Принудительное удаленное завершение работы
Определяет, каким пользователям разрешено завершать работу компьютера из удаленного узла сети. Данное право пользователя определено в объекте групповой политики стандартного контролера домена, а также в локальной политике безопасности рабочих станций и серверов. По умолчанию:
• на рабочих станциях и серверах: «Администраторы»;
• на контроллерах домена: «Администраторы», «Операторы сервера».
Создание журналов безопасности
Определяет, какие учетные записи могут быть использованы процессом для добавления записей в журнал безопасности. Журнал безопасности используется для отслеживания попыток несанкционированного доступа в систему. По умолчанию: «Локальная система».
Увеличение приоритета диспетчирования
Определяет, какие учетные записи могут использовать процесс, обладающий разрешением
«Запись свойства» для доступа к другому процессу, с целью повысить назначенный последнему приоритет выполнения. Пользователь, обладающий этой привилегией, может изменять приоритет планирования процесса в окне диспетчера задач. По умолчанию:
«Администраторы».
Загрузка и выгрузка драйверов устройств
Определяет, какие пользователи могут динамически загружать и выгружать драйверы устройств. Эта привилегия необходима для установки драйверов устройств Plug and Play. По умолчанию: «Администраторы».
Закрепление страниц в памяти
Определяет, какие учетные записи могут использовать процесс для хранения данных в физической памяти, избегая подкачки страниц в виртуальную память на диск. Применение этой привилегии может существенно сказаться на системной производительности, поскольку приводит к уменьшению объема свободной оперативной памяти. По умолчанию: не определен.
Вход в качестве пакетного задания
Позволяет пользователю входить в систему с помощью средства обработки пакетных заданий. Например, если пользователь инициирует задание с помощью планировщика заданий, планировщик обеспечивает ему вход в систему как пакетному пользователю, а не как интерактивному. По умолчанию: «Локальная система».
Следует обратить особое внимание на то, что в системах Windows 2000 Server, Windows 2000 Professional и Windows XP Professional планировщик заданий автоматически предоставляет это право как обязательное.
Вход в качестве службы
Определяет, какие учетные записи служб могут зарегистрировать процесс в качестве службы.
По умолчанию: не определен.
Локальный вход в систему
Определяет, какие пользователи могут входить в систему на данном компьютере.
По умолчанию:
• на рабочих станциях и серверах: «Администраторы», «Операторы архива», «Опытные пользователи», «Пользователи» и «Гость»;
• на контроллерах домена: «Операторы учета», «Администраторы», «Операторы архива» и «Операторы печати».
Управление аудитом и журналом безопасности
Определяет, какие пользователи могут задавать параметры аудита доступа к объектам для отдельных ресурсов, таких как файлы, объекты Active Directory и разделы реестра. Эта политика не позволяет пользователю включать аудит доступа к файлам и объектам в целом.
Для этого необходимо настроить параметр «Аудит доступа к объектам» в папке «Конфигурация компьютераКонфигурация WindowsПараметры безопасностиЛокальные политикиПолитики аудита».
Просмотр записей о событиях аудита в журнале безопасности осуществляется в окне просмотра событий. Пользователь, обладающий такой привилегией, может также просматривать и очищать журнал безопасности.
По умолчанию: «Администраторы».
Изменение параметров среды оборудования
Определяет, каким группам безопасности разрешено изменять значения общесистемных параметров среды. По умолчанию: «Администраторы», «Локальная система».
Выполнение задач по обслуживанию томов
Определяет, какие пользователи и группы имеют полномочия на выполнение процедур обслуживания томов, таких как очистка диска и дефрагментация диска. По умолчанию:
«Администраторы».
Профилирование одного процесса
Определяет, какие пользователи могут вести наблюдение за рабочими характеристиками несистемных процессов. По умолчанию: «Администраторы», «Локальная система».
Профилирование загруженности системы
Определяет, какие пользователи могут вести наблюдение за рабочими характеристиками системных процессов. По умолчанию: «Администраторы», «Локальная система».
Отключение компьютера от стыковочного узла
Определяет, может ли пользователь отключать переносной компьютер от стыковочного узла, не входя в систему.
Если эта политика включена, пользователь должен войти в систему перед тем, как отключать компьютер от стыковочного узла. Если эта политика отключена, пользователь может отсоединять компьютер от стыковочного узла, не входя в систему. По умолчанию: отключен.
Замена маркера уровня процесса
Определяет, какие учетные записи пользователей могут инициировать процесс замены стандартного маркера, связанного с запущенным подпроцессом. По умолчанию: «Локальная система».
Восстановление файлов и каталогов
Определяет, какие пользователи могут восстанавливать архивированные файлы и каталоги, невзирая на имеющиеся у них разрешения для этих файлов и каталогов, а также назначать любого действительного участника безопасности владельцем объекта.
По умолчанию: Рабочие станции и серверы: «Администраторы», «Операторы архива», контроллеры домена: «Администраторы», «Операторы архива», «Операторы сервера».
Завершение работы системы
Определяет, какие пользователи могут, войдя на локальный компьютер, завершить работу операционной системы с помощью команды Завершение работы. По умолчанию:
• рабочие станции и серверы: «Администраторы», «Операторы архива», «Опытные пользователи», «Пользователи»;
• контроллеры домена: «Операторы учета», «Администраторы», «Операторы архива», «Операторы сервера», «Операторы печати».
Синхронизация данных службы каталогов
Определяет, какие пользователи и группы имеют полномочия синхронизировать данные, относящиеся к службе каталогов. Эта процедура также называется синхронизацией Active Directory. По умолчанию: не определен.
Смена владельца файлов или иных объектов
Определяет, какие пользователи могут становиться владельцем любого объекта системы, контролируемого средствами безопасности, в том числе объектов Active Directory, файлов и папок, принтеров, разделов реестра, процессов и потоков. По умолчанию:
«Администраторы».
3.17. Средства безопасности
Учетные записи как средства безопасности
Состояние учетной записи «Администратор»
Определяет, включена или отключена учетная запись «Администратор» в обычном режиме работы. При загрузке в безопасном режиме учетная запись «Администратор» всегда включена, независимо от данного параметра. По умолчанию: включен.
Если попытаться вновь включить учетную запись «Администратор» после того, как она была отключена, но ее текущий пароль не удовлетворяет требованиям, предъявляемым к паролям, учетную запись включить не удастся. В этом случае какой-либо другой член группы «Администраторы» должен установить пароль для учетной записи «Администратор» в оснастке «Локальные пользователи и группы».
Отключенная учетная запись «Администратор» может в определенных обстоятельствах вызвать затруднения при выполнении процедур технического обслуживания. Например, если в среде домена по какой-либо причине возникает сбой на безопасном канале, образующем соединение с доменом, и на компьютере нет другой локальной учетной записи «Администратор», нужно будет для устранения неполадок перезагрузиться в безопасном режиме.
Состояние учетной записи «Гость»
Определяет, включена или выключена учетная запись «Гость». По умолчанию: отключен.
Если учетная запись «Гость» отключена и параметр безопасности «Сетевой доступ: модель совместного доступа и безопасности» имеет значение «Только гости», вход в сеть, например, с помощью сервера сети Microsoft (служба SMB), выполнить не удастся.
Ограничить использование пустых паролей только для консольного входа
Определяет, могут ли сетевые службы, такие как службы терминалов, Telnet и FTP, при удаленном интерактивном входе в систему использовать локальные учетные записи с пустыми паролями. Если этот параметр включен, то для интерактивного входа в систему с удаленного клиентского компьютера необходимо будет использовать локальную учетную запись с непустым паролем. По умолчанию: включен.
• Данный параметр не влияет на интерактивный вход, выполняемый непосредственно на консоли.
• Действие данного параметра не распространяется на вход в сеть с использованием учетных записей домена.
• Приложения, использующие процедуры удаленного интерактивного входа, могут обходить ограничение, устанавливаемое этим параметром.