользователям.

Примечание.

По умолчанию к службам, запущенным диспетчером управления службами, добавляется встроенная группа служб к маркерам доступа. Серверы com-модели компонентов, запущенные инфраструктурой COM и настроенные для запуска под определенной учетной записью, также добавляют группу служб к маркерам доступа. В результате эти службы получают этого пользователя правильно при запуске. Кроме того, пользователь также может олицетворять маркер доступа при наличии любого из следующих условий. 1) Маркер доступа, который олицетворяется, предназначен для этого пользователя. 2) Пользователь в этом сеансе входа создал маркер доступа, выполнив вход в сеть с явными учетными данными. 3) Запрошенный уровень меньше олицетворения, например Анонимный или Идентификация. Из-за этих факторов пользователи обычно не нуждаются в этом праве пользователя.

Warning

Если этот параметр включен, программы, которые ранее имели привилегию Impersonate, могут потерять его и не запускаться.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат chr (строка)
Тип доступа Добавить, удалить, получить, заменить
Допустимые значения Список (разделитель: 0xF000)

Сопоставление групповой политики:

Имя Значение
Имя Имитация клиента после проверки подлинности
Путь Параметры > Windows Параметры безопасности Локальные > политики > Назначение прав пользователя

IncreaseProcessWorkingSet

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 11, версия 24H2 [10.0.26100] и более поздние
./Device/Vendor/MSFT/Policy/Config/UserRights/IncreaseProcessWorkingSet

Увеличьте рабочий набор процессов. Эта привилегия определяет, какие учетные записи пользователей могут увеличивать или уменьшать размер рабочего набора процесса. Рабочий набор процесса — это набор страниц памяти, видимых в настоящее время для процесса в физической памяти ОЗУ. Эти страницы являются резидентами и доступны приложению без сбоя страницы. Минимальный и максимальный размеры рабочего набора влияют на поведение процесса подкачки виртуальной памяти.

Warning

Увеличение размера рабочего набора для процесса уменьшает объем физической памяти, доступный для остальной части системы.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат chr (строка)
Тип доступа Добавить, удалить, получить, заменить
Допустимые значения Список (разделитель: 0xF000)

Сопоставление групповой политики:

Имя Значение
Имя Увеличение рабочего набора процесса
Путь Параметры > Windows Параметры безопасности Локальные > политики > Назначение прав пользователя

IncreaseSchedulingPriority

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1803 [10.0.17134] и более поздние
./Device/Vendor/MSFT/Policy/Config/UserRights/IncreaseSchedulingPriority

Это право пользователя определяет, какие учетные записи могут использовать процесс с доступом свойства записи к другому процессу для увеличения приоритета выполнения, назначенного другому процессу. Пользователь с этой привилегией может изменить приоритет планирования процесса с помощью пользовательского интерфейса диспетчера задач.

Warning

Если удалить группу Window Manager\Window Manager из права пользователя Увеличение приоритета планирования , некоторые приложения и компьютеры будут работать неправильно. В частности, рабочая область INK неправильно работает на ноутбуке и настольных компьютерах, работающих под управлением Windows 10 версии 1903 или более поздней и использующих драйвер Intel GFX.

На затронутых компьютерах дисплей мигает, когда пользователи рисуют рабочие области INK, например те, которые используются Microsoft Edge, Microsoft PowerPoint или Microsoft OneNote. Мигание происходит из-за того, что процессы, связанные с рукописным вводом, неоднократно пытаются использовать приоритет Real-Time, но им отказано в разрешении.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат chr (строка)
Тип доступа Добавить, удалить, получить, заменить
Допустимые значения Список (разделитель: 0xF000)

Сопоставление групповой политики:

Имя Значение
Имя Увеличение приоритета выполнения
Путь Параметры > Windows Параметры безопасности Локальные > политики > Назначение прав пользователя

LoadUnloadDeviceDrivers

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1803 [10.0.17134] и более поздние
./Device/Vendor/MSFT/Policy/Config/UserRights/LoadUnloadDeviceDrivers

Это право пользователя определяет, какие пользователи могут динамически загружать и выгружать драйверы устройств или другой код в режим ядра. Это право пользователя не применяется к драйверам устройств Plug and Play. Рекомендуется не назначать эту привилегию другим пользователям.

Предостережение

Назначение этого права пользователя может быть угрозой безопасности. Не назначайте это право пользователю ни одному пользователю, группе или процессу, которым не нужно управлять системой.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат chr (строка)
Тип доступа Добавить, удалить, получить, заменить
Допустимые значения Список (разделитель: 0xF000)

Сопоставление групповой политики:

Имя Значение
Имя Загрузка и выгрузка драйверов устройств
Путь Параметры > Windows Параметры безопасности Локальные > политики > Назначение прав пользователя

LockMemory

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1803 [10.0.17134] и более поздние
./Device/Vendor/MSFT/Policy/Config/UserRights/LockMemory

Это право пользователя определяет, какие учетные записи могут использовать процесс для хранения данных в физической памяти, что предотвращает разбиение данных на страницы в виртуальную память на диске. Использование этой привилегии может значительно повлиять на производительность системы, уменьшая объем доступной памяти случайного доступа (ОЗУ).

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат chr (строка)
Тип доступа Добавить, удалить, получить, заменить
Допустимые значения Список (разделитель: 0xF000)

Сопоставление групповой политики:

Имя Значение
Имя Блокировка страниц в памяти
Путь Параметры > Windows Параметры безопасности Локальные > политики > Назначение прав пользователя

LogOnAsBatchJob

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 11, версия 24H2 [10.0.26100] и более поздние
./Device/Vendor/MSFT/Policy/Config/UserRights/LogOnAsBatchJob

Этот параметр безопасности позволяет пользователю войти в систему с помощью средства пакетной очереди и предоставляется только для обеспечения совместимости с более старыми версиями Windows. Например, когда пользователь отправляет задание с помощью планировщика задач, планировщик задач регистрирует его как пакетный пользователь, а не как интерактивный пользователь.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат chr (строка)
Тип доступа Добавить, удалить, получить, заменить
Допустимые значения Список (разделитель: 0xF000)

Сопоставление групповой политики:

Имя Значение
Имя Вход в качестве пакетного задания
Путь Параметры > Windows Параметры безопасности Локальные > политики > Назначение прав пользователя

LogOnAsService

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 11, версия 24H2 [10.0.26100] и более поздние
./Device/Vendor/MSFT/Policy/Config/UserRights/LogOnAsService

Этот параметр безопасности позволяет субъекту безопасности входить в систему как услуга. Службы можно настроить для запуска в учетных записях локальной системы, локальной службы или сетевой службы, которые имеют встроенное право на вход в качестве службы. Любой службе, работающей под отдельной учетной записью пользователя, необходимо назначить право.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат chr (строка)
Тип доступа Добавить, удалить, получить, заменить
Допустимые значения Список (разделитель: 0xF000)

Сопоставление групповой политики:

Имя Значение
Имя Вход в качестве службы
Путь Параметры > Windows Параметры безопасности Локальные > политики > Назначение прав пользователя

ManageAuditingAndSecurityLog

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1803 [10.0.17134] и более поздние
./Device/Vendor/MSFT/Policy/Config/UserRights/ManageAuditingAndSecurityLog

Это право определяет, какие пользователи могут указывать параметры аудита доступа к объектам для отдельных ресурсов, таких как файлы, объекты Active Directory и разделы реестра. Этот параметр безопасности не позволяет пользователю включать аудит доступа к файлам и объектам в целом. События аудита можно просмотреть в журнале безопасности Просмотр событий. Пользователь с этой привилегией также может просматривать и очищать журнал безопасности.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат chr (строка)
Тип доступа Добавить, удалить, получить, заменить
Допустимые значения Список (разделитель: 0xF000)

Сопоставление групповой политики:

Имя Значение
Имя Управление журналом аудита и безопасности
Путь Параметры > Windows Параметры безопасности Локальные > политики > Назначение прав пользователя

ManageVolume

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1803 [10.0.17134] и более поздние
./Device/Vendor/MSFT/Policy/Config/UserRights/ManageVolume

Это право пользователя определяет, какие пользователи и группы могут выполнять задачи обслуживания на томе, например удаленная дефрагментация. Будьте осторожны при назначении этого права пользователя. Пользователи с этим правом могут просматривать диски и расширять файлы в памяти, содержащей другие данные. При открытии расширенных файлов пользователь может считывать и изменять полученные данные.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат chr (строка)
Тип доступа Добавить, удалить, получить, заменить
Допустимые значения Список (разделитель: 0xF000)

Сопоставление групповой политики:

Имя Значение
Имя Выполнение задач по обслуживанию томов
Путь Параметры > Windows Параметры безопасности Локальные > политики > Назначение прав пользователя

ModifyFirmwareEnvironment

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1803 [10.0.17134] и более поздние
./Device/Vendor/MSFT/Policy/Config/UserRights/ModifyFirmwareEnvironment

Это право пользователя определяет, кто может изменять значения среды встроенного ПО. Переменные среды встроенного ПО — это параметры, хранящиеся в неизменяемой ОЗУ компьютеров, отличных от x86. Эффект настройки зависит от процессора. На компьютерах с архитектурой x86 единственным значением среды встроенного ПО, которое можно изменить, назначив это право пользователя, является параметр Последнее известное значение конфигурации, которое должно быть изменено только системой. На компьютерах под управлением Itanium сведения о загрузке хранятся в неизменяемой оперативной памяти. Пользователям должно быть назначено это право пользователя для запуска bootcfg.exe и изменения параметра Операционная система по умолчанию при запуске и восстановлении в свойствах системы. На всех компьютерах это право пользователя необходимо для установки или обновления Windows.

Примечание.

Этот параметр безопасности не влияет на пользователей, которые могут изменять системные переменные среды и пользовательские переменные среды, отображаемые на вкладке Дополнительно в разделе Свойства системы.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат chr (строка)
Тип доступа Добавить, удалить, получить, заменить
Допустимые значения Список (разделитель: 0xF000)

Сопоставление групповой политики:

Имя Значение
Имя Изменение параметров среды изготовителя
Путь Параметры > Windows Параметры безопасности Локальные > политики > Назначение прав пользователя

ModifyObjectLabel

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1803 [10.0.17134] и более поздние
./Device/Vendor/MSFT/Policy/Config/UserRights/ModifyObjectLabel

Это право пользователя определяет, какие учетные записи пользователей могут изменять метку целостности объектов, таких как файлы, разделы реестра или процессы, принадлежащие другим пользователям. Процессы, выполняемые под учетной записью пользователя, могут изменять метку объекта, принадлежащего этому пользователю, на более низкий уровень без этой привилегии.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат chr (строка)
Тип доступа Добавить, удалить, получить, заменить
Допустимые значения Список (разделитель: 0xF000)

Сопоставление групповой политики:

Имя Значение
Имя Изменение метки объекта
Путь Параметры > Windows Параметры безопасности Локальные > политики > Назначение прав пользователя

ProfileSingleProcess

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1803 [10.0.17134] и более поздние
./Device/Vendor/MSFT/Policy/Config/UserRights/ProfileSingleProcess

Это право пользователя определяет, какие пользователи могут использовать средства мониторинга производительности для мониторинга производительности системных процессов.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат chr (строка)
Тип доступа Добавить, удалить, получить, заменить
Допустимые значения Список (разделитель: 0xF000)

Сопоставление групповой политики:

Имя Значение
Имя Профилирование одного процесса
Путь Параметры > Windows Параметры безопасности Локальные > политики > Назначение прав пользователя

ProfileSystemPerformance

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 11, версия 24H2 [10.0.26100] и более поздние
./Device/Vendor/MSFT/Policy/Config/UserRights/ProfileSystemPerformance

Этот параметр безопасности определяет, какие пользователи могут использовать средства мониторинга производительности для мониторинга производительности системных процессов.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат chr (строка)
Тип доступа Добавить, удалить, получить, заменить
Допустимые значения Список (разделитель: 0xF000)

Сопоставление групповой политики:

Имя Значение
Имя Профилирование производительности системы
Путь Параметры > Windows Параметры безопасности Локальные > политики > Назначение прав пользователя

RemoteShutdown

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1803 [10.0.17134] и более поздние
./Device/Vendor/MSFT/Policy/Config/UserRights/RemoteShutdown

Это право пользователя определяет, каким пользователям разрешено завершить работу компьютера из удаленного расположения в сети. Неправильное использование этого права пользователя может привести к отказу в обслуживании.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат chr (строка)
Тип доступа Добавить, удалить, получить, заменить
Допустимые значения Список (разделитель: 0xF000)

Сопоставление групповой политики:

Имя Значение
Имя Принудительное удаленное завершение работы
Путь Параметры > Windows Параметры безопасности Локальные > политики > Назначение прав пользователя

ReplaceProcessLevelToken

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 11, версия 24H2 [10.0.26100] и более поздние
./Device/Vendor/MSFT/Policy/Config/UserRights/ReplaceProcessLevelToken

Этот параметр безопасности определяет, какие учетные записи пользователей могут вызывать программный интерфейс приложения (API) CreateProcessAsUser(), чтобы одна служба могла запустить другую. Примером процесса, использующего это право пользователя, является Планировщик задач. Сведения о планировщике задач см. в статье Общие сведения о планировщике задач.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат chr (строка)
Тип доступа Добавить, удалить, получить, заменить
Допустимые значения Список (разделитель: 0xF000)

Сопоставление групповой политики:

Имя Значение
Имя Замена маркера уровня процесса
Путь Параметры > Windows Параметры безопасности Локальные > политики > Назначение прав пользователя

RestoreFilesAndDirectories

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1803 [10.0.17134] и более поздние
./Device/Vendor/MSFT/Policy/Config/UserRights/RestoreFilesAndDirectories

Это право пользователя определяет, какие пользователи могут обходить разрешения файлов, каталогов, реестра и других постоянных объектов при восстановлении резервных копий файлов и каталогов, а также определяет, какие пользователи могут задать любого допустимого субъекта безопасности в качестве владельца объекта. В частности, это право пользователя похоже на предоставление пользователю или группе указанных ниже разрешений на все файлы и папки в системе:Обход папки/Выполнение файла, Запись.

Предостережение

Назначение этого права пользователя может быть угрозой безопасности. Так как пользователи с этим правом могут перезаписывать параметры реестра, скрывать данные и получать права владения системными объектами, назначьте это право только доверенным пользователям.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат chr (строка)
Тип доступа Добавить, удалить, получить, заменить
Допустимые значения Список (разделитель: 0xF000)

Сопоставление групповой политики:

Имя Значение
Имя Восстановление файлов и каталогов
Путь Параметры > Windows Параметры безопасности Локальные > политики > Назначение прав пользователя

ShutDownTheSystem

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 11, версия 24H2 [10.0.26100] и более поздние
./Device/Vendor/MSFT/Policy/Config/UserRights/ShutDownTheSystem

Этот параметр безопасности определяет, какие пользователи, выполнившие локальный вход на компьютер, могут завершить работу операционной системы с помощью команды Завершение работы. Неправильное использование этого права пользователя может привести к отказу в обслуживании.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат chr (строка)
Тип доступа Добавить, удалить, получить, заменить
Допустимые значения Список (разделитель: 0xF000)

Сопоставление групповой политики:

Имя Значение
Имя Завершение работы системы
Путь Параметры > Windows Параметры безопасности Локальные > политики > Назначение прав пользователя

TakeOwnership

Область применения Выпуски Применимая ОС
Устройство ✅
Пользователь ❌
✅ Pro
✅ Enterprise
✅ для образования
✅ Windows SE
✅ IIoT Enterprise или IoT Enterprise LTSC
✅Windows 10, версия 1803 [10.0.17134] и более поздние
./Device/Vendor/MSFT/Policy/Config/UserRights/TakeOwnership

Это право пользователя определяет, какие пользователи могут владеть любым защищаемым объектом в системе, включая объекты Active Directory, файлы и папки, принтеры, разделы реестра, процессы и потоки.

Предостережение

Назначение этого права пользователя может быть угрозой безопасности. Так как владельцы объектов имеют полный контроль над ними, назначьте это право только доверенным пользователям.

Описание свойств инфраструктуры:

Имя свойства Значение свойства
Формат chr (строка)
Тип доступа Добавить, удалить, получить, заменить
Допустимые значения Список (разделитель: 0xF000)

Сопоставление групповой политики:

Имя Значение
Имя Смена владельцев файлов и других объектов
Путь Параметры > Windows Параметры безопасности Локальные > политики > Назначение прав пользователя

Поставщик служб конфигурации политики