Права і привілеї вбудованих груп в Active Directory
Права і привілеї вбудованих груп в Active Directory
Для спрощення адміністрування облікових записів користувача призначити привілеї слід в першу чергу облікових записів групи, а не окремим облікових записів користувача. При призначенні привілеїв облікового запису груп користувачі автоматично отримують ці привілеї, коли стають членами цієї групи. Цей метод адміністрування привілеїв значно простіше призначення окремих привілеїв кожного облікового запису користувача в момент створення облікового запису.
Список Builtin Active Directory груп
Відкриваючи оснащення ADUC (Active Directory користувачі і комп'ютери) і бачимо в контейнері Builtin ось такий список груп, кожна з них має докладний опис по її застосуванню. Найбільш використовуваними на практиці я можу виділити:
У наступній таблиці перелічені та описані надаються користувачеві привілеї.
Значення за замовчуванням
Функціонування у вигляді частини операційної системи
Додавання робочих станцій в домен
Визначає групи або користувачів, які можуть додавати робочі станції в домен.Ето право користувача використовується тільки для контролерів доменів. За замовчуванням це право має будь-який минулий перевірки автентичності користувач; він також може створювати до 10 облікових записів комп'ютера в домені.
Завдяки додаванню облікового запису в домен, комп'ютер розпізнає облікові записи і групи, що існують в доменній службі Active Directory (AD DS).
Контролери домену. «Минулі перевірку»
Налаштування квот пам'яті для процесу
Визначає користувачів, які можуть змінювати максимальний обсяг пам'яті, який використовується процессом.Ето право користувача визначено в об'єкті групової політики «Контролер домену за замовчуванням» і локальної політики безпеки робочих станцій і серверів.
Архівування файлів і каталогів
Визначає користувачів, які можуть обійти дозволу на файли, каталоги, реєстр і інші постійні об'єкти при резервному копіюванні системи.
«Адміністратори» і «Оператори архіву»
Обхід перехресної перевірки
Визначає, які користувачі можуть виробляти огляд дерев каталогу, навіть якщо у цих користувачів відсутні дозволи на каталог. Цей привілей не дозволяє користувачам переглядати вміст каталогу, а дозволяє лише виконувати обзор.Ето право користувача визначено в об'єкті групової політики «Контролер домену за замовчуванням» і локальної політики безпеки робочих станцій і серверів.
Робочі станції та сервери. «Адміністратори», «Оператори архіву», «Досвідчені користувачі», «Користувачі», «Все» Контролери домену. «Адміністратори» і «Минулі перевірку»
Зміна системного часу
Визначає користувачів і групи, які можуть змінювати час і дату на внутрішніх годинниках комп'ютера. Користувачі, що мають дане право, можуть змінювати зовнішній вигляд журналів подій. При зміні системного часу реєструються події будуть відображати новий час, а не фактичний час виникнення собитія.Ето право користувача визначено в об'єкті групової політики «Контролер домену за замовчуванням» і локальної політики безпеки робочих станцій і серверів.
Робочі станції та сервери. «Адміністратори« і «Досвідчені користувачі» Контролери домену. «Адміністратори» і «Оператори сервера»
Створення файлу підкачки
Дозволяє створювати файл підкачки і змінювати його розмір. Для цього в групі Параметри швидкодії на вкладці Додатково діалогового окнаСвойства системи слід вказати розмір файлу підкачки для певного диска.
Створення об'єкта типу токен
Дозволяє процесу створювати токен, який потім може використовуватися для доступу до будь-якого локального ресурсу при застосуванні NtCreateToken () або інших API, що створюють токен.Процесси, що вимагають цей обліковий запис, замість використання окремої облікового запису користувача зі спеціально призначеної привілеєм повинні застосовувати обліковий запис «Локальна система », яка вже містить цей привілей.
Створення глобальних об'єктів
Визначає облікові записи, які можуть створювати глобальні об'єкти в сеансі служб терміналів або служб віддалених робочих столів.
«Адміністратори» і «Локальна система»
Створення постійних загальних об'єктів
Дозволяє процесу створювати об'єкт каталогу в диспетчері об'єктів операційної системи. Цей привілей корисна для працюючих в режимі ядра компонентів, що розширюють простір імен об'єкта. Компоненти, що працюють в режимі ядра, вже мають цей привілей, тому призначати її не потрібно.
Визначає користувачів, які можуть прикріплювати відладчик до будь-якого процесу або ядру. Розробникам, які виконують налагодження власних програм, це право призначати не потрібно. Це право слід призначити розробникам, які виконують налагодження нових системних компонентів. Це право надає повний доступ до важливих компонентів операційної системи.
«Адміністратори» і «Локальна система»
Дозвіл довіри до облікових записів комп'ютерів і користувачів при делегуванні
Це право користувача визначено в об'єкті групової політики «Контролер домену за замовчуванням» і локальної політики безпеки робочих станцій і серверів.
Контролери домену. «Адміністратори»
Примусове віддалене завершення роботи
Визначає, кому з користувачів дозволено віддалене завершення роботи комп'ютера. Неправильне застосування цього права користувача може стати причиною відмови в обслужіваніі.Ето право користувача визначено в об'єкті групової політики «Контролер домену за замовчуванням» і локальної політики безпеки робочих станцій і серверів.
Робочі станції та сервери. «Адміністратори» Контролери домену. «Адміністратори» і «Оператори сервера»
Створення аудитів безпеки
Уособлення клієнта після перевірки автентичності
Визначає облікові записи, дозволені для уособлення інших облікових записів.
«Адміністратори» і «Служба»
Збільшення пріоритету виконання
Визначає, які облікові записи можуть використовувати процес, який має право доступу «Запис властивості» для іншого процесу, для збільшення пріоритету виконання, призначеного іншому процесу. Користувач, що має дану привілей, може змінювати пріоритет виконання процесу через призначений для користувача інтерфейс диспетчера задач.
Завантаження і вивантаження драйверів пристроїв
Визначає, хто з користувачів може динамічно завантажувати і вивантажувати драйвери пристроїв або інший код в режимі ядра. Дане призначене для користувача право не застосовується до драйверів пристроїв Plug and Play. Оскільки драйвери пристроїв виконуються як довірені (або з високими привілеями) програми, які не призначайте цей привілей іншим користувачам. Замість цього використовуйте API StartService ().
Блокування сторінок в пам'яті
Визначає, які облікові записи можуть використовувати процеси для збереження даних у фізичній пам'яті для запобігання скиданню цих даних у віртуальну пам'ять на диску. Застосування цього привілею може істотно вплинути на продуктивність системи, знижуючи обсяг доступної оперативної пам'яті (ОЗУ).
ні; деякі системні процеси мають цей привілей спочатку
Управління аудитом і журналом безпеки
Зміна значення параметрів апаратної середовища
Визначає, хто може змінювати значення параметрів апаратної середовища. Змінні апаратної середовища - це параметри, які зберігаються в незалежній пам'яті комп'ютерів, архітектура яких відмінна від x86. Дія параметра залежить від процесора.
- На комп'ютерах архітектури x86 єдине значення апаратної середовища, яке можна змінити призначенням даного права користувача, - це параметр Остання відома вдала конфігурація. який повинен змінюватися тільки системою.
- У комп'ютерах на базі процесорів Itanium завантажувальні дані зберігаються в незалежній пам'яті. Дане право користувача потрібно для виконання програми Bootcfg.exe і зміни параметра Операційна система за замовчуванням компонента Завантаження і відновлення діалогового вікна Властивості системи.
- На всіх комп'ютерах це право користувача потрібно для установки і модернізації Windows.
«Адміністратори» і «Локальна система»
Профілювання одного процесу
Визначає користувачів, які можуть використовувати засоби моніторингу продуктивності для відстеження продуктивності несистемних процесів.
«Адміністратори», «Досвідчені користувачі» і «Локальна система»
Профілювання продуктивності системи
Визначає користувачів, які можуть використовувати засоби моніторингу продуктивності для відстеження продуктивності системних процесів.
«Адміністратори» і «Локальна система»
Відключення комп'ютера від стикувального вузла
Визначає, чи може користувач відстикувати портативний комп'ютер від стикувального вузла без входу в сістему.Еслі дана політика включена, користувач перед відключенням портативного комп'ютера від стикувального вузла повинен увійти в систему. Якщо дана політика відключена, користувач може відключити портативний комп'ютер від стикувального вузла, не входячи в систему.
Заміна токена рівня процесу
Визначає, які облікові записи користувачів можуть ініціювати процес заміни токена за замовчуванням, пов'язаного з запущеним подпроцессом.Ето право користувача визначено в об'єкті групової політики «Контролер домену за замовчуванням» і локальної політики безпеки робочих станцій і серверів.
«Локальна служба» та «Мережева служба»
Відновлення файлів і каталогів
Визначає користувачів, які можуть обійти дозволу на файли, каталоги, реєстр і інші постійні об'єкти при відновленні резервних копій файлів і каталогів, а також користувачів, які можуть призначити будь-якого дійсного суб'єкта безпеки власником об'екта.В зокрема, це право користувача подібно надання наступних дозволів користувачеві або групі для всіх папок і файлів в системі:
- Огляд папок / Виконання файлів
- запис
Робочі станції та сервери. «Адміністратори» і «Оператори архіву» Контролери домену. «Адміністратори», «Оператори архіву» і «Оператори сервера»
Завершення роботи системи
Визначає користувачів, які після локального входу в систему можуть завершити роботу операційної системи за допомогою команди Завершити роботу. Неправильне застосування цього права користувача може стати причиною відмови в обслуговуванні.
Робочі станції. «Адміністратори», «Оператори архіву», «Досвідчені користувачі», «Користувачі» Сервери. «Адміністратори», «Оператори архіву», «Досвідчені користувачі»
Контролери домену. «Оператори облікових записів», «Адміністратори», «Оператори архіву», «Оператори сервера», «Оператори друку»
Синхронізація даних служби каталогів
Визначає користувачів і групи, які мають право синхронізувати всі дані служби каталогів. Це також називається синхронізацією Active Directory.
Зміна власників файлів або інших об'єктів
Визначає користувачів, які можуть стати власником будь-якого об'єкта, що захищається системи, в тому числі: об'єктів Active Directory, файлів і папок, принтерів, розділів реєстру, процесів і потоків.