Windows ‎‎‎‎‎‎权限

可以将 Windows 权限分配给单个用户帐户和组。 管理员可以使用 chusr 或 editusr 命令将权限分配给用户或使用 chgrp 或 editgrp 命令分配给组。 已自动添加到组的用户将获得分配给该组的所有权限。
cminder12901cn
可以将 Windows 权限分配给单个用户帐户和组。 管理员可以使用 chusr 或 editusr 命令将权限分配给用户或使用 chgrp 或 editgrp 命令分配给组。 已自动添加到组的用户将获得分配给该组的所有权限。
您可以使用权限名称或用户权限的名称(就在其显示在列表中时),您也可以添加以 Se 为开头和 Privilege 为末尾的名称(BatchLogon、InteractiveLogon、NetworkLogon 和 servicelogon 除外,您可向其中添加 Right 而不是 Privilege)。
以下是在 Windows 中可用的权限。
权限
默认分配
说明
AssignPrimaryToken
None
允许用户修改进程的安全访问标记。
Audit
None
生成安全审核。
Backup
管理员备份操作员
允许用户备份文件和目录。 该权限将替换所有文件和目录权限。
BatchLogon
None
允许用户作为批处理作业登录。
ChangeNotify
每个人
通常,对文件和子目录的权限将向下流动;即无权访问特定目录的用户也没有权限访问该目录下的子目录。 但此权限允许用户访问子目录,即使该用户无权访问父目录。
CreatePagefile
None
允许用户创建页面文件。 安全取决于用户对该键的访问权限:
\CurrentControlSet\Control\SessionManagement
CreatePermanent
None
允许用户创建特殊永久对象,例如 \\Device
CreateToken
None
创建标记对象。 仅本地安全机构可执行此操作。 本地安全机构可确保用户有权访问系统。 不能审核该权限的使用。 对于 C2 认证,我们建议不分配给任何用户。
Debug
管理员
调试程序或对象(例如,线程)。 您不能审核该权限。 对于 C2 认证,我们建议不分配给任何用户(包括系统管理员)。
IncreaseBasePriority
管理员超级用户
允许用户提高进程的执行优先级。
IncreaseQuota
None
允许用户增加对象配额。
InteractiveLogon
大多数组
允许用户以交互方式登录。
LoadDriver
管理员
允许用户安装和删除设备驱动程序。
LockMemory
None
允许用户将页锁定在计算机的内存中,因此页将无法在备份存储(如 PAGEFILE.SYS)时自动进行备份。SYS。
MachineAccount
None
允许用户向域中添加新的计算机。
NetworkLogon
每个人
允许用户从网络中的任意位置连接到计算机。 这表示用户无需在特定位置或终端即可登录计算机。
ProfileSingleProcess
管理员超级用户
允许用户使用性能监视工具以便监视单个进程的性能。
RemoteShutdownPrivilege
管理员超级用户
允许用户从远程关闭 Windows 系统。
Restore
管理员备份操作员
允许用户还原已备份的文件和目录。 该权限替换所有文件和目录权限。
Security
管理员
允许用户指定要审核的资源访问类型(如文件访问)以及查看和清除安全日志。
注意:
该特权不允许用户使用 Microsoft 用户管理器下策略菜单中的审核命令设置系统审核策略。 管理员始终有权查看和清除安全日志。
ServiceLogon
None
使进程能够作为服务注册到系统中。
Shutdown
管理员、备份操作员、每个人、超级用户和用户
允许用户从系统控制台关闭系统。
SystemEnvironment
管理员
允许用户修改系统环境变量。 这使用户可以在其工作站设置系统环境并确保在同一工作站上工作的所有其他用户都使用相同的设置。
SystemProfile
管理员
允许用户执行系统上的配置文件(性能示例)。
SystemTime
管理员超级用户
允许用户设置计算机内部时钟的时间。
TakeOwnership
管理员
允许用户成为文件、目录、打印机和计算机上其他对象的所有者。 该权限替换保护对象的所有权限。
Tcb
None
使进程能够作为操作系统安全、受信任的一部分执行。 授予部分子系统该特权。