原則 CSP - UserRights
重要
此 CSP 包含一些正在開發且僅適用于 Windows Insider Preview 組建 的設定。 這些設定可能會變更,而且可能相依于預覽中的其他功能或服務。
用戶權力會指派給用戶帳戶或群組。 原則的名稱會定義有問題的使用者,而值一律是使用者或群組。 值可以表示為安全標識碼 (SID) 或字串。 如需詳細資訊,請參閱 已知的 SID 結構。
雖然已知帳戶和群組支援字串,但最好使用 SID,因為字串是針對不同的語言當地語系化。 某些用戶權力允許 AccessFromNetwork 之類的專案,有些則不允許某些專案,例如 DenyAccessFromNetwork。
一般範例
以下是為系統管理員和已驗證的使用者群組設定用戶權力 BackupFilesAndDirectories 的範例。
<SyncML xmlns="SYNCML:SYNCML1.2">
<SyncBody>
<Replace>
<CmdID>2</CmdID>
<Item>
<Meta>
<Format>chr</Format>
<Type>text/plain</Type>
</Meta>
<Target>
<LocURI>./Device/Vendor/MSFT/Policy/Config/UserRights/BackupFilesAndDirectories</LocURI>
</Target>
<Data>Authenticated UsersAdministrators</Data>
</Item>
</Replace>
<Final/>
</SyncBody>
</SyncML>
以下是數據欄位的範例。 0xF000編碼的 是標準分隔符/分隔符。
透過 SID 將使用者權力授與系統管理員群組:
<Data>*S-1-5-32-544</Data>透過 SID 將使用者權限授與多個群組 (系統管理員、已驗證的使用者) :
<Data>*S-1-5-32-544*S-1-5-11</Data>將使用者權限授與多個群組, (系統管理員、已驗證的使用者) SID 和字串的混合:
<Data>*S-1-5-32-544Authenticated Users</Data>將使用者許可權授與多個群組, (已驗證的使用者、系統管理員) 透過字串:
<Data>Authenticated UsersAdministrators</Data>空白輸入表示沒有設定為具有該使用者權限的使用者:
<Data></Data>
如果您使用 Intune 自定義配置檔來指派 UserRights 原則,則必須使用 CDATA 標記 (<![CDATA[...]]>) 來包裝數據欄位。 您可以使用 0xF000 作為分隔符/分隔符,在 CDATA 標籤內指定一或多個使用者群組。
注意
 是的 0xF000實體編碼。
例如,下列語法會將用戶權力授與已驗證的使用者和復寫器使用者群組:
<![CDATA[Authenticated UsersReplicator]]>
例如,下列語法會將用戶權力授與 Contoso、user1 和 user2 的兩個特定 Microsoft Entra 使用者:
<![CDATA[AzureAD\user1@contoso.comAzureAD\user2@contoso.com]]>
例如,下列語法會使用帳戶或群組的 SID,將用戶權力授與特定使用者或群組:
<![CDATA[*S-1-12-1-430441778-1204322964-3914475434-3271576427*S-1-12-1-2699785510-1240757380-4153857927-656075536]]>
AccessCredentialManagerAsTrustedCaller
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1803 [10.0.17134] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/UserRights/AccessCredentialManagerAsTrustedCaller
認證管理員會在備份/還原期間使用此用戶權力。 任何帳戶都不應該有此許可權,因為它只會指派給 Winlogon。 如果將此許可權授與其他實體,使用者的已儲存認證可能會遭到入侵。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
| 允許的值 | 列出 (分隔符: 0xF000) |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | 以受信任的呼叫者身分存取認證管理員 |
| 路徑 | Windows 設定安全性 > 設定本機 > 原則 > 用戶權力指派 |
AccessFromNetwork
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1803 [10.0.17134] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/UserRights/AccessFromNetwork
此用戶權力會決定允許哪些使用者和群組透過網路連線到計算機。 遠端桌面服務不會受到此用戶權力的影響。
注意
在舊版 Windows Server 中,遠端桌面服務稱為終端機服務。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
| 允許的值 | 列出 (分隔符: 0xF000) |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | 從網路存取這台電腦 |
| 路徑 | Windows 設定安全性 > 設定本機 > 原則 > 用戶權力指派 |
ActAsPartOfTheOperatingSystem
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 1803 [10.0.17134] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/UserRights/ActAsPartOfTheOperatingSystem
此用戶權力可讓進程模擬任何使用者,而不需要驗證。 因此,此程式可以存取與該使用者相同的本機資源。 需要此許可權的進程應該使用已包含此許可權的 LocalSystem 帳戶,而不是使用具有此特殊指派許可權的個別用戶帳戶。
注意
指派此用戶權力可能會有安全性風險。 僅將此用戶權力指派給信任的使用者。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
| 允許的值 | 列出 (分隔符: 0xF000) |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | 當成作業系統的一部分 |
| 路徑 | Windows 設定安全性 > 設定本機 > 原則 > 用戶權力指派 |
AdjustMemoryQuotasForProcess
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/UserRights/AdjustMemoryQuotasForProcess
調整進程的記憶體配額 - 此許可權會決定誰可以變更進程可以取用的最大記憶體。 此許可權適用於群組或用戶的系統微調。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
| 允許的值 | 列出 (分隔符: 0xF000) |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | 調整處理程序的記憶體配額 |
| 路徑 | Windows 設定安全性 > 設定本機 > 原則 > 用戶權力指派 |
AllowLocalLogOn
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 1803 [10.0.17134] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/UserRights/AllowLocalLogOn
此用戶權力決定哪些使用者可以登入計算機。
注意
修改此設定可能會影響與客戶端、服務和應用程式的相容性。 如需此設定的相容性資訊,請參閱 Microsoft 網站上的允許在本機 (https://go.microsoft.com/fwlink/?LinkId=24268 ) 登入。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
| 允許的值 | 列出 (分隔符: 0xF000) |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | 允許本機登入 |
| 路徑 | Windows 設定安全性 > 設定本機 > 原則 > 用戶權力指派 |
AllowLogOnThroughRemoteDesktop
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/UserRights/AllowLogOnThroughRemoteDesktop
允許透過遠端桌面服務登入 - 此原則設定會決定哪些使用者或群組可以透過遠端桌面服務連線存取遠端裝置的登入畫面。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
| 允許的值 | 列出 (分隔符: 0xF000) |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | 允許透過遠端桌面服務登入 |
| 路徑 | Windows 設定安全性 > 設定本機 > 原則 > 用戶權力指派 |
BackupFilesAndDirectories
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1803 [10.0.17134] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/UserRights/BackupFilesAndDirectories
此用戶權力決定哪些用戶可以在備份檔案和目錄時略過檔案、目錄、登錄和其他永續性物件許可權。 具體而言,此使用者權力類似於將下列許可權授與系統上所有檔案和資料夾的使用者或群組:Traverse 資料夾/執行檔案、讀取。
注意
指派此用戶權力可能會有安全性風險。 由於具有此使用者權力的使用者可以讀取任何登錄設定和檔案,因此只能將此用戶權力指派給信任的使用者。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
| 允許的值 | 列出 (分隔符: 0xF000) |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | 備份檔案及目錄 |
| 路徑 | Windows 設定安全性 > 設定本機 > 原則 > 用戶權力指派 |
BypassTraverseChecking
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/UserRights/BypassTraverseChecking
此使用者權力決定哪些使用者可以周游目錄樹狀結構,即使使用者可能沒有周游目錄的許可權。 此許可權不允許使用者列出目錄的內容,只能周遊目錄。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
| 允許的值 | 列出 (分隔符: 0xF000) |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | 略過周遊檢查 |
| 路徑 | Windows 設定安全性 > 設定本機 > 原則 > 用戶權力指派 |
ChangeSystemTime
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1803 [10.0.17134] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/UserRights/ChangeSystemTime
此用戶權力決定哪些使用者和群組可以變更計算機內部時鐘上的時間和日期。 獲指派此用戶權力的使用者可能會影響事件記錄檔的外觀。 如果系統時間變更,記錄的事件會反映這個新時間,而不是事件發生的實際時間。
注意
當您設定用戶權力時,它會取代先前指派給這些用戶權力的現有使用者或群組。 系統要求 本地服務 帳戶 (SID S-1-5-19) 一律具有 ChangeSystemTime 許可權。 除了您需要在此原則中設定的任何其他帳戶之外,請一律指定本地 服務。
如果您未包含 本地服務 帳戶,要求會失敗,並出現下列錯誤:
| 錯誤碼 | 符號名稱 | 錯誤描述 | 標頭 |
|---|---|---|---|
0x80070032 (十六進位) |
ERROR_NOT_SUPPORTED | 不支援要求。 | winerror.h |
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
| 允許的值 | 列出 (分隔符: 0xF000) |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | 變更系統時間 |
| 路徑 | Windows 設定安全性 > 設定本機 > 原則 > 用戶權力指派 |
ChangeTimeZone
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/UserRights/ChangeTimeZone
此使用者權力決定哪些使用者和群組可以變更計算機用來顯示當地時間的時區,也就是計算機的系統時間加上時區位移。 系統時間本身是絕對的,不受時區變更的影響。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
| 允許的值 | 列出 (分隔符: 0xF000) |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | 變更時區 |
| 路徑 | Windows 設定安全性 > 設定本機 > 原則 > 用戶權力指派 |
CreateGlobalObjects
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 1803 [10.0.17134] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/UserRights/CreateGlobalObjects
此安全性設定會決定使用者是否可以建立可供所有會話使用的全域物件。 如果用戶沒有此使用者權力,他們仍然可以建立專屬於自己會話的物件。 可以建立全域對象的使用者可能會影響在其他使用者會話下執行的進程,這可能會導致應用程式失敗或數據損毀。
注意
指派此用戶權力可能會有安全性風險。 僅將此用戶的許可權指派給信任的使用者。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
| 允許的值 | 列出 (分隔符: 0xF000) |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | 建立通用物件 |
| 路徑 | Windows 設定安全性 > 設定本機 > 原則 > 用戶權力指派 |
CreatePageFile
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 1803 [10.0.17134] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/UserRights/CreatePageFile
此用戶權力會決定哪些使用者和群組可以呼叫內部應用程式開發介面 (API) 來建立和變更頁面檔案的大小。 操作系統會在內部使用此用戶權力,通常不需要指派給任何使用者。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
| 允許的值 | 列出 (分隔符: 0xF000) |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | 建立分頁檔 |
| 路徑 | Windows 設定安全性 > 設定本機 > 原則 > 用戶權力指派 |
CreatePermanentSharedObjects
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1803 [10.0.17134] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/UserRights/CreatePermanentSharedObjects
此用戶權力會決定進程可以使用哪些帳戶來使用物件管理員建立目錄物件。 操作系統會在內部使用此用戶權力,而且對於擴充物件命名空間的核心模式元件很有用。 因為在核心模式中執行的元件已經將此用戶許可權指派給他們,所以不需要特別指派它。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
| 允許的值 | 列出 (分隔符: 0xF000) |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | 建立永久共用物件 |
| 路徑 | Windows 設定安全性 > 設定本機 > 原則 > 用戶權力指派 |
CreateSymbolicLinks
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1803 [10.0.17134] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/UserRights/CreateSymbolicLinks
此用戶權力會判斷使用者是否可以從登入的電腦建立符號連結。
注意
此許可權只應授與信任的使用者。 符號連結可以公開非設計來處理它們的應用程式中的安全性弱點。
注意
此設定可以與可與命令行公用程式操作的符號連結檔系統設定搭配使用,以控制電腦上允許的符號連結類型。 輸入 'fsutil behavior set symlinkevaluation /?' 在命令行取得 fsutil 和符號連結的詳細資訊。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
| 允許的值 | 列出 (分隔符: 0xF000) |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | 建立符號連結 |
| 路徑 | Windows 設定安全性 > 設定本機 > 原則 > 用戶權力指派 |
CreateToken
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1803 [10.0.17134] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/UserRights/CreateToken
此使用者權力會決定當進程使用內部應用程式開發介面 (API) 來建立存取令牌時,進程可以使用哪些帳戶來建立令牌,然後用來取得任何本機資源的存取權。 操作系統會在內部使用此用戶權力。 除非有必要,否則請勿將此用戶的許可權指派給本機系統以外的使用者、群組或進程。
注意
指派此用戶權力可能會有安全性風險。 請勿將此使用者的許可權指派給您不想接管系統的任何使用者、群組或進程。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
| 允許的值 | 列出 (分隔符: 0xF000) |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | 建立權杖物件 |
| 路徑 | Windows 設定安全性 > 設定本機 > 原則 > 用戶權力指派 |
DebugPrograms
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1803 [10.0.17134] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/UserRights/DebugPrograms
此用戶權力決定哪些使用者可以將調試程式附加至任何進程或核心。 對自己的應用程式進行偵錯的開發人員不需要被指派此用戶許可權。 正在偵錯新系統元件的開發人員將需要此用戶許可權才能執行此動作。 此用戶權力可提供敏感性和重要操作系統元件的完整存取權。
注意
指派此用戶權力可能會有安全性風險。 僅將此用戶權力指派給信任的使用者。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
| 允許的值 | 列出 (分隔符: 0xF000) |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | 偵錯程式 |
| 路徑 | Windows 設定安全性 > 設定本機 > 原則 > 用戶權力指派 |
DenyAccessFromNetwork
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1803 [10.0.17134] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/UserRights/DenyAccessFromNetwork
此用戶權力決定哪些用戶無法透過網路存取計算機。 如果用戶帳戶受限於這兩個原則,此原則設定會取代 [從網络原則存取這部計算機] 設定。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
| 允許的值 | 列出 (分隔符: 0xF000) |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | 拒絕從網路存取這台電腦 |
| 路徑 | Windows 設定安全性 > 設定本機 > 原則 > 用戶權力指派 |
DenyLocalLogOn
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1803 [10.0.17134] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/UserRights/DenyLocalLogOn
此安全性設定會決定哪些服務帳戶無法將進程註冊為服務。
注意
此安全性設定不適用於系統、本地服務或網路服務帳戶。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
| 允許的值 | 列出 (分隔符: 0xF000) |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | 拒絕以服務方式登入 |
| 路徑 | Windows 設定安全性 > 設定本機 > 原則 > 用戶權力指派 |
DenyLogOnAsBatchJob
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/UserRights/DenyLogOnAsBatchJob
此安全性設定會決定哪些帳戶無法以批次作業登入。 如果用戶帳戶受限於這兩個原則,此原則設定會取代 [登入] 作為批次作業原則設定。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
| 允許的值 | 列出 (分隔符: 0xF000) |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | 拒絕以批次工作登入 |
| 路徑 | Windows 設定安全性 > 設定本機 > 原則 > 用戶權力指派 |
DenyLogOnAsService
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/UserRights/DenyLogOnAsService
拒絕以服務方式登入 - 此安全性設定會決定哪些服務帳戶無法將進程註冊為服務。 如果帳戶受限於這兩個原則,此原則設定會取代 [以服務方式登入] 原則設定。
注意
此安全性設定不適用於系統、本地服務或網路服務帳戶。 默認值:無。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
| 允許的值 | 列出 (分隔符: 0xF000) |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | 拒絕以服務方式登入 |
| 路徑 | Windows 設定安全性 > 設定本機 > 原則 > 用戶權力指派 |
DenyRemoteDesktopServicesLogOn
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1803 [10.0.17134] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/UserRights/DenyRemoteDesktopServicesLogOn
此用戶權力決定禁止哪些使用者和群組以遠端桌面服務用戶端身分登入。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
| 允許的值 | 列出 (分隔符: 0xF000) |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | 拒絕透過遠端桌面服務登入 |
| 路徑 | Windows 設定安全性 > 設定本機 > 原則 > 用戶權力指派 |
EnableDelegation
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 1803 [10.0.17134] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/UserRights/EnableDelegation
此使用者權力決定哪些使用者可以在使用者或計算機物件上設定 [信任的委派] 設定。 授與此許可權的使用者或對象必須具有使用者或計算機對象上帳戶控制旗標的寫入許可權。 在計算機上執行的伺服器進程 (或受信任進行委派的用戶內容) ,只要用戶端帳戶未設定帳戶的帳戶控制旗標,就可以使用用戶端的委派認證存取另一部計算機上的資源。
注意
誤用此用戶權力或信任的委派設定,可能會讓網路容易遭受複雜的攻擊,使用模擬連入用戶端的特洛伊木馬程式,並使用其認證來存取網路資源。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
| 允許的值 | 列出 (分隔符: 0xF000) |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | 讓電腦及使用者帳戶受信賴,以進行委派 |
| 路徑 | Windows 設定安全性 > 設定本機 > 原則 > 用戶權力指派 |
GenerateSecurityAudits
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 1803 [10.0.17134] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/UserRights/GenerateSecurityAudits
此用戶權力會決定進程可以使用哪些帳戶將專案新增至安全性記錄檔。 安全性記錄會用來追蹤未經授權的系統存取。 誤用此用戶權力可能會導致產生許多稽核事件,可能隱藏攻擊的辨識項或導致阻斷服務。 如果無法記錄安全性稽核安全策略設定已啟用,請立即關閉系統。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
| 允許的值 | 列出 (分隔符: 0xF000) |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | 產生安全性稽核 |
| 路徑 | Windows 設定安全性 > 設定本機 > 原則 > 用戶權力指派 |
ImpersonateClient
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 1803 [10.0.17134] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/UserRights/ImpersonateClient
將此用戶權力指派給使用者,可讓代表該使用者執行的程式模擬用戶端。 針對這種模擬要求此用戶權力,可防止未經授權的使用者利用用戶端連線 (例如,透過遠端過程調用 (RPC) 或命名管道) 至他們所建立的服務,然後模擬該客戶端,這樣可以提高未經授權使用者對系統管理或系統層級的許可權。
注意
指派此用戶權力可能會有安全性風險。 僅將此用戶權力指派給信任的使用者。
注意
根據預設,由服務控制管理員啟動的服務會將內建服務群組新增至其存取令牌。 元件物件模型 (COM) 由 COM 基礎結構啟動且設定為在特定帳戶下執行的伺服器,也會將服務群組新增至其存取令牌。 因此,這些服務會在用戶啟動時取得正確的許可權。 此外,如果存在下列任何條件,使用者也可以模擬存取令牌。 1) 正在仿真的存取令牌適用於此使用者。 2) 使用者在此登入工作階段中,使用明確認證登入網路來建立存取令牌。 3) 要求的層級小於模擬,例如匿名或識別。 由於這些因素,使用者通常不需要此用戶權力。
警告
如果您啟用此設定,先前具有模擬許可權的程式可能會遺失它,而且可能無法執行。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
| 允許的值 | 列出 (分隔符: 0xF000) |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | 在驗證後模擬用戶端 |
| 路徑 | Windows 設定安全性 > 設定本機 > 原則 > 用戶權力指派 |
IncreaseProcessWorkingSet
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/UserRights/IncreaseProcessWorkingSet
增加進程工作集。 此許可權決定哪些用戶帳戶可以增加或減少進程工作集的大小。 進程的工作集是進程目前在物理 RAM 記憶體中可見的一組記憶體頁面。 這些頁面是常駐頁面,可供應用程式使用,而不會觸發頁面錯誤。 工作集大小下限和最大值會影響進程的虛擬記憶體分頁行為。
警告
增加進程的工作集大小可減少系統其餘部分可用的物理記憶體數量。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
| 允許的值 | 列出 (分隔符: 0xF000) |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | 增加處理程序工作組 |
| 路徑 | Windows 設定安全性 > 設定本機 > 原則 > 用戶權力指派 |
IncreaseSchedulingPriority
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1803 [10.0.17134] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/UserRights/IncreaseSchedulingPriority
此用戶權力會決定哪些帳戶可以使用具有另一個進程寫入屬性存取權的進程,以增加指派給另一個進程的執行優先權。 具有此許可權的使用者可以透過任務管理器使用者介面變更進程的排程優先順序。
警告
如果您從 [增加排程優先順序用戶權力] 移除 [視窗管理員\視窗管理員群組],某些應用程式和計算機將無法正常運作。 特別是,在執行 Windows 10 版本 1903 或更新版本且使用 Intel GFX 驅動程式的膝上型電腦和桌面電腦 (U) MA (統一記憶體架構上,INK 工作區無法正確運作。
在受影響的計算機上,當使用者在 InK 工作區上繪製時,顯示器會閃爍,例如 Microsoft Edge、Microsoft PowerPoint 或 Microsoft OneNote 所使用的 INK 工作區。 因為筆跡相關的進程重複嘗試使用 Real-Time 優先順序,但被拒絕許可權,所以會發生閃爍。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
| 允許的值 | 列出 (分隔符: 0xF000) |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | 增加排程優先順序 |
| 路徑 | Windows 設定安全性 > 設定本機 > 原則 > 用戶權力指派 |
LoadUnloadDeviceDrivers
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1803 [10.0.17134] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/UserRights/LoadUnloadDeviceDrivers
此用戶權力決定哪些使用者可以動態載入和卸除設備驅動器或其他程式代碼到核心模式。 此用戶權力不適用於 隨插即用 設備驅動器。 建議您不要將此許可權指派給其他使用者。
注意
指派此用戶權力可能會有安全性風險。 請勿將此使用者的許可權指派給您不想接管系統的任何使用者、群組或進程。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
| 允許的值 | 列出 (分隔符: 0xF000) |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | 載入及解除載入裝置驅動程式 |
| 路徑 | Windows 設定安全性 > 設定本機 > 原則 > 用戶權力指派 |
LockMemory
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1803 [10.0.17134] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/UserRights/LockMemory
此使用者權力決定哪些帳戶可以使用進程將數據保留在物理記憶體中,這可防止系統將數據分頁至磁碟上的虛擬記憶體。 藉由減少可用的隨機存取記憶體數量 (RAM) ,執行此許可權可能會大幅影響系統效能。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
| 允許的值 | 列出 (分隔符: 0xF000) |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | 鎖定記憶體中的分頁 |
| 路徑 | Windows 設定安全性 > 設定本機 > 原則 > 用戶權力指派 |
LogOnAsBatchJob
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/UserRights/LogOnAsBatchJob
此安全性設定可讓使用者透過批次佇列設備登入,並僅針對與舊版 Windows 的相容性提供。 例如,當使用者透過工作排程器提交作業時,工作排程器會將該用戶記錄為批次使用者,而不是互動式使用者。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
| 允許的值 | 列出 (分隔符: 0xF000) |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | 以批次工作登入 |
| 路徑 | Windows 設定安全性 > 設定本機 > 原則 > 用戶權力指派 |
LogOnAsService
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/UserRights/LogOnAsService
此安全性設定可讓安全性主體以服務方式登入。 服務可以設定為在本機系統、本地服務或網路服務帳戶下執行,這些帳戶具有以服務方式登入的內建許可權。 在個別用戶帳戶下執行的任何服務都必須獲指派許可權。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
| 允許的值 | 列出 (分隔符: 0xF000) |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | 以服務方式登入 |
| 路徑 | Windows 設定安全性 > 設定本機 > 原則 > 用戶權力指派 |
ManageAuditingAndSecurityLog
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1803 [10.0.17134] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/UserRights/ManageAuditingAndSecurityLog
此使用者權力決定哪些使用者可以指定個別資源的物件存取稽核選項,例如檔案、Active Directory 對象和登錄機碼。 此安全性設定一般不允許使用者啟用檔案和物件存取稽核。 您可以在 事件檢視器 的安全性記錄中檢視稽核的事件。 具有此許可權的使用者也可以檢視和清除安全性記錄。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
| 允許的值 | 列出 (分隔符: 0xF000) |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | 管理稽核及安全性記錄檔 |
| 路徑 | Windows 設定安全性 > 設定本機 > 原則 > 用戶權力指派 |
ManageVolume
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1803 [10.0.17134] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/UserRights/ManageVolume
此用戶權力決定哪些使用者和群組可以在磁碟區上執行維護工作,例如遠端重組。 指派此用戶權力時請小心。 具有此使用者權力的使用者可以探索磁碟,並將檔案擴充至包含其他數據的記憶體。 開啟擴充檔案時,用戶或許能夠讀取和修改取得的數據。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
| 允許的值 | 列出 (分隔符: 0xF000) |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | 執行磁碟區維護工作 |
| 路徑 | Windows 設定安全性 > 設定本機 > 原則 > 用戶權力指派 |
ModifyFirmwareEnvironment
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1803 [10.0.17134] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/UserRights/ModifyFirmwareEnvironment
此用戶權力決定誰可以修改韌體環境值。 韌體環境變數是儲存在非 x86 型電腦之非動態 RAM 中的設定。 設定的效果取決於處理器。 在 x86 型電腦上,唯一可以藉由指派此用戶權力來修改的韌體環境值是 [上次已知的良好組態] 設定,此設定只能由系統修改。 在以Itanium 為基礎的計算機上,開機資訊會儲存在非動態 RAM 中。 必須將此使用者許可權指派給使用者,才能執行 bootcfg.exe,以及在 [系統屬性] 中變更 [啟動和復原] 上的 [預設操作系統] 設定。 在所有計算機上,需要此用戶權力才能安裝或升級 Windows。
注意
此安全性設定不會影響誰可以修改系統環境變數和用戶環境變數,這些變數會顯示在 [系統屬性] 的 [進階] 索引標籤上。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
| 允許的值 | 列出 (分隔符: 0xF000) |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | 修改韌體環境值 |
| 路徑 | Windows 設定安全性 > 設定本機 > 原則 > 用戶權力指派 |
ModifyObjectLabel
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1803 [10.0.17134] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/UserRights/ModifyObjectLabel
此用戶權力會決定哪些用戶帳戶可以修改物件的完整性標籤,例如檔案、登錄機碼或其他使用者所擁有的進程。 在用戶帳戶下執行的進程可以將該使用者所擁有的物件標籤修改為較低層級,而不需要此許可權。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
| 允許的值 | 列出 (分隔符: 0xF000) |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | 修改物件標籤 |
| 路徑 | Windows 設定安全性 > 設定本機 > 原則 > 用戶權力指派 |
ProfileSingleProcess
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1803 [10.0.17134] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/UserRights/ProfileSingleProcess
此用戶權力決定哪些使用者可以使用效能監視工具來監視系統進程的效能。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
| 允許的值 | 列出 (分隔符: 0xF000) |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | 監視單一處理程序 |
| 路徑 | Windows 設定安全性 > 設定本機 > 原則 > 用戶權力指派 |
ProfileSystemPerformance
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/UserRights/ProfileSystemPerformance
此安全性設定可決定哪些使用者可以使用效能監視工具來監視系統程式的效能。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
| 允許的值 | 列出 (分隔符: 0xF000) |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | 監視系統效能 |
| 路徑 | Windows 設定安全性 > 設定本機 > 原則 > 用戶權力指派 |
RemoteShutdown
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1803 [10.0.17134] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/UserRights/RemoteShutdown
此用戶權力會決定哪些使用者可以從網路上的遠端位置關閉電腦。 誤用此用戶權力可能會導致拒絕服務。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
| 允許的值 | 列出 (分隔符: 0xF000) |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | 強制從遠端系統進行關閉 |
| 路徑 | Windows 設定安全性 > 設定本機 > 原則 > 用戶權力指派 |
ReplaceProcessLevelToken
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/UserRights/ReplaceProcessLevelToken
此安全性設定會決定哪些用戶帳戶可以呼叫 CreateProcessAsUser () 應用程式開發介面 (API) ,讓一個服務可以啟動另一個服務。 使用此用戶權力的程式範例是工作排程器。 如需工作排程器的相關信息,請參閱工作排程器概觀。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
| 允許的值 | 列出 (分隔符: 0xF000) |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | 取代處理程序等級權杖 |
| 路徑 | Windows 設定安全性 > 設定本機 > 原則 > 用戶權力指派 |
RestoreFilesAndDirectories
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1803 [10.0.17134] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/UserRights/RestoreFilesAndDirectories
此使用者權力決定哪些使用者可以在還原備份的檔案和目錄時略過檔案、目錄、登錄和其他永續性物件許可權,並判斷哪些使用者可以將任何有效的安全性主體設定為對象的擁有者。 具體而言,此使用者權力類似於將下列許可權授與系統上所有檔案和資料夾的使用者或群組:Traverse 資料夾/執行檔案、寫入。
注意
指派此用戶權力可能會有安全性風險。 由於具有此使用者權力的使用者可以覆寫登錄設定、隱藏數據,以及取得系統對象的擁有權,因此只能將此用戶權力指派給信任的使用者。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
| 允許的值 | 列出 (分隔符: 0xF000) |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | 還原檔案及目錄 |
| 路徑 | Windows 設定安全性 > 設定本機 > 原則 > 用戶權力指派 |
ShutDownTheSystem
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/UserRights/ShutDownTheSystem
此安全性設定會決定在本機登入計算機的使用者可以使用 [關機] 命令來關閉作業系統。 誤用此用戶權力可能會導致拒絕服務。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
| 允許的值 | 列出 (分隔符: 0xF000) |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | 關閉系統 |
| 路徑 | Windows 設定安全性 > 設定本機 > 原則 > 用戶權力指派 |
TakeOwnership
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1803 [10.0.17134] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/UserRights/TakeOwnership
此使用者權力決定哪些使用者可以取得系統中任何安全對象的擁有權,包括 Active Directory 對象、檔案和資料夾、印表機、登錄機碼、進程和線程。
注意
指派此用戶權力可能會有安全性風險。 由於對象的擁有者完全掌控物件,因此請只將此用戶權力指派給信任的使用者。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
| 允許的值 | 列出 (分隔符: 0xF000) |
群組原則對應:
| 名稱 | 值 |
|---|---|
| 名稱 | 取得檔案或其他物件的擁有權 |
| 路徑 | Windows 設定安全性 > 設定本機 > 原則 > 用戶權力指派 |
相關文章
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應