Конфигуриране на потребителски права в Windows
В папката Local Policies има няколко папки с настройки. Част от тях ще бъдат разгледани в този урок.Потребителски права (User Rights Assignment)
За разлика от предишните настройки, в които се задаваше брой дни, забранена или достъпна е тази настройка, следващите настройки са предварително изработени. Това, което трябва да направи администраторът е да добави желаните потребители или групи към вече дефинираните правила. Тоест, ако е добавена група към настройката – тази група ще има права да изпълнява зададената настройка. Например, ако бъде добавена потребителска група към настройката Change the system time, то тя ще може да променя системното време.
Има два типа потребителски права: привилегии и права за влизане.
- Привилегии
Привилегията (privilege) е потребителско право, което позволява на членовете на групата, на която е зададено, да извършват дейност, обикновено такава, която влияе на цялата компютърна система, а не на един обект. В таблица 11.3 са обяснени привилегиите, които може да се задават в Windows XP Professional.
| Привилегия | Описание |
| Act As Part Of The Operating System | Позволява на потребителите да дават права на програмите да имат достъп до същите системни ресурси както потребителя. Ако потребителя има право да променя системното време, то и програмата ще може да променя. Тази опция не е препоръчителна да се използва. |
| Add Workstations To Domain | Позволява на потребителите да добавят компютър към домейн. Потребителя указва към кой домейн да бъде добавен. |
| Back Up Files And Directories | Позволява на потребителите да правят Служебно копие (Backup) на системата, дори и да нямат достъп до всички файлове и папки в системата. |
| Bypass Traverse Checking | Позволява на потребителите да преместват папки, за които те нямат права за достъп. Тази опция не позволява на потребителите да разглеждат съдържанието на папките, а само да променят местоположението им. |
| Change The System Time | Позволява на потребителите да променят системното време на компютъра. По подразбиране членовете на администраторската и група Power Users могат да променят системното време. Да променят това време имат права акаунтите LocalSystem и NetworkService. |
| Create A Pagefile | Позволява на потребителите да правят Pagefile, или да модифицират размера на съществуващ такъв. По подразбиране членовете на администраторката група имат тази привилегия. |
| Debug Programs | Позволява на потребители да стартират настройващи програми (Debuggers) върху дадена програма, ако има инсталирана такава на компютъра. По подразбиране само администраторите имат това право. |
| Force Shutdown From A Remote System | Позволява на потребителите да спират компютъра, дори и да са се свързали към него през мрежата (дистанционно свързване). По подразбиране членовете на администраторката група имат тази привилегия. |
| Adjust Memory Quotas For A Process | Позволява на потребителите да задава права на програми да увеличават паметта, отделяна за други програми. |
| Increase Scheduling Priority | Позволява на потребителите да задава права на програми да увеличават приоритета на други програми. |
| Load And Unload Device Drivers | Позволява на потребителя да инсталира и премахва системни (Plug and Play) драйвери. Всички драйвери, които не са „Plug and Play”, не са засегнати от тази привилегия. |
| Lock Pages In Memory | Позволява на потребителите да задават права на програми да заключват страници в паметта, така че да не позволяват на Windows да ги премести във виртуалната памет на твърдия диск. По подразбиране тази привилегия не е добавена за никоя група. Само някои системни процеси имат тази привилегия. |
| Modify Firmware Environment Values | Позволява на потребителите да използват System Properties и да модифицират някои системни параметри. Освен това програмите имат привилегия да използват API за модификация на системни параметри. |
| Perform Volume Maintenance Tasks | Позволява на потребителите да стартират инструменти за работа с диска, като Disc Cleanup или Disk Defragmenter. |
| Profile A Single Process | Позволява на потребителите да използва програми за мониторинг/наблюдение на производителността на несистемни процеси. |
| Profile System Performance | Позволява на потребителите да използва програми за мониторинг/наблюдение на производителността на системни процеси. |
| Restore Files And Directories | Позволява на потребителите да възстановяват (Backup) файлове и папки, без да имат необходимите права и позволяват на потребителя да задава кой е собственик/създател на обекта. По подразбиране членовете на администраторската и групата Backup Operators имат такава привилегия. |
| Shut Down The System | Позволява на потребителите да гасят компютъра. По подразбиране членовете на следните групи имат тази привилегия: Administrators, Backup Operators, Power Users, and Users. |
| Take Ownership Of Files Or Other Objects | Позволява на потребителите да задават/взимат създателя/притежателя на файла, папката, принтера, ключ от регистъра (registry), процес, или нишка. По подразбиране само членовете на администраторската група имат тази привилегия. |
Таблица 11.3
- Права за влизане
Правото за влизане (logon right) е потребителско право, зададено на група или на отделен потребителски акаунт. Правата за влизане контролират начина, по който потребителите могат да влизат дадена система. В таблица 11.4 са обяснени правата за влизане, които може да се задават в Windows XP Professional.
| Права за влизане | Описание |
| Access This Computer From The Network | Позволява на потребителите да се свързват през мрежата. По подразбиране членовете на следните групи имат това право: Administrators, Power Users, and Everyone |
| Deny Access To This Computer From The Network | Забранява на потребителите да се свързват през компютърна мрежата. По подразбиране това право не е дадено на никоя група |
| Log On As A Batch Job | Позволява на потребителите да влизат в компютъра като използват batch-queue facility. Например ако потребителя е влезнал в компютъра и задава задачи на Task Scheduler, системата ще отчете че потребителя е Batch user, вместо интерактивен потребител. По подразбиране членовете на администраторската група имат това право. |
| Deny Logon As A Batch Job | Обратното право, на по горното. По подразбиране на никоя група не е зададено това право. |
| Log On As A Service | Позволява на акаунтите (не само потребителските) да влизат в системата като Service. Services могат да бъдат конфигурирани да влизат като LocalSystem, LocalService или NetworkService акаунти. По подразбиране на никоя група не е зададено това право. |
| Deny Logon As A Service | Обратното право, на по горното. По подразбиране на никоя група не е зададено това право. |
| Log On Locally | Позволява на потребителите да влизат чрез клавиатурата на компютъра. По подразбиране членовете на следните групи имат това право: Administrators, Account Operators, Backup Operators, Print Operators, Server Operators. |
| Deny Logon Locally | Обратното право, на по горното. По подразбиране на никоя група не е зададено това право. |
| Allow Logon Through Terminal Services | Позволява на потребителите да влизат през Terminal Services. По подразбиране членовете на следните групи имат това право: Administrators and Remote Desktop Users |
| Deny Logon Through Terminal Services | Обратното право, на по горното. По подразбиране на никоя група не е зададено това право. |
