Windows 权限
可以将 Windows 权限分配给单个用户帐户和组。 管理员可以使用 chusr 或 editusr 命令将权限分配给用户或使用 chgrp 或 editgrp 命令分配给组。 已自动添加到组的用户将获得分配给该组的所有权限。
cminder12901cn
可以将 Windows 权限分配给单个用户帐户和组。 管理员可以使用 chusr 或 editusr 命令将权限分配给用户或使用 chgrp 或 editgrp 命令分配给组。 已自动添加到组的用户将获得分配给该组的所有权限。
您可以使用权限名称或用户权限的名称(就在其显示在列表中时),您也可以添加以 Se 为开头和 Privilege 为末尾的名称(BatchLogon、InteractiveLogon、NetworkLogon 和 servicelogon 除外,您可向其中添加 Right 而不是 Privilege)。
以下是在 Windows 中可用的权限。
权限 | 默认分配 | 说明 |
AssignPrimaryToken | None | 允许用户修改进程的安全访问标记。 |
Audit | None | 生成安全审核。 |
Backup | 管理员备份操作员 | 允许用户备份文件和目录。 该权限将替换所有文件和目录权限。 |
BatchLogon | None | 允许用户作为批处理作业登录。 |
ChangeNotify | 每个人 | 通常,对文件和子目录的权限将向下流动;即无权访问特定目录的用户也没有权限访问该目录下的子目录。 但此权限允许用户访问子目录,即使该用户无权访问父目录。 |
CreatePagefile | None | 允许用户创建页面文件。 安全取决于用户对该键的访问权限: \CurrentControlSet\Control\SessionManagement |
CreatePermanent | None | 允许用户创建特殊永久对象,例如 \\Device |
CreateToken | None | 创建标记对象。 仅本地安全机构可执行此操作。 本地安全机构可确保用户有权访问系统。 不能审核该权限的使用。 对于 C2 认证,我们建议不分配给任何用户。 |
Debug | 管理员 | 调试程序或对象(例如,线程)。 您不能审核该权限。 对于 C2 认证,我们建议不分配给任何用户(包括系统管理员)。 |
IncreaseBasePriority | 管理员超级用户 | 允许用户提高进程的执行优先级。 |
IncreaseQuota | None | 允许用户增加对象配额。 |
InteractiveLogon | 大多数组 | 允许用户以交互方式登录。 |
LoadDriver | 管理员 | 允许用户安装和删除设备驱动程序。 |
LockMemory | None | 允许用户将页锁定在计算机的内存中,因此页将无法在备份存储(如 PAGEFILE.SYS)时自动进行备份。SYS。 |
MachineAccount | None | 允许用户向域中添加新的计算机。 |
NetworkLogon | 每个人 | 允许用户从网络中的任意位置连接到计算机。 这表示用户无需在特定位置或终端即可登录计算机。 |
ProfileSingleProcess | 管理员超级用户 | 允许用户使用性能监视工具以便监视单个进程的性能。 |
RemoteShutdownPrivilege | 管理员超级用户 | 允许用户从远程关闭 Windows 系统。 |
Restore | 管理员备份操作员 | 允许用户还原已备份的文件和目录。 该权限替换所有文件和目录权限。 |
Security | 管理员 | 允许用户指定要审核的资源访问类型(如文件访问)以及查看和清除安全日志。 注意: 该特权不允许用户使用 Microsoft 用户管理器下策略菜单中的审核命令设置系统审核策略。 管理员始终有权查看和清除安全日志。 |
ServiceLogon | None | 使进程能够作为服务注册到系统中。 |
Shutdown | 管理员、备份操作员、每个人、超级用户和用户 | 允许用户从系统控制台关闭系统。 |
SystemEnvironment | 管理员 | 允许用户修改系统环境变量。 这使用户可以在其工作站设置系统环境并确保在同一工作站上工作的所有其他用户都使用相同的设置。 |
SystemProfile | 管理员 | 允许用户执行系统上的配置文件(性能示例)。 |
SystemTime | 管理员超级用户 | 允许用户设置计算机内部时钟的时间。 |
TakeOwnership | 管理员 | 允许用户成为文件、目录、打印机和计算机上其他对象的所有者。 该权限替换保护对象的所有权限。 |
Tcb | None | 使进程能够作为操作系统安全、受信任的一部分执行。 授予部分子系统该特权。 |