策略 CSP - UserRights

为用户帐户或组分配用户权限。 策略的名称定义有问题的用户权限,值始终为用户或组。 值可以表示为安全标识符 (SID) 或字符串。 有关详细信息,请参阅 已知 SID 结构

尽管已知帐户和组支持字符串,但最好使用 SID,因为字符串已针对不同的语言进行了本地化。 某些用户权限允许 AccessFromNetwork 等内容,而另一些用户权限则不允许使用 DenyAccessFromNetwork 等内容。

常规示例

下面是为管理员和经过身份验证的用户组设置用户权限 BackupFilesAndDirectories 的示例。

<SyncML xmlns="SYNCML:SYNCML1.2">

<SyncBody>
    <Replace>
      <CmdID>2</CmdID>
      <Item>
        <Meta>
          <Format>chr</Format>
          <Type>text/plain</Type>
        </Meta>
        <Target>
          <LocURI>./Device/Vendor/MSFT/Policy/Config/UserRights/BackupFilesAndDirectories</LocURI>
        </Target>
        <Data>Authenticated Users&#xF000;Administrators</Data>
      </Item>
    </Replace>
  <Final/>
  </SyncBody>
</SyncML>

下面是数据字段的示例。 编码 0xF000 的 是标准分隔符/分隔符。

  • 通过 SID 授予管理员组的用户权限:

    <Data>*S-1-5-32-544</Data>
    
  • 通过 SID 向多个组授予用户权限, (管理员、经过身份验证的用户) :

    <Data>*S-1-5-32-544&#xF000;*S-1-5-11</Data>
    
  • 将用户权限授予多个组, (管理员、通过混合 SID 和字符串) 经过身份验证的用户:

    <Data>*S-1-5-32-544&#xF000;Authenticated Users</Data>
    
  • 将用户权限授予多个组, (经过身份验证的用户、管理员通过字符串) :

    <Data>Authenticated Users&#xF000;Administrators</Data>
    
  • 空输入表示没有将用户配置为具有该用户权限的用户:

    <Data></Data>
    

如果使用Intune自定义配置文件来分配 UserRights 策略,则必须使用 CDATA 标记 (<![CDATA[...]]>) 来包装数据字段。 可以使用 作为分隔符/分隔符,在 CDATA 标记 0xF000 中指定一个或多个用户组。

注意

&#xF000; 是 的 0xF000实体编码。

例如,以下语法向经过身份验证的用户和复制者用户组授予用户权限:

<![CDATA[Authenticated Users&#xF000;Replicator]]>

例如,以下语法向 Contoso、user1 和 user2 中的两个特定Microsoft Entra用户授予用户权限:

<![CDATA[AzureAD\user1@contoso.com&#xF000;AzureAD\user2@contoso.com]]>

例如,以下语法通过使用帐户或组的 SID 向特定用户或组授予用户权限:

<![CDATA[*S-1-12-1-430441778-1204322964-3914475434-3271576427&#xF000;*S-1-12-1-2699785510-1240757380-4153857927-656075536]]>

AccessCredentialManagerAsTrustedCaller

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1803 [10.0.17134] 及更高版本
./Device/Vendor/MSFT/Policy/Config/UserRights/AccessCredentialManagerAsTrustedCaller

此用户权限由凭据管理器在备份/还原期间使用。 任何帐户都不应具有此权限,因为它仅分配给 Winlogon。 如果将此权限授予其他实体,则用户的已保存凭据可能会泄露。

描述框架属性:

属性名 属性值
格式 chr (字符串)
访问类型 添加、删除、获取、替换
允许的值 列表 (分隔符: 0xF000)

组策略映射:

名称
名称 作为受信任的调用方访问凭据管理器
路径 Windows 设置 > 安全设置 > 本地策略 > 用户权限分配

AccessFromNetwork

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1803 [10.0.17134] 及更高版本
./Device/Vendor/MSFT/Policy/Config/UserRights/AccessFromNetwork

此用户权限确定允许哪些用户和组通过网络连接到计算机。 远程桌面服务不受此用户权限的影响。

注意

在早期版本的 Windows Server 中,远程桌面服务称为终端服务。

描述框架属性:

属性名 属性值
格式 chr (字符串)
访问类型 添加、删除、获取、替换
允许的值 列表 (分隔符: 0xF000)

组策略映射:

名称
名称 从网络访问此计算机
路径 Windows 设置 > 安全设置 > 本地策略 > 用户权限分配

ActAsPartOfTheOperatingSystem

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1803 [10.0.17134] 及更高版本
./Device/Vendor/MSFT/Policy/Config/UserRights/ActAsPartOfTheOperatingSystem

此用户权限允许进程在不进行身份验证的情况下模拟任何用户。 因此,该过程可以访问与该用户相同的本地资源。 需要此权限的进程应使用已包含此权限的 LocalSystem 帐户,而不是使用专门分配有此权限的单独用户帐户。

注意

分配此用户权限可能会面临安全风险。 仅将此用户权限分配给受信任的用户。

描述框架属性:

属性名 属性值
格式 chr (字符串)
访问类型 添加、删除、获取、替换
允许的值 列表 (分隔符: 0xF000)

组策略映射:

名称
名称 作为操作系统的一部分运行
路径 Windows 设置 > 安全设置 > 本地策略 > 用户权限分配

AdjustMemoryQuotasForProcess

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 11版本 24H2 [10.0.26100] 及更高版本
./Device/Vendor/MSFT/Policy/Config/UserRights/AdjustMemoryQuotasForProcess

调整进程的内存配额 - 此权限确定谁可以更改进程可以使用的最大内存。 此权限对于基于组或用户的系统优化非常有用。

描述框架属性:

属性名 属性值
格式 chr (字符串)
访问类型 添加、删除、获取、替换
允许的值 列表 (分隔符: 0xF000)

组策略映射:

名称
名称 为进程调整内存配额
路径 Windows 设置 > 安全设置 > 本地策略 > 用户权限分配

AllowLocalLogOn

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1803 [10.0.17134] 及更高版本
./Device/Vendor/MSFT/Policy/Config/UserRights/AllowLocalLogOn

此用户权限确定哪些用户可以登录到计算机。

注意

修改此设置可能会影响与客户端、服务和应用程序的兼容性。 有关此设置的兼容性信息,请参阅 Microsoft 网站上的允许本地登录 (https://go.microsoft.com/fwlink/?LinkId=24268 ) 。

描述框架属性:

属性名 属性值
格式 chr (字符串)
访问类型 添加、删除、获取、替换
允许的值 列表 (分隔符: 0xF000)

组策略映射:

名称
名称 允许本地登录
路径 Windows 设置 > 安全设置 > 本地策略 > 用户权限分配

AllowLogOnThroughRemoteDesktop

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 11版本 24H2 [10.0.26100] 及更高版本
./Device/Vendor/MSFT/Policy/Config/UserRights/AllowLogOnThroughRemoteDesktop

允许通过远程桌面服务登录 - 此策略设置确定哪些用户或组可以通过远程桌面服务连接访问远程设备的登录屏幕。

描述框架属性:

属性名 属性值
格式 chr (字符串)
访问类型 添加、删除、获取、替换
允许的值 列表 (分隔符: 0xF000)

组策略映射:

名称
名称 允许通过远程桌面服务登录
路径 Windows 设置 > 安全设置 > 本地策略 > 用户权限分配

BackupFilesAndDirectories

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1803 [10.0.17134] 及更高版本
./Device/Vendor/MSFT/Policy/Config/UserRights/BackupFilesAndDirectories

此用户权限确定哪些用户在备份文件和目录时可以绕过文件、目录、注册表和其他永久性对象权限。 具体而言,此用户权限类似于向相关用户或组授予系统上所有文件和文件夹的以下权限:遍历文件夹/执行文件、读取。

注意

分配此用户权限可能会面临安全风险。 由于具有此用户权限的用户可以读取任何注册表设置和文件,因此仅将此用户权限分配给受信任的用户。

描述框架属性:

属性名 属性值
格式 chr (字符串)
访问类型 添加、删除、获取、替换
允许的值 列表 (分隔符: 0xF000)

组策略映射:

名称
名称 备份文件和目录
路径 Windows 设置 > 安全设置 > 本地策略 > 用户权限分配

BypassTraverseChecking

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 11版本 24H2 [10.0.26100] 及更高版本
./Device/Vendor/MSFT/Policy/Config/UserRights/BypassTraverseChecking

此用户权限确定哪些用户可以遍历目录树,即使该用户可能没有遍历目录的权限。 此权限不允许用户列出目录的内容,而只能遍历目录。

描述框架属性:

属性名 属性值
格式 chr (字符串)
访问类型 添加、删除、获取、替换
允许的值 列表 (分隔符: 0xF000)

组策略映射:

名称
名称 跳过遍历检查
路径 Windows 设置 > 安全设置 > 本地策略 > 用户权限分配

ChangeSystemTime

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1803 [10.0.17134] 及更高版本
./Device/Vendor/MSFT/Policy/Config/UserRights/ChangeSystemTime

此用户权限确定哪些用户和组可以更改计算机内部时钟上的时间和日期。 分配此用户权限的用户可能会影响事件日志的外观。 如果系统时间发生更改,则记录的事件将反映此新时间,而不是事件发生的实际时间。

注意

配置用户权限时,它将替换以前分配给这些用户权限的现有用户或组。 系统要求 本地服务 帐户 (SID S-1-5-19) 始终具有 ChangeSystemTime 权限。 除了需要在此策略中配置的任何其他帐户外,始终指定 本地服务

如果未包含 本地服务 帐户,则请求失败并出现以下错误:

错误代码 符号名称 错误说明 标题
0x80070032 (十六进制) ERROR_NOT_SUPPORTED 不支持该请求。 winerror.h

描述框架属性:

属性名 属性值
格式 chr (字符串)
访问类型 添加、删除、获取、替换
允许的值 列表 (分隔符: 0xF000)

组策略映射:

名称
名称 更改系统时间
路径 Windows 设置 > 安全设置 > 本地策略 > 用户权限分配

ChangeTimeZone

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 11版本 24H2 [10.0.26100] 及更高版本
./Device/Vendor/MSFT/Policy/Config/UserRights/ChangeTimeZone

此用户权限确定哪些用户和组可以更改计算机用于显示本地时间的时区,即计算机的系统时间加上时区偏移量。 系统时间本身是绝对的,不受时区更改的影响。

描述框架属性:

属性名 属性值
格式 chr (字符串)
访问类型 添加、删除、获取、替换
允许的值 列表 (分隔符: 0xF000)

组策略映射:

名称
名称 更改时区
路径 Windows 设置 > 安全设置 > 本地策略 > 用户权限分配

CreateGlobalObjects

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1803 [10.0.17134] 及更高版本
./Device/Vendor/MSFT/Policy/Config/UserRights/CreateGlobalObjects

此安全设置确定用户是否可以创建可用于所有会话的全局对象。 如果用户没有此用户权限,则仍可以创建特定于其自己的会话的对象。 可以创建全局对象的用户可能会影响在其他用户会话下运行的进程,这可能导致应用程序故障或数据损坏。

注意

分配此用户权限可能会面临安全风险。 仅将此用户权限分配给受信任的用户。

描述框架属性:

属性名 属性值
格式 chr (字符串)
访问类型 添加、删除、获取、替换
允许的值 列表 (分隔符: 0xF000)

组策略映射:

名称
名称 创建全局对象
路径 Windows 设置 > 安全设置 > 本地策略 > 用户权限分配

CreatePageFile

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1803 [10.0.17134] 及更高版本
./Device/Vendor/MSFT/Policy/Config/UserRights/CreatePageFile

此用户权限确定哪些用户和组可以调用内部应用程序编程接口 (API) 来创建和更改页面文件的大小。 此用户权限由操作系统在内部使用,通常不需要分配给任何用户。

描述框架属性:

属性名 属性值
格式 chr (字符串)
访问类型 添加、删除、获取、替换
允许的值 列表 (分隔符: 0xF000)

组策略映射:

名称
名称 创建页面文件
路径 Windows 设置 > 安全设置 > 本地策略 > 用户权限分配

CreatePermanentSharedObjects

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1803 [10.0.17134] 及更高版本
./Device/Vendor/MSFT/Policy/Config/UserRights/CreatePermanentSharedObjects

此用户权限确定进程可以使用哪些帐户使用对象管理器创建目录对象。 此用户权限由操作系统在内部使用,对于扩展对象命名空间的内核模式组件非常有用。 由于在内核模式下运行的组件已向其分配了此用户权限,因此无需专门分配它。

描述框架属性:

属性名 属性值
格式 chr (字符串)
访问类型 添加、删除、获取、替换
允许的值 列表 (分隔符: 0xF000)

组策略映射:

名称
名称 创建永久共享对象
路径 Windows 设置 > 安全设置 > 本地策略 > 用户权限分配
范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1803 [10.0.17134] 及更高版本
./Device/Vendor/MSFT/Policy/Config/UserRights/CreateSymbolicLinks

此用户权限确定用户是否可以从其登录的计算机创建符号链接。

注意

此权限应仅授予受信任的用户。 符号链接可能会暴露应用程序中的安全漏洞,这些安全漏洞不是用来处理这些漏洞的。

注意

此设置可以与符号链接文件系统设置结合使用,该设置可通过命令行实用工具进行操作,以控制计算机上允许的符号链接类型。 键入“fsutil behavior set symlinkevaluation /?” 获取有关 fsutil 和符号链接的详细信息。

描述框架属性:

属性名 属性值
格式 chr (字符串)
访问类型 添加、删除、获取、替换
允许的值 列表 (分隔符: 0xF000)

组策略映射:

名称
名称 创建符号链接
路径 Windows 设置 > 安全设置 > 本地策略 > 用户权限分配

CreateToken

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1803 [10.0.17134] 及更高版本
./Device/Vendor/MSFT/Policy/Config/UserRights/CreateToken

此用户权限确定进程可以使用哪些帐户来创建令牌,当进程使用内部应用程序编程接口 (API) 创建访问令牌时,该令牌可用于获取对任何本地资源的访问。 此用户权限由操作系统在内部使用。 除非有必要,否则不要将此用户权限分配给本地系统以外的用户、组或进程。

注意

分配此用户权限可能会面临安全风险。 不要将此用户权限分配给你不希望接管系统的任何用户、组或进程。

描述框架属性:

属性名 属性值
格式 chr (字符串)
访问类型 添加、删除、获取、替换
允许的值 列表 (分隔符: 0xF000)

组策略映射:

名称
名称 创建令牌对象
路径 Windows 设置 > 安全设置 > 本地策略 > 用户权限分配

DebugPrograms

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1803 [10.0.17134] 及更高版本
./Device/Vendor/MSFT/Policy/Config/UserRights/DebugPrograms

此用户权限确定哪些用户可以将调试器附加到任何进程或内核。 调试自己的应用程序的开发人员无需分配此用户权限。 调试新系统组件的开发人员需要此用户权限才能执行此操作。 此用户权限提供对敏感和关键操作系统组件的完全访问权限。

注意

分配此用户权限可能会面临安全风险。 仅将此用户权限分配给受信任的用户。

描述框架属性:

属性名 属性值
格式 chr (字符串)
访问类型 添加、删除、获取、替换
允许的值 列表 (分隔符: 0xF000)

组策略映射:

名称
名称 调试程序
路径 Windows 设置 > 安全设置 > 本地策略 > 用户权限分配

DenyAccessFromNetwork

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1803 [10.0.17134] 及更高版本
./Device/Vendor/MSFT/Policy/Config/UserRights/DenyAccessFromNetwork

此用户权限确定阻止哪些用户通过网络访问计算机。 如果用户帐户受这两个策略的约束,则此策略设置将取代“从网络访问此计算机”策略设置。

描述框架属性:

属性名 属性值
格式 chr (字符串)
访问类型 添加、删除、获取、替换
允许的值 列表 (分隔符: 0xF000)

组策略映射:

名称
名称 拒绝从网络访问这台计算机
路径 Windows 设置 > 安全设置 > 本地策略 > 用户权限分配

DenyLocalLogOn

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1803 [10.0.17134] 及更高版本
./Device/Vendor/MSFT/Policy/Config/UserRights/DenyLocalLogOn

此安全设置确定阻止哪些服务帐户将进程注册为服务。

注意

此安全设置不适用于系统、本地服务或网络服务帐户。

描述框架属性:

属性名 属性值
格式 chr (字符串)
访问类型 添加、删除、获取、替换
允许的值 列表 (分隔符: 0xF000)

组策略映射:

名称
名称 拒绝以服务身份登录
路径 Windows 设置 > 安全设置 > 本地策略 > 用户权限分配

DenyLogOnAsBatchJob

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 11版本 24H2 [10.0.26100] 及更高版本
./Device/Vendor/MSFT/Policy/Config/UserRights/DenyLogOnAsBatchJob

此安全设置确定哪些帐户无法作为批处理作业登录。 如果用户帐户受这两个策略的约束,则此策略设置将取代作为批处理作业登录策略设置。

描述框架属性:

属性名 属性值
格式 chr (字符串)
访问类型 添加、删除、获取、替换
允许的值 列表 (分隔符: 0xF000)

组策略映射:

名称
名称 拒绝作为批处理作业登录
路径 Windows 设置 > 安全设置 > 本地策略 > 用户权限分配

DenyLogOnAsService

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 11版本 24H2 [10.0.26100] 及更高版本
./Device/Vendor/MSFT/Policy/Config/UserRights/DenyLogOnAsService

拒绝作为服务登录 - 此安全设置确定阻止哪些服务帐户将进程注册为服务。 如果帐户受这两个策略的约束,则此策略设置将取代“以服务身份登录”策略设置。

注意

此安全设置不适用于系统、本地服务或网络服务帐户。 默认值:无。

描述框架属性:

属性名 属性值
格式 chr (字符串)
访问类型 添加、删除、获取、替换
允许的值 列表 (分隔符: 0xF000)

组策略映射:

名称
名称 拒绝以服务身份登录
路径 Windows 设置 > 安全设置 > 本地策略 > 用户权限分配

DenyRemoteDesktopServicesLogOn

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1803 [10.0.17134] 及更高版本
./Device/Vendor/MSFT/Policy/Config/UserRights/DenyRemoteDesktopServicesLogOn

此用户权限确定禁止哪些用户和组作为远程桌面服务客户端登录。

描述框架属性:

属性名 属性值
格式 chr (字符串)
访问类型 添加、删除、获取、替换
允许的值 列表 (分隔符: 0xF000)

组策略映射:

名称
名称 拒绝通过远程桌面服务登录
路径 Windows 设置 > 安全设置 > 本地策略 > 用户权限分配

EnableDelegation

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1803 [10.0.17134] 及更高版本
./Device/Vendor/MSFT/Policy/Config/UserRights/EnableDelegation

此用户权限确定哪些用户可以在用户或计算机对象上设置“受信任的委派”设置。 授予此权限的用户或对象必须对用户或计算机对象上的帐户控制标志具有写入访问权限。 在 (或用户上下文) 的计算机上运行的服务器进程可以使用客户端的委托凭据访问另一台计算机上的资源,前提是客户端帐户未设置帐户无法委派帐户控制标志。

注意

滥用此用户权限或“受信任的委派”设置,可能会使网络容易受到使用特洛伊木马程序(这些程序模拟传入客户端并使用其凭据获取对网络资源的访问权限)的复杂攻击。

描述框架属性:

属性名 属性值
格式 chr (字符串)
访问类型 添加、删除、获取、替换
允许的值 列表 (分隔符: 0xF000)

组策略映射:

名称
名称 信任计算机和用户帐户可以执行委派
路径 Windows 设置 > 安全设置 > 本地策略 > 用户权限分配

GenerateSecurityAudits

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1803 [10.0.17134] 及更高版本
./Device/Vendor/MSFT/Policy/Config/UserRights/GenerateSecurityAudits

此用户权限确定进程可以使用哪些帐户向安全日志添加条目。 安全日志用于跟踪未经授权的系统访问。 滥用此用户权限可能会导致生成许多审核事件,从而可能隐藏攻击证据或导致拒绝服务。 如果无法记录安全审核,请立即关闭系统,启用安全策略设置。

描述框架属性:

属性名 属性值
格式 chr (字符串)
访问类型 添加、删除、获取、替换
允许的值 列表 (分隔符: 0xF000)

组策略映射:

名称
名称 生成安全审核
路径 Windows 设置 > 安全设置 > 本地策略 > 用户权限分配

ImpersonateClient

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1803 [10.0.17134] 及更高版本
./Device/Vendor/MSFT/Policy/Config/UserRights/ImpersonateClient

将此用户权限分配给某个用户允许代表该用户运行的程序模拟客户端。 要求此用户权限进行此类模拟可以防止未经授权的用户说服客户端连接 (,例如,通过远程过程调用 (RPC) 或命名管道) 他们创建的服务,然后模拟该客户端,这可能会将未经授权的用户的权限提升到管理或系统级别。

注意

分配此用户权限可能会面临安全风险。 仅将此用户权限分配给受信任的用户。

注意

默认情况下,由服务控制管理器启动的服务将内置服务组添加到其访问令牌中。 组件对象模型 (COM) 由 COM 基础结构启动并配置为在特定帐户下运行的服务器也将服务组添加到其访问令牌。 因此,这些服务在启动时立即获取此用户。 此外,如果存在以下任一条件,用户还可以模拟访问令牌。 1) 要模拟的访问令牌是针对此用户的。 2) 用户在此登录会话中,通过使用显式凭据登录到网络创建了访问令牌。 3) 请求的级别小于“模拟”,例如“匿名”或“标识”。 由于这些因素,用户通常不需要此用户权限。

警告

如果启用此设置,以前具有 Impersonate 权限的程序可能会丢失该权限,并且它们可能无法运行。

描述框架属性:

属性名 属性值
格式 chr (字符串)
访问类型 添加、删除、获取、替换
允许的值 列表 (分隔符: 0xF000)

组策略映射:

名称
名称 身份验证后模拟客户端
路径 Windows 设置 > 安全设置 > 本地策略 > 用户权限分配

IncreaseProcessWorkingSet

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 11版本 24H2 [10.0.26100] 及更高版本
./Device/Vendor/MSFT/Policy/Config/UserRights/IncreaseProcessWorkingSet

增加进程工作集。 此权限确定哪些用户帐户可以增加或减小进程的工作集的大小。 进程的工作集是物理 RAM 内存中进程当前可见的内存页集。 这些页面是常驻的,可供应用程序使用,而不会触发页面错误。 最小和最大工作集大小会影响进程的虚拟内存分页行为。

警告

增加进程的工作集大小会减少系统其余部分可用的物理内存量。

描述框架属性:

属性名 属性值
格式 chr (字符串)
访问类型 添加、删除、获取、替换
允许的值 列表 (分隔符: 0xF000)

组策略映射:

名称
名称 增加进程工作集
路径 Windows 设置 > 安全设置 > 本地策略 > 用户权限分配

IncreaseSchedulingPriority

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1803 [10.0.17134] 及更高版本
./Device/Vendor/MSFT/Policy/Config/UserRights/IncreaseSchedulingPriority

此用户权限确定哪些帐户可以使用对另一个进程具有写入属性访问权限的进程,以增加分配给其他进程的执行优先级。 具有此权限的用户可以通过任务管理器用户界面更改进程的计划优先级。

警告

如果从“增加计划优先级”用户权限中删除“窗口管理器”\“窗口管理器组”,某些应用程序和计算机将无法正常运行。 具体而言,INK 工作区在统一内存体系结构 (UMA) 笔记本电脑和台式计算机上无法正常运行,这些计算机运行Windows 10版本 1903 或更高版本并使用 Intel GFX 驱动程序。

在受影响的计算机上,当用户在 INK 工作区(如 Microsoft Edge、Microsoft PowerPoint 或 Microsoft OneNote 使用的工作区)上绘图时,屏幕会闪烁。 发生闪烁的原因是与墨迹书写相关的进程反复尝试使用 Real-Time 优先级,但权限被拒绝。

描述框架属性:

属性名 属性值
格式 chr (字符串)
访问类型 添加、删除、获取、替换
允许的值 列表 (分隔符: 0xF000)

组策略映射:

名称
名称 提高计划优先级
路径 Windows 设置 > 安全设置 > 本地策略 > 用户权限分配

LoadUnloadDeviceDrivers

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1803 [10.0.17134] 及更高版本
./Device/Vendor/MSFT/Policy/Config/UserRights/LoadUnloadDeviceDrivers

此用户权限确定哪些用户可以在内核模式下动态加载和卸载设备驱动程序或其他代码。 此用户权限不适用于即插即用设备驱动程序。 建议不要将此权限分配给其他用户。

注意

分配此用户权限可能会面临安全风险。 不要将此用户权限分配给你不希望接管系统的任何用户、组或进程。

描述框架属性:

属性名 属性值
格式 chr (字符串)
访问类型 添加、删除、获取、替换
允许的值 列表 (分隔符: 0xF000)

组策略映射:

名称
名称 加载和卸载设备驱动程序
路径 Windows 设置 > 安全设置 > 本地策略 > 用户权限分配

LockMemory

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1803 [10.0.17134] 及更高版本
./Device/Vendor/MSFT/Policy/Config/UserRights/LockMemory

此用户权限确定哪些帐户可以使用进程将数据保留在物理内存中,从而防止系统将数据分页到磁盘上的虚拟内存。 通过减少 RAM) 的可用随机访问内存量 (,行使此特权可能会显著影响系统性能。

描述框架属性:

属性名 属性值
格式 chr (字符串)
访问类型 添加、删除、获取、替换
允许的值 列表 (分隔符: 0xF000)

组策略映射:

名称
名称 将页锁定在内存
路径 Windows 设置 > 安全设置 > 本地策略 > 用户权限分配

LogOnAsBatchJob

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 11版本 24H2 [10.0.26100] 及更高版本
./Device/Vendor/MSFT/Policy/Config/UserRights/LogOnAsBatchJob

此安全设置允许用户通过批处理队列工具登录,并且仅用于与旧版 Windows 的兼容性。 例如,当用户通过任务计划程序提交作业时,任务计划程序会将该用户作为批处理用户而不是交互式用户登录。

描述框架属性:

属性名 属性值
格式 chr (字符串)
访问类型 添加、删除、获取、替换
允许的值 列表 (分隔符: 0xF000)

组策略映射:

名称
名称 作为批处理作业登录
路径 Windows 设置 > 安全设置 > 本地策略 > 用户权限分配

LogOnAsService

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 11版本 24H2 [10.0.26100] 及更高版本
./Device/Vendor/MSFT/Policy/Config/UserRights/LogOnAsService

此安全设置允许安全主体作为服务登录。 可以将服务配置为在本地系统、本地服务或网络服务帐户下运行,这些帐户具有作为服务登录的内置权限。 必须在单独的用户帐户下运行的任何服务分配权限。

描述框架属性:

属性名 属性值
格式 chr (字符串)
访问类型 添加、删除、获取、替换
允许的值 列表 (分隔符: 0xF000)

组策略映射:

名称
名称 作为服务登录
路径 Windows 设置 > 安全设置 > 本地策略 > 用户权限分配

ManageAuditingAndSecurityLog

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1803 [10.0.17134] 及更高版本
./Device/Vendor/MSFT/Policy/Config/UserRights/ManageAuditingAndSecurityLog

此用户权限确定哪些用户可以为单个资源(例如文件、Active Directory 对象和注册表项)指定对象访问审核选项。 通常,此安全设置不允许用户启用文件和对象访问审核。 可以在事件查看器的安全日志中查看审核的事件。 具有此权限的用户还可以查看和清除安全日志。

描述框架属性:

属性名 属性值
格式 chr (字符串)
访问类型 添加、删除、获取、替换
允许的值 列表 (分隔符: 0xF000)

组策略映射:

名称
名称 管理审核和安全日志
路径 Windows 设置 > 安全设置 > 本地策略 > 用户权限分配

ManageVolume

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1803 [10.0.17134] 及更高版本
./Device/Vendor/MSFT/Policy/Config/UserRights/ManageVolume

此用户权限确定哪些用户和组可以在卷上运行维护任务,例如远程碎片整理。 分配此用户权限时请谨慎。 具有此用户权限的用户可以浏览磁盘,并将中的文件扩展到包含其他数据的内存。 打开扩展文件后,用户可能能够读取和修改获取的数据。

描述框架属性:

属性名 属性值
格式 chr (字符串)
访问类型 添加、删除、获取、替换
允许的值 列表 (分隔符: 0xF000)

组策略映射:

名称
名称 执行批量维护任务
路径 Windows 设置 > 安全设置 > 本地策略 > 用户权限分配

ModifyFirmwareEnvironment

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1803 [10.0.17134] 及更高版本
./Device/Vendor/MSFT/Policy/Config/UserRights/ModifyFirmwareEnvironment

此用户权限确定谁可以修改固件环境值。 固件环境变量是存储在非基于 x86 的计算机的非易失性 RAM 中的设置。 设置的效果取决于处理器。 在基于 x86 的计算机上,唯一可以通过分配此用户权限修改的固件环境值是“上次已知良好配置”设置,它只能由系统修改。 在基于 Itanium 的计算机上,启动信息存储在非易失性 RAM 中。 必须向用户分配此用户权限才能运行 bootcfg.exe,并在“系统属性”中更改“启动”和“恢复”上的“默认操作系统”设置。 在所有计算机上,安装或升级 Windows 都需要此用户权限。

注意

此安全设置不会影响谁可以修改“系统属性”的“高级”选项卡上显示的系统环境变量和用户环境变量。

描述框架属性:

属性名 属性值
格式 chr (字符串)
访问类型 添加、删除、获取、替换
允许的值 列表 (分隔符: 0xF000)

组策略映射:

名称
名称 修改固件环境值
路径 Windows 设置 > 安全设置 > 本地策略 > 用户权限分配

ModifyObjectLabel

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1803 [10.0.17134] 及更高版本
./Device/Vendor/MSFT/Policy/Config/UserRights/ModifyObjectLabel

此用户权限确定哪些用户帐户可以修改对象(例如文件、注册表项或其他用户拥有的进程)的完整性标签。 在用户帐户下运行的进程可以将该用户拥有的对象的标签修改为没有此权限的较低级别。

描述框架属性:

属性名 属性值
格式 chr (字符串)
访问类型 添加、删除、获取、替换
允许的值 列表 (分隔符: 0xF000)

组策略映射:

名称
名称 修改对象标签
路径 Windows 设置 > 安全设置 > 本地策略 > 用户权限分配

ProfileSingleProcess

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1803 [10.0.17134] 及更高版本
./Device/Vendor/MSFT/Policy/Config/UserRights/ProfileSingleProcess

此用户权限确定哪些用户可以使用性能监视工具来监视系统进程的性能。

描述框架属性:

属性名 属性值
格式 chr (字符串)
访问类型 添加、删除、获取、替换
允许的值 列表 (分隔符: 0xF000)

组策略映射:

名称
名称 配置文件单个进程
路径 Windows 设置 > 安全设置 > 本地策略 > 用户权限分配

ProfileSystemPerformance

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 11版本 24H2 [10.0.26100] 及更高版本
./Device/Vendor/MSFT/Policy/Config/UserRights/ProfileSystemPerformance

此安全设置确定哪些用户可以使用性能监视工具来监视系统进程的性能。

描述框架属性:

属性名 属性值
格式 chr (字符串)
访问类型 添加、删除、获取、替换
允许的值 列表 (分隔符: 0xF000)

组策略映射:

名称
名称 配置文件系统性能
路径 Windows 设置 > 安全设置 > 本地策略 > 用户权限分配

RemoteShutdown

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1803 [10.0.17134] 及更高版本
./Device/Vendor/MSFT/Policy/Config/UserRights/RemoteShutdown

此用户权限确定允许哪些用户从网络上的远程位置关闭计算机。 滥用此用户权限可能会导致拒绝服务。

描述框架属性:

属性名 属性值
格式 chr (字符串)
访问类型 添加、删除、获取、替换
允许的值 列表 (分隔符: 0xF000)

组策略映射:

名称
名称 从远程系统强制关机
路径 Windows 设置 > 安全设置 > 本地策略 > 用户权限分配

ReplaceProcessLevelToken

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 11版本 24H2 [10.0.26100] 及更高版本
./Device/Vendor/MSFT/Policy/Config/UserRights/ReplaceProcessLevelToken

此安全设置确定哪些用户帐户可以调用 CreateProcessAsUser () 应用程序编程接口 (API) ,以便一个服务可以启动另一个服务。 使用此用户权限的进程的示例是任务计划程序。 有关任务计划程序的信息,请参阅任务计划程序概述。

描述框架属性:

属性名 属性值
格式 chr (字符串)
访问类型 添加、删除、获取、替换
允许的值 列表 (分隔符: 0xF000)

组策略映射:

名称
名称 替换进程级令牌
路径 Windows 设置 > 安全设置 > 本地策略 > 用户权限分配

RestoreFilesAndDirectories

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1803 [10.0.17134] 及更高版本
./Device/Vendor/MSFT/Policy/Config/UserRights/RestoreFilesAndDirectories

此用户权限确定哪些用户可以在还原备份的文件和目录时绕过文件、目录、注册表和其他永久性对象权限,并确定哪些用户可以将任何有效的安全主体设置为对象的所有者。 具体而言,此用户权限类似于向相关用户或组授予系统上所有文件和文件夹的以下权限:遍历文件夹/执行文件、写入。

注意

分配此用户权限可能会面临安全风险。 由于具有此用户权限的用户可以覆盖注册表设置、隐藏数据并获得系统对象的所有权,因此仅将此用户权限分配给受信任的用户。

描述框架属性:

属性名 属性值
格式 chr (字符串)
访问类型 添加、删除、获取、替换
允许的值 列表 (分隔符: 0xF000)

组策略映射:

名称
名称 还原文件和目录
路径 Windows 设置 > 安全设置 > 本地策略 > 用户权限分配

ShutDownTheSystem

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 11版本 24H2 [10.0.26100] 及更高版本
./Device/Vendor/MSFT/Policy/Config/UserRights/ShutDownTheSystem

此安全设置确定哪些在本地登录到计算机的用户使用“关闭”命令关闭操作系统。 滥用此用户权限可能会导致拒绝服务。

描述框架属性:

属性名 属性值
格式 chr (字符串)
访问类型 添加、删除、获取、替换
允许的值 列表 (分隔符: 0xF000)

组策略映射:

名称
名称 关闭系统
路径 Windows 设置 > 安全设置 > 本地策略 > 用户权限分配

TakeOwnership

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 1803 [10.0.17134] 及更高版本
./Device/Vendor/MSFT/Policy/Config/UserRights/TakeOwnership

此用户权限确定哪些用户可以获取系统中任何安全对象的所有权,包括 Active Directory 对象、文件和文件夹、打印机、注册表项、进程和线程。

注意

分配此用户权限可能会面临安全风险。 由于对象的所有者拥有对它们的完全控制,因此仅将此用户权限分配给受信任的用户。

描述框架属性:

属性名 属性值
格式 chr (字符串)
访问类型 添加、删除、获取、替换
允许的值 列表 (分隔符: 0xF000)

组策略映射:

名称
名称 取得文件或其他对象的所有权
路径 Windows 设置 > 安全设置 > 本地策略 > 用户权限分配

策略配置服务提供程序