Jogait és kiváltságait épített csoportokat az Active Directory konfigurálása Windows és Linux szerverek
Jogait és kiváltságait épített csoportokat az Active Directory
Jogait és kiváltságait épített csoportokat az Active Directory
Az adminisztráció egyszerűsítése a felhasználói fiókok, jogosultságokat először csoport számláit, és nem az egyes felhasználói fiókok. Amikor a kiosztott csoport jogosultságokkal felhasználók automatikusan megkapják ezeket a kiváltságokat mikor lesz a csoport tagjainak. Ez a jogosultság kezelési módszer sokkal könnyebb rendelni egyedi jogosultságokat az egyes felhasználói fiókot, amikor a fiók létrehozásakor.
Listája Beépített Active Directory csoportok
Felnyitása ADUC beépülő (Active Directory felhasználók és számítógépek), és látni a Builtin konténer, itt van egy lista a csoportok, amelyek mindegyike egy részletes leírást a használatát. A legtöbb, amit a gyakorlatban lehet meghatározni:
Az alábbi táblázat felsorolja és leírja az előnyöket a felhasználó által megadott.
alapérték
Funkcionáló része az operációs rendszer
Munkaállomások tartományhoz
Ez meghatározza a csoportok vagy felhasználók, akik hozzáadott munkaállomások domen.Eto felhasználói jogot kizárólag olyan tartományvezérlőket. Alapértelmezés szerint ezt a jogot bármilyen hitelesített felhasználók számára; ez is létrehozhat akár 10 Számítógépfiókok a domain rekordjait.
Azáltal, hogy a tartományi fiók, a számítógép automatikusan felismeri fiókok és csoportok, amelyek léteznek Domain Services Active Directory (AD DS).
Domain vezérlők. „Hitelesített”
Állítsa memória kvóták eljárás
Meghatározza a felhasználók, akik lehet változtatni a maximális memória használt protsessom.Eto felhasználói jog határozza meg a GPO „Default Domain Controller” és a helyi biztonsági politika munkaállomásokhoz és szerverekhez.
Biztonsági mentés fájlok és könyvtárak
Meghatározza a felhasználók, akik megkerülni a jogosultságokat fájlokat, könyvtárakat, registry, és más tartós tárgyak tolatáskor a rendszert.
„Rendszergazdák” és a „Backup szolgáltatók”
Mellőzése
Meghatározza, hogy mely felhasználók generálnak áttekintést a könyvtárszerkezetet, még ha ezek a felhasználók nem rendelkezik engedéllyel a könyvtárba. Ez a jogosultság nem teszi lehetővé a felhasználók megtekinthetik a tartalmát egy könyvtárba, és lehetővé teszi, hogy végre csak obzor.Eto felhasználói jog határozza meg a GPO „Default Domain Controller” és a helyi biztonsági politika munkaállomásokhoz és szerverekhez.
Munkaállomásokhoz és szerverekhez. "Rendszergazdák", "Backup szolgáltatók", "Power Users", "felhasználó", "All" Tartomanyvezerlok. „Rendszergazdák” és a „hitelesített”
Változás a rendszer idő
Ez határozza meg a felhasználók és csoportok, amely megváltoztathatja az időt és a dátumot a számítógép belső óráját. Felhasználók ezzel jobb módosíthatják a megjelenését esemény naplók. Ha megváltoztatja a rendszer időt rögzített esemény jelenik meg az új időt, nem a tényleges bekövetkeztének időpontját sobytiya.Eto felhasználói jog határozza meg a GPO „Default Domain Controller” és a helyi biztonsági politika munkaállomásokhoz és szerverekhez.
Munkaállomásokhoz és szerverekhez. „Rendszergazdák” vagy „Kiemelt felhasználók” Tartomanyvezerlok. „Rendszergazdák” és a „Server szolgáltatók”
Hozzon létre egy lapozófájl
Ez lehetővé teszi, hogy a swap fájlt, és módosítsa a méretét. Ebből a célból a csoport Teljesítmény beállítások a Speciális fülön oknaSvoystva rendszer határozza meg a lapozófájl méretét az adott meghajtót.
Hozzon létre egy objektum típusú Token
Lehetővé teszi az eljárást, hogy megteremtse a token, amely alkalmas lehet elérni a helyi erőforrás alkalmazása során NtCreateToken () vagy más API, ami token.Protsessy igénylő ezt a fiókot, ahelyett, hogy egy külön felhasználói fiókot külön kijelölt kiváltság figyelembe kell alkalmazni „Helyi rendszer”, amely már tartalmazza ezt a jogosultságot.
Készítsen globális objektumok
Meghatározza beszámoló, amely képes létrehozni a globális objektumok Terminal Services munkamenet vagy Remote Desktop Services.
„Rendszergazdák” és a „Local System”
Készítsen állandó megosztott objektumok
Ez lehetővé teszi, hogy elkészítsék a könyvtárat objektumot az objektum kezelője az operációs rendszer. Ez a kiváltság hasznos dolgozó mód alapvető összetevők, amelyek meghosszabbítják az objektum névtér. Components futó kernel módban már ez a kiváltság, ezért nem szükséges hozzá.
Ez határozza meg a felhasználók számára, hogy csatolja a debugger bármely eljárás vagy a kernel. A fejlesztők, akik a hibakeresés saját alkalmazásokat, ezt a jogot nem kell kinevezni. Ezt a jogot hozzá kell rendelni a fejlesztők számára, hogy hibakeresést az új rendszer összetevőit. Ez a jog teljes hozzáférést biztosít a fontos elemei az operációs rendszer.
„Rendszergazdák” és a „Local System”
bizalmat az állásfoglalást a számítógép- és felhasználói delegálásra
Ez a felhasználói jog határozza meg a GPO „Default Domain Controller” és a helyi biztonsági politika munkaállomásokhoz és szerverekhez.
Domain vezérlők. „Rendszergazdák”
Erőltetett távoli leállítás
Ez határozza meg, hogy mely felhasználók számára, hogy távolról állítsa le a számítógépet. Helytelen használata felhasználói jog okozhat megtagadását obsluzhivanii.Eto felhasználói jog határozza meg a GPO „Default Domain Controller” és a helyi biztonsági politika munkaállomásokhoz és szerverekhez.
Munkaállomásokhoz és szerverekhez. „Rendszergazdák” tartományvezérlőkön. „Rendszergazdák” és a „Server szolgáltatók”
Létrehoz biztonsági ellenőrzések
Ügyfél megszemélyesítése hitelesítés után
Meghatározza számlák, amelyek szabadon megszemélyesíteni másik számlára.
„Rendszergazdák” és a „szolgáltatás”
Növekszik ütemezési prioritás
Meghatározza, hogy mely felhasználók vehetik igénybe maga a folyamat a hozzáférési jog „felvételi tulajdonságok” egy másik folyamat, a növekvő teljesítmény a prioritása egy másik folyamat. A felhasználó ezzel a jogosultsággal rendelkező prioritásának módosításához amely folyamat révén a Task Manager felhasználói felület.
Ki- és berakodása eszközmeghajtók
Ez határozza meg, hogy mely felhasználók dinamikusan és berakodása eszközmeghajtók vagy más kódot kernel üzemmódban. Ez a felhasználói jog nem alkalmazható eszközmeghajtók Plug and Play. Mivel eszközmeghajtók fut megbízható (vagy nagyon előkelő) programok nem rendelhet kiváltság más felhasználóknak. Ehelyett használja az API StartService ().
Zárolása a memóriában
Meghatározza, hogy mely felhasználók vehetik igénybe a folyamat az adattárolásra a fizikai memória, hogy megakadályozzák a dömping az adatok virtuális memória a lemezen. Alkalmazása ez a kiváltság, amelyek jelentősen befolyásolhatják a rendszer teljesítményét, csökkenti a rendelkezésre álló memória (RAM).
Nem; Néhány rendszer feldolgozza a kiváltság eredetileg
Biztonsági és felülvizsgálati log menedzsment
Változó értéke a hardver környezeti paraméterek
Ez határozza meg, aki tudja változtatni az értékeket a paraméterek a hardver környezetet. Hardver környezeti változók - ez paramétereit tárolja a nem-felejtő számítógép memóriájában, melynek architektúrája eltér x86. Az akció a beállítás függ a processzor.
- X86 számítógépek csak érték a hardver környezet, amely megváltoztathatja a feladat a jogokat a felhasználó - a paraméter Legutolsó helyes konfiguráció. amely csak a rendszer megváltoztatására.
- A számítógépek az Itanium-alapú boot adatok tárolása nem-felejtő memória. Ez a felhasználói jog végrehajtásához szükséges Bootcfg.exe programot, és módosítsa az operációs rendszer beállításaival alapértelmezett komponenst Indítás és helyreállítás Rendszer tulajdonságai párbeszédpanel.
- Az összes számítógépen, ez a felhasználói jog szükséges telepítésével és frissítésével a Windows.
„Rendszergazdák” és a „Local System”
Profilírozó egy folyamat
Meghatározza a felhasználók, akik tudják használni teljesítmény-ellenőrzési eszközöket teljesítményének ellenőrzése nem rendszer feldolgozza.
"Rendszergazdák", "Power Users" és a "Local System"
Profilalkotás System Performance
Meghatározza a felhasználók, akik tudják használni teljesítmény-ellenőrzési eszközök teljesítményének ellenőrzése rendszer feldolgozza.
„Rendszergazdák” és a „Local System”
Távolítsuk számítógép dokkoló állomás
Meghatározza, hogy a felhasználó dokkolásoldásához hordozható számítógépet a dokkolóállomás bejelentkezés nélkül sistemu.Esli ez a mód aktív, a felhasználó kihúzása előtt a laptop dokkoló állomás kell jelentkezned. Ha ez a funkció ki van iktatva, a felhasználó kikapcsolja a laptop számítógépet a dokkolóállomás bejelentkezés nélkül.
Cseréje Folyamat token
Meghatározza, hogy mely felhasználói fiókok indíthatnak a folyamat helyett az alapértelmezett token működésével járó podprotsessom.Eto felhasználói jog határozza meg a GPO „Default Domain Controller” és a helyi biztonsági politika munkaállomásokhoz és szerverekhez.
"Local Service" és a "Network Service"
Fájlok és könyvtárak
Meghatározza a felhasználók, akik megkerülni a jogosultságokat fájlok, könyvtárak, registry, és más tartós tárgyak a helyreállítását backup fájlokat és könyvtárakat, valamint a felhasználók, akik lehet rendelni bármelyik érvényes biztonsági tartó alá obekta.V Ez különösen a felhasználói jog hasonló neve a következő engedélyekkel a felhasználó vagy egy csoportot a könyvtárakat és fájlokat a rendszer:
- Mappa bejárása / Fájl végrehajtása
- rekord
Munkaállomásokhoz és szerverekhez. „Rendszergazdák” és a „Backup szolgáltatók” Tartomanyvezerlok. „Rendszergazdák”, „Backup szolgáltatók” és a „Server szolgáltatók”
A rendszer leállítás
Meghatározza a felhasználó, aki miután helyileg bejelentkezni lehetett állítsa le az operációs rendszert a Leállítás parancsot. Helytelen használata felhasználói jog okozhat a szolgáltatás megtagadását.
Munkaállomások. "Rendszergazdák", "Backup szolgáltatók", "Power Users", "felhasználók" kiszolgálók. "Rendszergazdák", "Backup szolgáltatók", "Power Users"
Domain vezérlők. „Fiókfelelősök”, „Rendszergazdák”, „Backup üzemeltetők”, „Kiszolgálófelelõsök”, „Nyomtatás szolgáltatók”
Szinkronizálása könyvtár szolgáltatási adatokat
Ez határozza meg a felhasználók és csoportok, amelyek a jogot, hogy szinkronizálja az összes könyvtár szolgáltatási adatokat. Ez is nevezik Active Directory szinkronizálást.
Vegye tulajdonosi fájlok vagy egyéb tárgyak
Meghatározza a felhasználók, akik sajátjukként bármilyen rögzíthető tárgy rendszer, többek között: Active Directory-objektumok, a fájlok és mappák, nyomtatók, kulcsok, folyamatok és szálak.