権限
Windows の権限は、個々のユーザ アカウントおよびグループに割り当てることができます。管理者は、chusr コマンドまたは editusr コマンドを使用してユーザに、chgrp コマンドまたは editgrp コマンドを使用してグループに、それぞれ権限を割り当てることができます。グループに追加されたユーザには、そのグループに割り当てられたすべての権限が自動的に与えられます。
cminder140jp
Windows の権限は、個々のユーザ アカウントおよびグループに割り当てることができます。管理者は、chusr コマンドまたは editusr コマンドを使用してユーザに、chgrp コマンドまたは editgrp コマンドを使用してグループに、それぞれ権限を割り当てることができます。グループに追加されたユーザには、そのグループに割り当てられたすべての権限が自動的に与えられます。
一覧に示されているとおりの権限名(ユーザ権限名)を使用できます。または名前の先頭に Se を、最後に Privilege を追加することもできます(BatchLogon、InteractiveLogon、NetworkLogon、および ServiceLogon は例外で、Privilege の代わりに Right を追加します)。
Windows で使用できる権限は以下のとおりです。
権限 | デフォルトの割り当て | 説明 |
AssignPrimaryToken | なし | プロセスのセキュリティ アクセス トークンの変更をユーザに許可します。 |
Audit | なし | セキュリティ監査を生成します。 |
Backup | Administrators Backup Operators | ファイルおよびディレクトリのバックアップをユーザに許可します。この権限はすべてのファイル許可およびディレクトリ許可を置き換えます。 |
BatchLogon | なし | バッチ ジョブとしてのログオンをユーザに許可します。 |
ChangeNotify | Everyone | 通常、ファイルおよびサブディレクトリへのアクセス権は、上位から下位に向かって設定されます。つまり、ある特定のディレクトリへのアクセス権がないユーザは、そのディレクトリの下にあるサブディレクトリへのアクセス権も持ちません。しかし、この権限を使用すると、ユーザは親ディレクトリへのアクセス権がない場合でも、サブディレクトリにアクセスできます。 |
CreatePagefile | なし | ページ ファイルの作成をユーザに許可します。セキュリティは、次のキーに対するユーザのアクセス権によって決定されます。 \CurrentControlSet\Control\SessionManagement |
CreatePermanent | なし | \\Device などの特別で永続的なオブジェクトの作成をユーザに許可します。 |
CreateToken | なし | トークン オブジェクトを作成します。これを実行できるのは Local Security Authority のみです。Local Security Authority は、ユーザがシステムへのアクセスを許可されていることを確認します。この権限の使用を監査することはできません。C2 レベルの認証については、この権限をどのユーザにも割り当てないことをお勧めします。 |
Debug | 管理者 | スレッドなどのプログラムまたはオブジェクトをデバッグします。この権限を監査することはできません。C2 レベルの認証については、システム管理者を含めてどのユーザにもこの権限を割り当てないことをお勧めします。 |
IncreaseBasePriority | Administrators PowerUsers | プロセスの実行優先順位を上げることをユーザに許可します。 |
IncreaseQuota | なし | オブジェクトのクォータを増やすことをユーザに許可します。 |
InteractiveLogon | Most groups | 対話形式のログインをユーザに許可します。 |
LoadDriver | 管理者 | デバイス ドライバのインストールおよび削除をユーザに許可します。 |
LockMemory | なし | コンピュータのメモリにページをロックし、PAGEFILE.SYS などのバッキング ストア ファイルにページが自動的にバックアップされないようにすることをユーザに許可します。 |
MachineAccount | なし | ドメインに新しいマシンを追加することをユーザに許可します。 |
NetworkLogon | Everyone | ユーザがネットワークのどこからでもコンピュータに接続することを許可します。したがって、ユーザは、コンピュータにログオンするために特定の場所または特定の端末を使用する必要がありません。 |
ProfileSingleProcess | Administrators PowerUsers | ある1つのプロセスのパフォーマンスを監視するためにパフォーマンス監視ツールを使用することをユーザに許可します。 |
RemoteShutdownPrivilege | Administrators PowerUsers | Windows システムのリモートでの停止をユーザに許可します。 |
Restore | Administrators Backup Operators | バックアップされたファイルおよびディレクトリのリストアをユーザに許可します。この権限はすべてのファイルおよびディレクトリのアクセス権を置き換えます。 |
セキュリティ | 管理者 | 監査の対象とするリソース アクセス権の種類(ファイル アクセス権など)を指定すること、またセキュリティ ログを表示および消去することをユーザに許可します。 注: この権限は、Windows のユーザー マネージャで[原則]メニューの[監査]コマンドを使用してシステム監査ポリシーを設定することをユーザに許可するものではありません。管理者にはセキュリティ ログを表示および消去する権限が常に与えられます。 |
ServiceLogon | なし | プロセスをサービスとしてシステムに登録できるようにします。 |
Shutdown | Administrators BackupOperators Everyone PowerUsers ユーザ | システム コンソールからのシステム停止をユーザに許可します。 |
SystemEnvironment | 管理者 | システム環境変数の変更をユーザに許可します。ユーザは各自のワークステーションでシステム環境を設定できます。また、同じワークステーションで作業する他のすべてのユーザが確実に同じ設定を使用できます。 |
SystemProfile | 管理者 | システムに対するプロファイリング(パフォーマンスのサンプリング)の実行をユーザに許可します。 |
SystemTime | Administrators Power Users | コンピュータの内部時計の時間設定をユーザに許可します。 |
TakeOwnership | 管理者 | ファイル、ディレクトリ、プリンタ、およびコンピュータ上のその他のオブジェクトの所有者になることをユーザに許可します。この権限は、オブジェクトを保護するすべての許可を置き換えます。 |
Tcb | なし | オペレーティング システムで、安全で信頼できる部分としてプロセスを実行できるようにします。いくつかのサブシステムにこの権限が与えられます。 |