Привилегии пользователя

Привилегии

Пояснения

Вход в систему локально

Разрешается доступ к компьютеру локально (интерактивный вход).

Доступ к этому компьютеру по сети

Разрешается доступ к компьютеру по сети (вход по сети).

Вход в систему как сервис

Разрешается запускать процессы (сервисы) под именем пользователя.

Вход в систему как пакетный файл

Разрешается доступ к компьютеру с помощью специального пакетного

файла.

Привилегии

Пояснения

Отклонить локальный вход

Запрещается локальный вход в систему.

Отказ в доступе к компьютеру из сети

Запрещается доступ к компьютеру по сети.

Отказ во входе в качестве пакетного задания

Запрещается вход в систему в качестве пакетного задания.

Привилегия имеет более высокий приоритет по отношению к

привилегии "Вход в систему как пакетный файл" из группы

"Вход в систему".

Отказать во входе в качестве службы

Запрещается вход в систему в качестве службы. Привилегия

имеет более высокий приоритет по отношению к привилегии

"Вход в систему как сервис" из группы "Вход в систему".

Табл. 6. Группа привилегий "Отмена ограничений"

Привилегии

Пояснения

Без атрибутов на

Разрешается доступ к файлам и вложенным каталогам, невзирая на права досту-

вышестоящих каталогах

па, присвоенные вышестоящим каталогам.

Без атрибутов на дисках

Разрешается доступ к логическим дискам, невзирая на ограничения, установлен-

ные при помощи атрибутов доступа системы Secret Net NT. Привилегия примени-

ма только для пользователей.

Без ограничений по

Разрешается работа без ограничений, задаваемых следующими параметрами:

настройкам

• Доступ к файловым серверам только из списка11;

• Запрет работы при изъятии аппаратной поддержки и изменении конфигура-

ции;

• Запрет работы при нарушении целостности;

• Ограничения, установленные в Policy (ограничения Windows NT).

Привилегия применима только для пользователей.

Синхронизация данных

Разрешается синхронизация данных службы каталогов.

службы каталогов

Архивирование файлов

Разрешается архивировать файлы на диске, несмотря на то, что их владельцем

и каталогов

является другой пользователь.

Восстановление файлов

Разрешается восстанавливать файлы и каталоги, а также любые корректные SID

и каталогов

пользователя и группы пользователей. Эта привилегия имеет приоритет над пра-

вами доступа, установленными для файлов, каталогов и других объектов.

Привилегии

Пояснения

Загрузка и выгрузка драйверов устройств

Разрешается загружать и выгружать драйверы устройств.

Профилирование загруженности системы

Разрешается получать информацию о загруженности системы.

11 Вданнойверсиинереализовано.

Привилегии

Пояснения

Профилирование одного процесса

Разрешается получать информацию о процессе.

Увеличение приоритета диспетчирования

Разрешается управлять приоритетом процесса.

Изменение параметров среды

Разрешается модифицировать содержимое переменных сис-

оборудования

темного окружения.

Привилегии

Пояснения

Создание маркерного объекта

Программам, запущенным пользователем, разрешается создавать мар-

керы доступа.

Замена маркера уровня процесса

Программам, запущенным пользователем, разрешается модифициро-

вать маркеры доступа процессов.

Закрепление страниц в памяти

Программам, запущенным пользователем, разрешается закреплять

страницы памяти так, чтобы они не вытеснялись в файл подкачки стра-

ниц (PAGEFILE.SYS).

Увеличение квот

Зарезервирована для использования в следующих версиях Windows.

Работа в режиме операционной

Позволяет функционировать программе, запущенной пользователем, как

системы

части операционной системы.

Создание страничного файла

Зарезервирована для использования в следующих версиях Windows.

Создание постоянных объектов

Разрешается создавать специальные постоянные объекты, такие как

совместного использования

\\Device, применяемые Windows.

Отладка программ

Разрешается низкоуровневая отладка программ, например отладка таких

объектов, как потоки (threads).

Генерация событий аудита

Программам, запущенным пользователем, разрешается добавлять запи-

си в журнал безопасности Windows.

Разрешение доверия к учетным

Разрешается учетной записи пользователя быть доверенной для делеги-

записям при делегировании

рования.

Привилегии

Пояснения

Управление аудитом и журналом

Идентифицирует пользователя как Security Operator. Позволяет получить

безопасности

доступ к журналу безопасности и разрешает настраивать параметры ау-

дита для файлов, каталогов и других объектов.

Овладение файлами и иными

Разрешается вступать во владение файлами, каталогами, принтерами и

объектами

другими объектами на компьютере.

Изменение системного времени

Разрешается изменять параметры часов компьютера. Отображается так-

же в диалоге "Запреты".

Завершение работы системы

Разрешается локально завершать работу ОС Windows на компьютере.

Удаленное завершение работы

Разрешается завершать работу Windows с удаленного компьютера.

системы

Добавление рабочих станций

Разрешается добавлять рабочие станции к домену.

Извлечение компьютера из

Разрешено извлекать компьютер из стыковочного узла.

стыковочного узла

Привилегии

Пояснения

Нет доступа

Запрещается вызывать диалог "Настройки Secret Net"

Только просмотр

Разрешается вызывать диалог "Настройки Secret Net" и просматривать все пара-

метры компьютера

Просмотр и изменение

Разрешается вызывать диалог "Настройки Secret Net" и просматривать все на-

(уровень 1)

стройки компьютера. Разрешается изменять следующие настройки:

• Имя пользователя, предлагаемого при входе в систему по умолчанию;

• Количество попыток неправильного ввода имени (пароля);

• Максимальный срок действия пароля;

• Минимальный срок действия пароля;

• Минимальное количество символов в пароле;

• Количество хранимых старых паролей;

• Необходимость смены пароля пользователем после входа в систему;

• Количество дней, в течение которых надо хранить журнал безопасности;

• Количество повторов при затирании данных;

• Интервал подтверждения существования в сети;

• Дополнительная информация о рабочей станции.

Просмотр и изменение

Разрешается вызывать диалог "Настройки Secret Net" и просматривать все на-

(уровень 2)

стройки компьютера. Разрешается изменять следующие настройки: (дополнитель-

но к уровню 1):

• Номер порта ввода-вывода для карты аппаратной поддержки;

• Добавление устройств аппаратной поддержки;

• Флаг управления системой: мягкий режим для работы с картой;

• Флаг управления системой: полномочное управление доступом;

•

Признак блокировки компьютера;

•

Блокировка учетной записи;

• Количество неудачных попыток для блокировки;

• Время сброса счетчика блокировки;

• Длительность блокировки учетной записи.

Привилегии

Пояснения

Нет доступа

Запрещается отображать ярлык с именем текущего пользователя в списке пользо-

вателей компьютера и вызывать диалог "Свойства пользователя".

Только просмотр

Разрешается вызывать диалог "Свойства пользователя" только для просмотра па-

раметров своей работы.

Просмотр и изменение

Разрешается вызывать диалог "Свойства пользователя" и просматривать все на-

(уровень 1)

стройки пользователя. Разрешается изменять:

• Код комбинации клавиш для вызова хранителя экрана;

• Интервал паузы неактивности.

Просмотр и изменение

Разрешается изменять имя данного пользователя. Разрешается вызывать диалог

(уровень 2)

"Свойства пользователя" для просмотра и изменения параметров своей работы.

Просмотр и изменение

Разрешается просматривать и изменять любые параметры своей работы.

(уровень 3)

Привилегии

Пояснения

Нет доступа

В списке пользователей компьютера не отображаются ярлыки с именами других

пользователей. Вызов диалога "Свойства пользователя" для всех (кроме текущего)

пользователей компьютера, запрещен.

Только просмотр

Разрешается вызывать диалог "Свойства пользователя" для просмотра парамет-

ров работы любого другого (кроме текущего) пользователя компьютера.

Просмотр и изменение

Разрешается вызывать диалог "Свойства пользователя" и просматривать все на-

(уровень 1)

стройки пользователя. Разрешается изменять следующие настройки:

• Код комбинации клавиш для вызова хранителя экрана;

•

Интервал паузы неактивности.

Просмотр и изменение

Разрешается вызывать диалог "Свойства пользователя" и просматривать все на-

(уровень 2)

стройки пользователя. Разрешается изменять следующие настройки (дополни-

тельно к уровню 1):

•

Имя пользователя;

•

Полное имя пользователя;

•

Описание пользователя.

Просмотр и изменение

Разрешается вызывать диалог "Свойства пользователя" и просматривать все на-

(уровень 3)

стройки пользователя. Разрешается изменять следующие настройки (дополни-

тельно к уровню 2):

• Идентификатор шаблона настроек для пользователя;

• Значение ID персонального идентификатора;

•

Привилегии пользователя;

• Дата, с которой разрешена работа пользователя на компьютере;

• Дата, после которой запрещена работа пользователя на компьютере;

• Время работы в дни недели;

•

Параметры работы пользователя;

•

Флажки управления доступом;

• Ограничения Policy для Windows ;

• Запрет запуска программ с удаленных дисков;

• Права пользователя на доступ к дискам;

• Режим регистрации событий в журнале безопасности;

•

Признак блокировки пользователя.

Привилегии

Пояснения

Нет доступа

Запрещается просматривать категории конфиденциальности файлов и каталогов.

Только

Разрешается просматривать категории конфиденциальности файлов и каталогов.

просмотр

Просмотр и за-

Разрешается просматривать и изменять категории конфиденциальности только файлов и

секречивание

только в сторону повышения уровня.

Полный доступ

Разрешается выполнять все операции: просматривать, устанавливать, изменять и снимать

категории конфиденциальности файлов и каталогов.

Привилегии

Пояснения

Нет доступа

Запрещается просматривать содержание журнала безопасности.

Только просмотр

Разрешается только просматривать содержание журнала безопасности.

Просмотр, печать,

Разрешается просматривать содержание, выводить на печать и преобразовывать в

экспорт

файл содержание журнала безопасности.

Полный доступ

Разрешаются все операции с журналом безопасности: просмотр, внесение изменений,

удаление содержимого журнала, печать и экспорт.

Привилегии

Пояснения

Создание пользователей / групп

Разрешается создавать пользователей или группы пользователей.

Удаление пользователей / групп

Разрешается удалять пользователей или группы пользователей.

Изменение групп пользователей

Разрешается изменять названия групп пользователей, дополнительную

информацию о группе пользователей, управлять составом групп пользова-

телей.

Привилегии

Пояснения

Переустановка системы

Разрешается выполнять переустановку системы Secret Net 2000 на компьютере.

Удаление системы

Разрешается выполнять полное удаление системы Secret Net 2000 с компьюте-

ра.