Алексей Виноградов - Домашний доктор для вашего ПК

Ознакомительная версия.

Принудительное удаленное завершение работы

Определяет, каким пользователям разрешено завершать работу компьютера из удаленного узла сети. Данное право пользователя определено в объекте групповой политики стандартного контролера домена, а также в локальной политике безопасности рабочих станций и серверов. По умолчанию:

• на рабочих станциях и серверах: «Администраторы»;

• на контроллерах домена: «Администраторы», «Операторы сервера».

Создание журналов безопасности

Определяет, какие учетные записи могут быть использованы процессом для добавления записей в журнал безопасности. Журнал безопасности используется для отслеживания попыток несанкционированного доступа в систему. По умолчанию: «Локальная система».

Увеличение приоритета диспетчирования

Определяет, какие учетные записи могут использовать процесс, обладающий разрешением

«Запись свойства» для доступа к другому процессу, с целью повысить назначенный последнему приоритет выполнения. Пользователь, обладающий этой привилегией, может изменять приоритет планирования процесса в окне диспетчера задач. По умолчанию:

«Администраторы».

Загрузка и выгрузка драйверов устройств

Определяет, какие пользователи могут динамически загружать и выгружать драйверы устройств. Эта привилегия необходима для установки драйверов устройств Plug and Play. По умолчанию: «Администраторы».

Закрепление страниц в памяти

Определяет, какие учетные записи могут использовать процесс для хранения данных в физической памяти, избегая подкачки страниц в виртуальную память на диск. Применение этой привилегии может существенно сказаться на системной производительности, поскольку приводит к уменьшению объема свободной оперативной памяти. По умолчанию: не определен.

Вход в качестве пакетного задания

Позволяет пользователю входить в систему с помощью средства обработки пакетных заданий. Например, если пользователь инициирует задание с помощью планировщика заданий, планировщик обеспечивает ему вход в систему как пакетному пользователю, а не как интерактивному. По умолчанию: «Локальная система».

Следует обратить особое внимание на то, что в системах Windows 2000 Server, Windows 2000 Professional и Windows XP Professional планировщик заданий автоматически предоставляет это право как обязательное.

Вход в качестве службы

Определяет, какие учетные записи служб могут зарегистрировать процесс в качестве службы.

По умолчанию: не определен.

Локальный вход в систему

Определяет, какие пользователи могут входить в систему на данном компьютере.

По умолчанию:

• на рабочих станциях и серверах: «Администраторы», «Операторы архива», «Опытные пользователи», «Пользователи» и «Гость»;

• на контроллерах домена: «Операторы учета», «Администраторы», «Операторы архива» и «Операторы печати».

Управление аудитом и журналом безопасности

Определяет, какие пользователи могут задавать параметры аудита доступа к объектам для отдельных ресурсов, таких как файлы, объекты Active Directory и разделы реестра. Эта политика не позволяет пользователю включать аудит доступа к файлам и объектам в целом.

Для этого необходимо настроить параметр «Аудит доступа к объектам» в папке «Конфигурация компьютераКонфигурация WindowsПараметры безопасностиЛокальные политикиПолитики аудита».

Просмотр записей о событиях аудита в журнале безопасности осуществляется в окне просмотра событий. Пользователь, обладающий такой привилегией, может также просматривать и очищать журнал безопасности.

По умолчанию: «Администраторы».

Изменение параметров среды оборудования

Определяет, каким группам безопасности разрешено изменять значения общесистемных параметров среды. По умолчанию: «Администраторы», «Локальная система».

Выполнение задач по обслуживанию томов

Определяет, какие пользователи и группы имеют полномочия на выполнение процедур обслуживания томов, таких как очистка диска и дефрагментация диска. По умолчанию:

«Администраторы».

Профилирование одного процесса

Определяет, какие пользователи могут вести наблюдение за рабочими характеристиками несистемных процессов. По умолчанию: «Администраторы», «Локальная система».

Профилирование загруженности системы

Определяет, какие пользователи могут вести наблюдение за рабочими характеристиками системных процессов. По умолчанию: «Администраторы», «Локальная система».

Отключение компьютера от стыковочного узла

Определяет, может ли пользователь отключать переносной компьютер от стыковочного узла, не входя в систему.

Если эта политика включена, пользователь должен войти в систему перед тем, как отключать компьютер от стыковочного узла. Если эта политика отключена, пользователь может отсоединять компьютер от стыковочного узла, не входя в систему. По умолчанию: отключен.

Замена маркера уровня процесса

Определяет, какие учетные записи пользователей могут инициировать процесс замены стандартного маркера, связанного с запущенным подпроцессом. По умолчанию: «Локальная система».

Восстановление файлов и каталогов

Определяет, какие пользователи могут восстанавливать архивированные файлы и каталоги, невзирая на имеющиеся у них разрешения для этих файлов и каталогов, а также назначать любого действительного участника безопасности владельцем объекта.

По умолчанию: Рабочие станции и серверы: «Администраторы», «Операторы архива», контроллеры домена: «Администраторы», «Операторы архива», «Операторы сервера».

Завершение работы системы

Определяет, какие пользователи могут, войдя на локальный компьютер, завершить работу операционной системы с помощью команды Завершение работы. По умолчанию:

• рабочие станции и серверы: «Администраторы», «Операторы архива», «Опытные пользователи», «Пользователи»;

• контроллеры домена: «Операторы учета», «Администраторы», «Операторы архива», «Операторы сервера», «Операторы печати».

Синхронизация данных службы каталогов

Определяет, какие пользователи и группы имеют полномочия синхронизировать данные, относящиеся к службе каталогов. Эта процедура также называется синхронизацией Active Directory. По умолчанию: не определен.

Смена владельца файлов или иных объектов

Определяет, какие пользователи могут становиться владельцем любого объекта системы, контролируемого средствами безопасности, в том числе объектов Active Directory, файлов и папок, принтеров, разделов реестра, процессов и потоков. По умолчанию:

Учетные записи как средства безопасности

Состояние учетной записи «Администратор»

Определяет, включена или отключена учетная запись «Администратор» в обычном режиме работы. При загрузке в безопасном режиме учетная запись «Администратор» всегда включена, независимо от данного параметра. По умолчанию: включен.

Если попытаться вновь включить учетную запись «Администратор» после того, как она была отключена, но ее текущий пароль не удовлетворяет требованиям, предъявляемым к паролям, учетную запись включить не удастся. В этом случае какой-либо другой член группы «Администраторы» должен установить пароль для учетной записи «Администратор» в оснастке «Локальные пользователи и группы».

Отключенная учетная запись «Администратор» может в определенных обстоятельствах вызвать затруднения при выполнении процедур технического обслуживания. Например, если в среде домена по какой-либо причине возникает сбой на безопасном канале, образующем соединение с доменом, и на компьютере нет другой локальной учетной записи «Администратор», нужно будет для устранения неполадок перезагрузиться в безопасном режиме.

Состояние учетной записи «Гость»

Определяет, включена или выключена учетная запись «Гость». По умолчанию: отключен.

Если учетная запись «Гость» отключена и параметр безопасности «Сетевой доступ: модель совместного доступа и безопасности» имеет значение «Только гости», вход в сеть, например, с помощью сервера сети Microsoft (служба SMB), выполнить не удастся.

Ограничить использование пустых паролей только для консольного входа

Определяет, могут ли сетевые службы, такие как службы терминалов, Telnet и FTP, при удаленном интерактивном входе в систему использовать локальные учетные записи с пустыми паролями. Если этот параметр включен, то для интерактивного входа в систему с удаленного клиентского компьютера необходимо будет использовать локальную учетную запись с непустым паролем. По умолчанию: включен.

• Данный параметр не влияет на интерактивный вход, выполняемый непосредственно на консоли.

• Действие данного параметра не распространяется на вход в сеть с использованием учетных записей домена.

• Приложения, использующие процедуры удаленного интерактивного входа, могут обходить ограничение, устанавливаемое этим параметром.

Ознакомительная версия.