Рассылка закрыта
При закрытии подписчики были переданы в рассылку "Всё о работе в Интернет" на которую и рекомендуем вам подписаться.
Вы можете найти рассылки сходной тематики в Каталоге рассылок.
Секреты Windows: статьи о реестре, rundll32.exe, программах
Глава 7. Механизмы безопасности. 7.2. Оснастка Редактор объектов групповой политики - часть 2 Новые сайты:
Политики назначения прав пользователейКроме политик в разделе НАЗНАЧЕНИЕ ПРАВ ПОЛЬЗОВАТЕЛЯ присутствуют права пользователей. Впрочем, с точки зрения пользователей, эти два понятия практически ничем не отличаются. Права пользователей также позволяют предоставить или запретить определенному пользователю выполнение какого-либо действия. Перечень прав пользователей, которые можно назначить при помощи раздела НАЗНАЧЕНИЕ ПРАВ ПОЛЬЗОВАТЕЛЯ, представлен в таблице 7.08. Таблица 7.08. Возможные права доступа SeAssignPrimaryTokenPrivilege Замена маркера уровня процесса SeAuditPrivilege Управлять аудитом и журналом безопасности SeBatchLogonRight Вход в качестве пакетного задания SeCreatePermanentPrivilege Создание постоянных общих объектов SeCreateTokenPrivilege Создание маркерного объекта SeDenyInteractiveLogonRight Запретить локальный вход SeDenyNetworkLogonRight Отказать в доступе к этому компьютеру из сети SeDenyBatchLogonRight Отказать во входе в качестве пакетного задания SeDenyServiceLogonRight Отказать во входе в качестве службы SeEnableDelegationPrivilege Разрешить доверия к учетным записям компьютеров и пользователей при делегировании SeInteractiveLogonRight Локальный вход в систему SeLockMemoryPrivilege Блокировка страниц в памяти SeMachineAccountPrivilege Добавление рабочих станций к домену SeNetworkLogonRight Доступ к компьютеру из сети SeServiceLogonRight Вход в качестве службы SeSyncAgentPrivilege Синхронизировать данные службы каталогов Описание прав пользователяА теперь давайте вкратце опишем изменяемые при помощи оснастки РЕДАКТОР ОБЪЕКТОВ ГРУППОВОЙ ПОЛИТИКИ права пользователей. SeAssignPrimaryTokenPrivilege Право предоставлено группам: нет. Право предоставлено службам: учетная запись сетевой службы и учетная запись локальной службы. Данное право позволяет процессам использовать API-функцию CreateProcessAsUser для запуска других процессов, не используя свой маркер доступа. Например, эта привилегия может использоваться одной службой для запуска другой. В частности, она используется планировщиком заданий. SeAuditPrivilege Право предоставлено группам: нет. Право предоставлено службам: учетная запись сетевой службы и учетная запись локальной службы. Разрешает службе или учетной записи создание записей в стандартном журнале безопасности системы (eventvwr.msc) при помощи API-функции REPORTEVENT. SeBatchLogonRight Право предоставлено: Администраторы, Операторы архива. Право предоставлено службам: нет. Данное право позволяет пользователю входить в операционную систему с помощью очереди пакетных заданий. Это право оставлено в Windows Vista для совместимости с предыдущими версиями операционной системы. SeCreatePermanentPrivilege Право предоставлено группам: никому. Право предоставлено службам: MSiSCSI, msiserver, swprv, UmRdpService, WPDBusEnum, gpsvc. Разрешает службе или учетной записи создавать постоянные объекты (объекты, не удаляемые при отсутствии ссылок на них). Например, создавать объекты каталога при помощи диспетчера объектов. SeCreateTokenPrivilege Право предоставлено группам: никому. Право предоставлено службам: нет. Разрешает службе или учетной записи создавать первичные маркеры. То есть, учетная запись может создать маркер, содержащий в себе любые SID и привилегии, и запустить с его помощью процесс. SeDenyInteractiveLogonRight Право предоставлено группам: учетная запись гостя, учетная запись администратора. Данное право позволяет определить пользователей, которым будет запрещено выполнять локальный вход в операционную систему. SeDenyNetworkLogonRight Право предоставлено: никому. Данное право позволяет определить пользователей, которым будет запрещено выполнять сетевой вход в операционную систему. SeDenyBatchLogonRight Право предоставлено: никому. Данное право позволяет определить пользователей, которым будет запрещено выполнять вход в качестве пакетного задания. SeDenyServiceLogonRight Право предоставлено: никому. Данное право позволяет определить пользователей, от имени которых будет запрещено запускать службы. SeEnableDelegationPrivilege Право предоставлено: никому. Используется в Active Directory для делегирования учетных записей и определяет, может ли данная учетная запись устанавливать параметр ДЕЛЕГИРОВАНИЕ РАЗРЕШЕНО для пользовательского или компьютерного объекта. Этот параметр можно устанавливать только для таких учетных записей пользователей или компьютеров, для которых сброшен флаг УЧЕТНАЯ ЗАПИСЬ НЕ МОЖЕТ БЫТЬ ДЕЛЕГИРОВАНА. SeInteractiveLogonRight Право предоставлено: Администраторы, Операторы архива, Пользователи, учетная запись гостя. Право предоставлено службам: нет. Данное право определяет пользователей, которым разрешен локальный доступ к данному компьютеру. SeLockMemoryPrivilege Право предоставлено группам: никому. Право предоставлено службам: msiserver. Разрешает службе или учетной записи выполнять блокировку физических страниц памяти. Блокировка физических страниц памяти запрещает сброс блокированных страниц в файл подкачки. То есть, они всегда будут находиться в оперативной памяти. SeMachineAccountPrivilege Право предоставлено: пользователи, прошедшие проверку. Данное право необходимо, чтобы диспетчер учетных данных безопасности SAM разрешил добавление компьютера к домену. Если пользователь обладает данным правом, он может добавить до 10 компьютеров в домен. SeNetworkLogonRight Право предоставлено: Администраторы, Операторы архива, Пользователи, Все. Данное право определяет пользователей, которым разрешен доступ к данному компьютеру из сети. SeServiceLogonRight Право предоставлено: никому. Данное право определяет пользователей, от имени которых могут запускаться службы. SeSyncAgentPrivilege Право предоставлено: никому. Позволяет пользователям выполнять синхронизацию Active Directory. Данное право позволяет читать объекты и свойства каталога Active Directory, даже если их атрибуты защиты это запрещают. Программа whoami.exeПрограмма командной строки whoami.exe позволяет просмотреть список привилегий и прав пользователя, которые назначены пользователю, запустившему данную программу. Сделать это очень просто — достаточно воспользоваться командой Whoami /priv. В таблице 7.09 также представлен набор других опций данной программы. Таблица 7.09. Опции программы whoami.exe /user Отобразить имена и SID работающих в данный момент пользователей. /groups Отобразить информацию о группах пользователей, доступных на компьютере. /all Аналогична комбинации опций /user, /groups и /priv. /logonid Отобразить SID текущего пользователя. /fqdn Отобразить имя текущего пользователя в формате FQDN. /upn Отобразить имя текущего пользователя в формате UPN. Права и привилегии стандартных программВ третьей главе данной книги были описаны стандартные программы операционной системы Windows Vista. Для полноценной работы многих этих программ требуется, чтобы пользователь, запустивший их, обладал определенными привилегиями. В таблице 7.10 описаны эти привилегии. Таблица 7.10. Привилегии, требуемые для работы стандартных программ
Продолжение следует Рейтинг: 0
Оцените: 1 2 3 4 5 moemesto.ru bobrdobr.ru
- добавить в социальные закладки
В начало записиОригинал статьи: http://www.onestyle.com.ua/txt.php?u=635
|
В избранное | ||