权限为本地管理员提供了一种控制权限的方式,或者执行什么类型的系统操作。
比如允许交互式登陆等,这里我们所说的特权指的是特殊操作所需的特权,比如备份是什么!一旦特权被授予,
这些特权包含在用户的安全访问令牌中,这是一个基本概念。它可以在下面看到,而且更容易理解。
为了方便系统的管理一直是每个本地组分配相应的权限,并没有改变这种特权,这些东西可以分为内部能力在NT系统,标准用户,高级用户权力这么几种,但在2000和高功率标准的权利已被用户权限所取代,只有委托和信任的计算机和用户帐户(seenabledelegationprivilege)和电脑是从码头拆除(seundockprivilege)这两例有权图NT 2000特权。
请注意2000个问题中的一些问题,并非所有的功能都有匹配的权利,因此无法完全匹配组的内置功能和权限。
特定组功能的预定义分配和无法将所有功能复制到电源中是很难区分任务的,只能强制使用最小特权的概念。
然后是在域级别上缺乏一个安全的结构,从而导致硬-格兰特管理function.2000广告推出后,它可以区分任务和可教
管理级别是针对域和欧的。
下面谈谈一些具体的用户权限,应该有26个,也可以说是28个。
setcbprivilege
成为操作系统的一部分
允许一个进程像用户一样被识别,因此相应的资源可以像用户一样被访问。只有底层的身份验证服务需要这样的特权,所以不管它是工作站,独立的还是DC,都没有把这个设置为一个人的权利。
semachineaccountprivilege
可以为这个特权添加一个工作站到域中,并且必须保证用户在域控制器的本地安全策略中执行此操作。
sebackupprivilege
备份文件和目录。
允许用户绕过文件和目录的权限进行备份。只有当应用程序试图访问NTFS备份API时才检查此特权。默认情况下,此特权被分配给管理员和备份操作员。
sechangenotifyprivilege
避免遍历性检查。
允许用户来回移动目录,但不能列出文件夹的内容。默认情况下,此权限授予管理员,
备份运营商,电力用户,用户和每个人,换句话说,每个人都有这个权利。
sesystemtimeprivilege
更改系统时间。
管理员和权限用户默认拥有此权限。
secreatepagefileprivilege
创建分页文件。
允许用户创建和更改分页文件的大小。默认情况下,只有管理员具有此特权。
secreatetokenprivilege
创建令牌对象。
允许这个过程叫NtCreateToken()或其他标记创建API来创建一个访问令牌。
secreatepermanentprivilege
创建永久共享对象。
允许流程在2000个项目经理中创建目录对象。
SeDebugPrivilege
调试程序。
允许用户连接调试器调试任何进程。
seenabledelegationprivilege
请信任计算机和用户帐户来委派。
它允许用户改变信任,以便委托,只有当用户或计算机有权限写入对象的帐户控制标志时。
seremoteshutdownprivilege
远程停车系统。
默认情况下管理员有此特权。
seauditprivilege
生产安全审计。
允许应用程序在安全日志中创建、生成和添加记录。
seincreasequotaprivilege
增加极限。
允许写属性进程利用其他进程获得更多的处理器配额,这有利于系统调试,但也有原因。
DOS的可能性。
seincreasebaseprorityprivilege
增加调度优先级。
允许写属性进程使用其他进程获得更多的执行优先级。具有这种特权的用户可以更改任务管理器中进程的调度优先级。
seloaddriverprivilege
安装并卸载设备驱动程序。
允许用户安装和卸载即插即用设备驱动程序,而不是在没有特权的情况下即插即用,但只能通过
安装了管理员。因为驱动程序是一个受信任的程序,它需要非常高的权限。这个特权可以用来安装恶意程序和破坏性的访问。
sesecurityprivilege
管理审计和安全日志。
允许用户指定对象访问的审计。具有这种特权的用户也可以清空安全日志。
。
sesystemenvironmentprivilege
修改固件环境变量。
允许用户使用一个进程通过API设置系统环境变量,此外,还可以允许用户使用系统属性来完成此操作。
seprofilesingleprocessprivilege
单流程配置文件。
允许用户使用性能监视器来监视非系统进程。管理员有这个特权的默认。
sesystemprofileprivilege
剖面系统性能。
允许用户使用性能监视器来监视系统进程。
seundockprivilege
从计算机上删除坞。
允许用户使用弹出式PC将计算机从坞中移走。默认情况下,管理员、电源用户和用户具有此特殊功能。
正确的.
seassignprimarytokenprivilege
替换进程级令牌。
一个访问令牌允许父母代替相关的子过程。
serestoreprivilege
还原文件和目录。
允许用户绕过文件和目录权限以恢复备份文件。默认情况下管理员和备份操作员具有此特权。
seshutdownprivilege
关闭系统。
允许用户关闭本地计算机。默认情况下,管理员、备份操作员、电源用户和用户具有此特权,但用户在2000服务器中没有此特权。
sesynchagentprivilege
同步目录服务数据。
允许一个进程来提供目录同步服务,只对直流。管理员和本地系统帐户的默认域有此特权。
setakeownershipprivilege
获取文件所有者的标识。
它允许用户获得系统中可以获得的任何对象的所有者身份,包括广告对象、文件、文件夹、打印机、密钥、进程和线程。
