Windows 2000 使用者許可權和特權配置
本模組內容
本模組含有一張介紹 Microsoft® Windows 2000® 作業系統上的預設使用者許可權指派的表,並提供一張模組 Windows 2000 安全配置中建議的更改列表。
返回頁首目標
使用本模組可以實現:
• |
瞭解 Windows 2000 系統上的預設使用者許可權指派。 |
• |
瞭解對預設許可權指派建議的更改,以提供更安全的環境。 |
適用範圍
本模組適用於下列產品和技術:
• |
Microsoft Windows 2000 作業系統 |
• |
Microsoft Windows 2000 作業系統域控制器 |
• |
Microsoft Windows 2000 域 |
如何使用本模組
使用本模組可瞭解 Windows 2000 的預設使用者許可權指派設定,並檢驗對預設設定的建議更改,以建立更安全的環境。
為了充分理解本模組內容,請
• |
閱讀模組 Windows 2000 安全配置。本模組提供有關這些安全設定的的詳細文件資料,這些安全設定可用於提高 Windows 2000 的安全性。 | ||||
• |
閱讀模組 Windows 2000 預設安全策略設定。本模組介紹應用於不同 Windows 2000 系統角色的預設安全策略設定。 | ||||
• |
閱讀模組 Windows 2000 安全配置工具。本模組著重說明可用於應用安全配置的 Windows 2000 工具。 | ||||
• |
使用檢查表 Windows 2000 安全配置檢查表。本模組包含評估系統時可以使用的安全檢查表,用以確保所有的配置更改已完成。 | ||||
• |
使用附帶的“如何”模組:
|
使用者許可權和特權
表 1 介紹在獨立的 Windows 2000 Professional 和 Server 系統上以及在 Windows 2000 域控制器上指派給使用者的預設使用者許可權。同時介紹域安全策略中的預設使用者許可權(預設情況下未定義的所有使用者許可權)。在域安全策略中的指派覆蓋域成員的本地安全策略設定。
可在“本地安全策略”和“域安全策略”圖形使用者介面中找到使用者許可權/特權指派,如下所示:
• |
Windows 2000 Professional: “管理工具”->“本地安全策略”-> 安全設定/本地策略/使用者許可權指派 |
• |
Windows 2000 Server: “管理工具”->“本地安全策略”-> 安全設定/本地策略/使用者許可權指派 |
• |
Windows 2000 域控制器: “管理工具”->“域控制器安全策略”-> Windows 設定/安全設定/本地策略/使用者許可權指派 “管理工具”->“域安全策略”-> Windows 設定/安全設定/本地策略/使用者許可權指派 |
表 1:使用者許可權和特權
使用者許可權/特權 | 說明 | 在獨立的 Windows 2000 Professional 計算機上將此許可權指派給的組 | 在獨立的 Windows 2000 Server 計算機上將此許可權指派給的組 | 在 Windows 2000 域安全策略(位於域控制器上)中將此許可權指派給的組 | 在具有 AD 服務(域控制器安全策略)的 Windows 2000 域控制器上將此許可權指派給的組 |
登入許可權 |
|||||
從網路 (SeNetwork |
確定允許哪些使用者可以從網路上連線到該計算機。 |
預設: 建議 |
預設: 建議 |
預設: 建議: |
預設: 建議 |
作為批處理作業 (SeBatch |
允許使用者使用批處理佇列功能登入。 |
預設: 建議: |
預設: 建議: |
預設: 建議: |
預設: 建議: |
在本地登入 (SeInteractive |
允許使用者本地登入計算機。 |
預設: 建議更改: |
預設: 建議 |
預設: 建議: |
預設: 建議 |
作為服務登入 (SeService |
允許安全主體作為服務登入。可以將服務配置為執行 LocalSystem 帳戶下,該帳戶具有一個可作為服務登入的內建許可權。必須將該許可權指派給任何執行在獨立帳戶下的服務。 |
預設: 建議: |
預設: 建議: |
預設: 建議: |
預設: 建議: |
拒絕從網路 (SeDenyNetwork |
防止使用者或組從網路連線這臺計算機。 |
預設: 建議: |
預設: 建議: |
預設: 建議: |
預設: 建議: |
拒絕本地登入 (SeDenyInteractive |
防止使用者或組本地登入計算機。 |
預設: 建議: |
預設: 建議: |
預設: 建議: |
預設: 建議: |
拒絕作為 (SeDenyBatch |
防止使用者或組通過批處理佇列功能登入。 |
預設: 建議: |
預設: 建議: |
預設: 建議: |
預設 建議: |
拒絕作為 (SeDenyService |
防止使用者或組作為服務登入。 |
預設: 建議: |
預設: 建議: |
預設: 建議: |
預設: 建議: |
以作業系統方式 (SeTcbPrivilege) |
允許程序作為使用者進行驗證,以此訪問與使用者相同的資源。只有低級別驗證服務才需要這種服務。 預設情況下,潛在的訪問不限於與使用者相關的範圍,因為呼叫程序可能要求將其餘任意訪問放在訪問令牌中。更重要的是,呼叫程序可以構建提供任何訪問的匿名令牌。而且,匿名令牌不提供用於在稽核日誌中跟蹤事件的主標識。 預設情況下,LocalSystem 帳戶使用此特權。 |
預設: 建議: |
預設: 建議: |
預設: 建議: |
預設: 建議: |
域中新增 (SeMachineAccount |
允許使用者將計算機新增到特定域中。為使該許可權有效,在域中必須將它作為域控制器的本地安全策略的一部分指派給使用者。具有此許可權的使用者最多可以將 10 個工作站新增到域中。 在 Windows 2000 中,可通過組織部門的“建立計算機物件”許可權和 Microsoft Active Directory® 中的預設計算機容器複製此特權的行為。使用“建立計算機物件”許可權的使用者可以將數量不限的計算機新增到域中。 |
預設: 建議: |
預設: 建議: |
預設: 建議: |
預設: 建議 |
備份檔案和 (SeBackup |
允許使用者繞過檔案和目錄許可權以備份系統。只有在應用程式試圖通過 NTFS 備份應用程式介面訪問時才選擇該特權。否則,正常的檔案和目錄許可權被應用。 |
預設: 建議: |
預設: 建議: |
預設: 建議: |
預設: 建議: |
跳過遍歷 (SeChangeNotify |
允許使用者在任何 Microsoft Windows 檔案系統或登錄檔中導航物件路徑時通過使用者沒有訪問許可權的資料夾。此特權不允許使用者列出資料夾的內容;它只允許使用者遍歷資料夾。 |
預設: 建議: |
預設: 建議: |
預設: 建議: |
預設: 建議: |
更改系統 (SeSystemTime |
允許使用者設定計算機內部時鐘的時間。 |
預設: 建議: |
預設: 建議: |
預設: 建議: |
預設: 建議: |
建立記號 (SeCreateToken |
允許程序通過呼叫 NtCreateToken 或其它建立令牌的 API 來建立訪問令牌。 |
預設: 建議: |
預設: 建議: |
預設: 建議: |
預設: 建議: |
建立永久 (SeCreate |
允許程序在 Windows 2000 物件管理器中建立目錄物件。此特權對於擴充套件 Windows 2000 物件名稱空間的核心模式元件非常有用。以核心模式執行的元件已具有此特權;不必將它指派給這些元件。 |
預設: 建議: |
預設: 建議: |
預設: 建議: |
預設: 建議: |
建立頁面檔案 (SeCreatePagefile |
允許使用者建立頁面檔案和更改其大小。 |
預設: 建議: |
預設: 建議: |
預設: 建議 |
預設: 建議: |
除錯程式 (SeDebugPrivilege) |
允許使用者將偵錯程式附加到任一程序上。 |
預設: 建議: |
預設: 建議: |
預設: 建議: |
預設: 建議: |
允許計算機 (SeEnable |
允許使用者在 Active Directory 中更改使用者或計算機的“已為委派信任”設定。而且,被授予此特權的使用者或計算機必須對物件上的帳戶控制標記具有寫許可權。 |
預設: 建議: |
預設: 建議: |
預設: 建議: |
預設: 建議: |
從遠端 (SeRemote |
允許使用者在網路上遠端關閉計算機。 |
預設: 建議: |
預設: 建議: |
預設: 建議 |
預設: Server Operators |
產生安全 (SeAuditPrivilege) |
允許程序在安全日誌中產生條目。安全日誌用於跟蹤未經授權的系統訪問以及其它與安全相關的活動。 |
建議: |
建議: |
建議: |
建議: |
新增配額 (SeIncrease |
允許對另一程序具有“寫屬性”許可權的程序增加指派給其它程序的處理器配額。此特權對於系統優化非常有用,但可能會被濫用,如在拒絕服務攻擊中。 |
預設: 建議: |
預設: 建議: |
預設: 建議 |
預設: 建議: |
增加進度 (SeIncreaseBase |
允許對另一程序具有“寫屬性”許可權的程序增加其它程序的執行優先順序。 |
預設: 建議: |
預設: 建議: |
預設: 建議 |
預設: 建議: |
裝載和解除安裝 (SeLoadDriver |
允許使用者安裝和解除安裝即插即用裝置驅動程式。此特權不適用非即插即用的裝置驅動程式;僅 Administrators 可以安裝這些裝置驅動程式。注意,裝置驅動程式作為受信任(有高度特權的)的程序執行;使用者可以通過安裝惡意程式,使它們對資源進行破壞性訪問,而濫用此特權。 |
預設: 建議: |
預設: 建議: |
預設: 建議 |
預設: 建議: |
記憶體中鎖定頁 (SeLockMemory |
允許程序將資料儲存在實體記憶體中,這樣,便防止了系統將資料分頁儲存到磁碟的虛擬記憶體上。指派此特權可能會使系統性能嚴重降低。 |
預設: 建議: |
預設: 建議: |
預設: 建議: |
預設: 建議: |
管理稽核 (SeSecurity |
允許使用者指定檔案、Active Directory 物件和登錄檔項等各個資源的物件訪問稽核選項。實際上,只有在“稽核策略”中啟用了物件訪問稽核後,才能執行物件訪問稽核。具有此特權的使用者還可以從事件檢視器檢視和清除安全日誌。 |
預設: 建議: |
預設: 建議: |
預設: 建議 |
預設: 建議: |
修改韌體 (SeSystem |
允許程序通過 API 或使用者通過“系統屬性”小程式修改系統環境變數。 |
預設: 建議: |
預設: 建議: |
預設: 建議更改: |
預設: 建議: |
配置單一 (SeProfile |
允許使用者執行 Microsoft Windows NT 和 Windows 2000 效能監視工具監視非系統程序的效能。 |
預設: 建議: |
預設: 建議: |
預設: 建議: |
預設: 建議: |
配置系統 (SeSystemProfile |
允許使用者執行 Microsoft Windows NT 和 Windows 2000 效能監視工具監視系統程序的效能。 |
預設: 建議: |
預設: 建議: |
預設: 建議 |
預設: 建議: |
從插接 (SeUndock |
允許行動式計算機的使用者通過單擊“開始”選單上的“彈出 PC”解除對計算機的鎖定。 |
預設: 建議: |
預設: 建議: |
預設: 建議: |
預設: 建議: |
替換程序級記號 (SeAssignPrimaryToken |
允許父程序替換與子程序相關聯的訪問令牌。 |
預設: 建議: |
預設: 建議: |
預設: 建議: |
預設: 建議: |
還原檔案和 (SeRestore |
允許使用者在還原已備份檔案和目錄時繞過檔案和目錄許可權,並將任何有效的安全主體設定為某一物件的所有者。 |
預設: 建議: |
預設: 建議: |
預設: 建議: |
預設: |
關閉 (SeShutdown |
允許使用者關閉本地計算機。 |
預設: 建議 |
預設: 建議 |
預設:(未定義) 建議: |
預設: 建議: |
同步 (SeSyncAgent |
允許服務提供目錄同步服務。此特權僅在域控制器上適用。 域控制器要使用 LDAP 目錄同步服務,必須要有此特權。它使擁有者可以讀取目錄中的所有物件和屬性,無論這些物件和屬性是否受到保護。預設情況下,它被指派給域控制器上的 Administrator 和 LocalSystem 帳戶 |
預設: 建議: |
預設: |
預設: 建議: |
預設: 建議: |
取得 (SeTakeOwnership |
允許使用者取得系統中任何安全物件的所有權,包括 Active Directory 物件、檔案和資料夾、印表機、登錄檔項、程序和執行緒。 |
預設: 建議: |
預設: 建議: |
預設: 建議更改: |
預設: 建議: |
從終端裝置 (SeUnsolicited |
要從終端裝置讀取未經請求的輸入,需要此許可權。此特權已過時,已不被使用。其在系統上無效。 |
預設: 建議: |
預設: 建議: |
預設: 建議: |
預設: 建議: |