Fournisseur de services de configuration de stratégie - UserRights


Des droits d’utilisateur sont attribués pour les comptes d’utilisateurs ou les groupes. Le nom de la stratégie définit le droit de l’utilisateur en question, et les valeurs sont toujours des utilisateurs ou des groupes. Les valeurs peuvent être représentées sous forme de SID ou de chaînes. Pour référence, consultez Structures SID connues.

Même si les chaînes sont prises en charge pour les comptes et les groupes connus, il est préférable d’utiliser des SID, car les chaînes sont localisées pour différentes langues. Certains droits d’utilisateur autorisent des éléments comme AccessFromNetwork, tandis que d’autres interdisent des choses, comme DenyAccessFromNetwork.

Voici un exemple permettant de définir le fichier BackupFilesAndDirectories approprié pour les administrateurs et les groupes d’utilisateurs authentifiés.

<SyncML xmlns="SYNCML:SYNCML1.2">

<SyncBody>
    <Replace>
      <CmdID>2</CmdID>
      <Item>
        <Meta>
          <Format>chr</Format>
          <Type>text/plain</Type>
        </Meta>
        <Target>
          <LocURI>./Device/Vendor/MSFT/Policy/Config/UserRights/BackupFilesAndDirectories</LocURI>
        </Target>
        <Data>Authenticated Users&#xF000;Administrators</Data>
      </Item>
    </Replace>
  <Final/>
  </SyncBody>
</SyncML>

Voici des exemples de champs de données. Le 0xF000 encodé est le séparateur/séparateur standard.

  • Accordez à un utilisateur le droit d’accéder au groupe Administrateurs via SID :

    <Data>*S-1-5-32-544</Data>
    
  • Accordez à un utilisateur le droit à plusieurs groupes (administrateurs, utilisateurs authentifiés) via SID :

    <Data>*S-1-5-32-544&#xF000;*S-1-5-11</Data>
    
  • Accordez à un utilisateur le droit à plusieurs groupes (administrateurs, utilisateurs authentifiés) via un mélange de SID et de chaînes :

    <Data>*S-1-5-32-544&#xF000;Authenticated Users</Data>
    
  • Accordez à un utilisateur le droit à plusieurs groupes (utilisateurs authentifiés, administrateurs) via des chaînes :

    <Data>Authenticated Users&#xF000;Administrators</Data>
    
  • Une entrée vide indique qu’aucun utilisateur n’est configuré pour avoir ce droit d’utilisateur :

    <Data></Data>
    

    Si vous utilisez Intune profils personnalisés pour affecter des stratégies UserRights, vous devez utiliser la balise CDATA (<![CDATA[...]]>) pour encapsuler les champs de données. Vous pouvez spécifier un ou plusieurs groupes d’utilisateurs dans la balise CDATA en utilisant 0xF000 comme séparateur/séparateur.

Notes

&#xF000; est l’encodage d’entité de 0xF000.

Par exemple, la syntaxe suivante accorde des droits d’utilisateur aux utilisateurs authentifiés et aux groupes d’utilisateurs du réplicateur :

<![CDATA[Authenticated Users&#xF000;Replicator]]>

Par exemple, la syntaxe suivante accorde des droits d’utilisateur à deux utilisateurs Azure Active Directory (AAD) spécifiques de Contoso, user1 et user2 :

<![CDATA[AzureAD\user1@contoso.com&#xF000;AzureAD\user2@contoso.com]]>

Par exemple, la syntaxe suivante accorde des droits d’utilisateur à un utilisateur ou à un groupe spécifique, à l’aide de l’identificateur de sécurité (SID) du compte ou du groupe :

<![CDATA[*S-1-12-1-430441778-1204322964-3914475434-3271576427&#xF000;*S-1-12-1-2699785510-1240757380-4153857927-656075536]]>

Stratégies UserRights

UserRights/AccessCredentialManagerAsTrustedCaller
UserRights/AccessFromNetwork
UserRights/ActAsPartOfTheOperatingSystem
UserRights/AllowLocalLogOn
UserRights/BackupFilesAndDirectories
UserRights/ChangeSystemTime
UserRights/CreateGlobalObjects
UserRights/CreatePageFile
UserRights/CreatePermanentSharedObjects
UserRights/CreateSymbolicLinks
UserRights/CreateToken
UserRights/DebugPrograms
UserRights/DenyAccessFromNetwork
UserRights/DenyLocalLogOn
UserRights/DenyRemoteDesktopServicesLogOn
UserRights/EnableDelegation
UserRights/GenerateSecurityAudits
UserRights/ImpersonateClient
UserRights/IncreaseSchedulingPriority
UserRights/LoadUnloadDeviceDrivers
UserRights/LockMemory
UserRights/ManageAuditingAndSecurityLog
UserRights/ManageVolume
UserRights/ModifyFirmwareEnvironment
UserRights/ModifyObjectLabel
UserRights/ProfileSingleProcess
UserRights/RemoteShutdown
UserRights/RestoreFilesAndDirectories
UserRights/TakeOwnership

UserRights/AccessCredentialManagerAsTrustedCaller

Édition Windows10 Windows11
Accueil Non Non
Pro Oui Oui
Entreprise Oui Oui
Enterprise Oui Oui
Éducation Oui Oui

Étendue:

  • Appareil

Ce droit d’utilisateur est utilisé par le Gestionnaire d’informations d’identification pendant la sauvegarde/restauration. Aucun compte ne doit avoir ce privilège, car il est affecté uniquement à Winlogon. Les informations d’identification enregistrées des utilisateurs peuvent être compromises si ce privilège est accordé à d’autres entités.

Informations de la stratégie de groupe :

  • Nom convivial de la stratégie de groupe : Accéder au Gestionnaire des informations d’identification en tant qu’appelant approuvé
  • Chemin de la stratégie de groupe : Windows Paramètres/Sécurité Paramètres/Stratégies locales/Attribution des droits utilisateur

UserRights/AccessFromNetwork

Édition Windows10 Windows11
Accueil Non Non
Pro Oui Oui
Entreprise Oui Oui
Enterprise Oui Oui
Éducation Oui Oui

Étendue:

  • Appareil

Ce droit d’utilisateur détermine quels utilisateurs et groupes sont autorisés à se connecter à l’ordinateur via le réseau. Les services Bureau à distance ne sont pas affectés par ce droit utilisateur.

Notes

Les services Bureau à distance étaient appelés Terminal Services dans les versions précédentes de Windows Server.

Informations de la stratégie de groupe :

  • Nom convivial de la stratégie de groupe : accéder à cet ordinateur à partir du réseau
  • Chemin de la stratégie de groupe : Windows Paramètres/Sécurité Paramètres/Stratégies locales/Attribution des droits utilisateur

UserRights/ActAsPartOfTheOperatingSystem

Édition Windows10 Windows11
Accueil Non Non
Pro Oui Oui
Entreprise Oui Oui
Enterprise Oui Oui
Éducation Oui Oui

Étendue:

  • Appareil

Ce droit d’utilisateur permet à un processus d’emprunter l’identité de n’importe quel utilisateur sans authentification. Le processus peut donc accéder aux mêmes ressources locales que cet utilisateur. Les processus qui nécessitent ce privilège doivent utiliser le compte LocalSystem, qui inclut déjà ce privilège, plutôt que d’utiliser un compte d’utilisateur distinct avec ce privilège spécialement affecté.

Attention

L’attribution de ce droit d’utilisateur peut constituer un risque pour la sécurité. Attribuez ce droit d’utilisateur uniquement aux utilisateurs approuvés.

Informations de la stratégie de groupe :

  • Nom convivial de la stratégie de groupe : agir dans le cadre du système d’exploitation
  • Chemin de la stratégie de groupe : Windows Paramètres/Sécurité Paramètres/Stratégies locales/Attribution des droits utilisateur

UserRights/AllowLocalLogOn

Édition Windows10 Windows11
Accueil Non Non
Pro Oui Oui
Entreprise Oui Oui
Enterprise Oui Oui
Éducation Oui Oui

Étendue:

  • Appareil

Ce droit d’utilisateur détermine les utilisateurs qui peuvent se connecter à l’ordinateur.

Notes

La modification de ce paramètre peut affecter la compatibilité avec les clients, les services et les applications. Pour plus d’informations sur la compatibilité de ce paramètre, consultez Autoriser l’ouverture de session localement sur le site web de Microsoft.

Informations de la stratégie de groupe :

  • Nom convivial de la stratégie de groupe : autoriser l’ouverture de session localement
  • Chemin de la stratégie de groupe : Windows Paramètres/Sécurité Paramètres/Stratégies locales/Attribution des droits utilisateur

UserRights/BackupFilesAndDirectories

Édition Windows10 Windows11
Accueil Non Non
Pro Oui Oui
Entreprise Oui Oui
Enterprise Oui Oui
Éducation Oui Oui

Étendue:

  • Appareil

Ce droit d’utilisateur détermine quels utilisateurs peuvent contourner les autorisations de fichier, de répertoire, de registre et d’autres objets persistants lors de la sauvegarde de fichiers et de répertoires. Plus précisément, ce droit d’utilisateur est similaire à l’octroi des autorisations suivantes à l’utilisateur ou au groupe en question sur tous les fichiers et dossiers du système : Parcourir le dossier/Exécuter le fichier, Lire.

Attention

L’attribution de ce droit d’utilisateur peut constituer un risque pour la sécurité. Étant donné que les utilisateurs disposant de ce droit d’utilisateur peuvent lire tous les fichiers et paramètres du Registre, affectez ce droit d’utilisateur uniquement aux utilisateurs approuvés.

Informations de la stratégie de groupe :

  • Nom convivial de la stratégie de groupe : sauvegarder des fichiers et des répertoires
  • Chemin de la stratégie de groupe : Windows Paramètres/Sécurité Paramètres/Stratégies locales/Attribution des droits utilisateur

UserRights/ChangeSystemTime

Édition Windows10 Windows11
Accueil Non Non
Pro Oui Oui
Entreprise Oui Oui
Enterprise Oui Oui
Éducation Oui Oui

Étendue:

  • Appareil

Ce droit d’utilisateur détermine quels utilisateurs et groupes peuvent modifier l’heure et la date de l’horloge interne de l’ordinateur. Les utilisateurs auxquels ce droit d’utilisateur est attribué peuvent affecter l’apparence des journaux des événements. Si l’heure système est modifiée, les événements consignés reflètent cette nouvelle heure, et non l’heure réelle à laquelle les événements se sont produits.

Attention

La configuration des droits d’utilisateur remplace les utilisateurs ou groupes existants précédemment affectés à ces droits d’utilisateur. Le système exige que le compte de service local (SID S-1-5-19) dispose toujours du droit ChangeSystemTime. Par conséquent, le service local doit toujours être spécifié en plus des autres comptes configurés dans cette stratégie.

Le fait de ne pas inclure le compte de service local entraîne un échec avec l’erreur suivante :

Code d’erreur Nom symbolique Description de l’erreur En-tête
0x80070032 (Hex) ERROR_NOT_SUPPORTED La demande n’est pas prise en charge. winerror.h

Informations de la stratégie de groupe :

  • Nom convivial de la stratégie de groupe : modifier l’heure système
  • Chemin de la stratégie de groupe : Windows Paramètres/Sécurité Paramètres/Stratégies locales/Attribution des droits utilisateur

UserRights/CreateGlobalObjects

Édition Windows10 Windows11
Accueil Non Non
Pro Oui Oui
Entreprise Oui Oui
Enterprise Oui Oui
Éducation Oui Oui

Étendue:

  • Appareil

Ce paramètre de sécurité détermine si les utilisateurs peuvent créer des objets globaux disponibles pour toutes les sessions. Les utilisateurs peuvent toujours créer des objets spécifiques à leur propre session s’ils n’ont pas ce droit utilisateur. Les utilisateurs qui peuvent créer des objets globaux peuvent affecter les processus qui s’exécutent sous les sessions d’autres utilisateurs, ce qui peut entraîner une défaillance de l’application ou une altération des données.

Attention

L’attribution de ce droit d’utilisateur peut constituer un risque pour la sécurité. Attribuez ce droit d’utilisateur uniquement aux utilisateurs approuvés.

Informations de la stratégie de groupe :

  • Nom convivial de la stratégie de groupe : créer des objets globaux
  • Chemin de la stratégie de groupe : Windows Paramètres/Sécurité Paramètres/Stratégies locales/Attribution des droits utilisateur

UserRights/CreatePageFile

Édition Windows10 Windows11
Accueil Non Non
Pro Oui Oui
Entreprise Oui Oui
Enterprise Oui Oui
Éducation Oui Oui

Étendue:

  • Appareil

Ce droit d’utilisateur détermine quels utilisateurs et groupes peuvent appeler une interface de programmation d’application interne (API) pour créer et modifier la taille d’un fichier de page. Ce droit d’utilisateur est utilisé en interne par le système d’exploitation et n’a généralement pas besoin d’être attribué à des utilisateurs.

Informations de la stratégie de groupe :

  • Nom convivial de la stratégie de groupe : créer un fichier de page
  • Chemin de la stratégie de groupe : Windows Paramètres/Sécurité Paramètres/Stratégies locales/Attribution des droits utilisateur

UserRights/CreatePermanentSharedObjects

Édition Windows10 Windows11
Accueil Non Non
Pro Oui Oui
Entreprise Oui Oui
Enterprise Oui Oui
Éducation Oui Oui

Étendue:

  • Appareil

Ce droit d’utilisateur détermine les comptes qui peuvent être utilisés par les processus pour créer un objet d’annuaire à l’aide du gestionnaire d’objets. Ce droit d’utilisateur est utilisé en interne par le système d’exploitation et est utile pour les composants en mode noyau qui étendent l’espace de noms de l’objet. Étant donné que ce droit d’utilisateur est déjà attribué aux composants qui s’exécutent en mode noyau, il n’est pas nécessaire de l’attribuer spécifiquement.

Informations de la stratégie de groupe :

  • Nom convivial de la stratégie de groupe : créer des objets partagés permanents
  • Chemin de la stratégie de groupe : Windows Paramètres/Sécurité Paramètres/Stratégies locales/Attribution des droits utilisateur

UserRights/CreateSymbolicLinks

Édition Windows10 Windows11
Accueil Non Non
Pro Oui Oui
Entreprise Oui Oui
Enterprise Oui Oui
Éducation Oui Oui

Étendue:

  • Appareil

Ce droit d’utilisateur détermine si l’utilisateur peut créer un lien symbolique à partir de l’ordinateur auquel il est connecté.

Attention

Ce privilège doit être accordé uniquement aux utilisateurs approuvés. Les liens symboliques peuvent exposer des vulnérabilités de sécurité dans les applications qui ne sont pas conçues pour les gérer.

Notes

Ce paramètre peut être utilisé conjointement avec un paramètre de système de fichiers de liens symboliques qui peut être manipulé avec l’utilitaire de ligne de commande pour contrôler les types de liens symboliques autorisés sur l’ordinateur. Tapez « fsutil behavior set symlinkevaluation /? » sur la ligne de commande pour obtenir plus d’informations sur fsutil et les liens symboliques.

Informations de la stratégie de groupe :

  • Nom convivial de la stratégie de groupe : créer des liens symboliques
  • Chemin de la stratégie de groupe : Windows Paramètres/Sécurité Paramètres/Stratégies locales/Attribution des droits utilisateur

UserRights/CreateToken

Édition Windows10 Windows11
Accueil Non Non
Pro Oui Oui
Entreprise Oui Oui
Enterprise Oui Oui
Éducation Oui Oui

Étendue:

  • Appareil

Ce droit d’utilisateur détermine quels comptes peuvent être utilisés par les processus pour créer un jeton qui peut ensuite être utilisé pour accéder à toutes les ressources locales lorsque le processus utilise une interface de programmation d’application interne (API) pour créer un jeton d’accès. Ce droit d’utilisateur est utilisé en interne par le système d’exploitation. À moins que cela ne soit nécessaire, n’affectez pas ce droit d’utilisateur à un utilisateur, à un groupe ou à un processus autre que le système local.

Attention

L’attribution de ce droit d’utilisateur peut constituer un risque pour la sécurité. N’affectez pas ce droit d’utilisateur à un utilisateur, à un groupe ou à un processus que vous ne souhaitez pas prendre en charge le système.

Informations de la stratégie de groupe :

  • Nom convivial de la stratégie de groupe : créer un objet de jeton
  • Chemin de la stratégie de groupe : Windows Paramètres/Sécurité Paramètres/Stratégies locales/Attribution des droits utilisateur

UserRights/DebugPrograms

Édition Windows10 Windows11
Accueil Non Non
Pro Oui Oui
Entreprise Oui Oui
Enterprise Oui Oui
Éducation Oui Oui

Étendue:

  • Appareil

Ce droit d’utilisateur détermine quels utilisateurs peuvent attacher un débogueur à n’importe quel processus ou au noyau. Les développeurs qui déboguent leurs propres applications n’ont pas besoin d’être affectés à ce droit d’utilisateur. Les développeurs qui déboguent de nouveaux composants système ont besoin de ce droit utilisateur pour pouvoir le faire. Ce droit d’utilisateur fournit un accès complet aux composants de système d’exploitation sensibles et critiques.

Attention

L’attribution de ce droit d’utilisateur peut constituer un risque pour la sécurité. Attribuez ce droit d’utilisateur uniquement aux utilisateurs approuvés.

Informations de la stratégie de groupe :

  • Nom convivial de la stratégie de groupe : Programmes de débogage
  • Chemin de la stratégie de groupe : Windows Paramètres/Sécurité Paramètres/Stratégies locales/Attribution des droits utilisateur

UserRights/DenyAccessFromNetwork

Édition Windows10 Windows11
Accueil Non Non
Pro Oui Oui
Entreprise Oui Oui
Enterprise Oui Oui
Éducation Oui Oui

Étendue:

  • Appareil

Ce droit d’utilisateur détermine quels utilisateurs ne sont pas autorisés à accéder à un ordinateur sur le réseau. Ce paramètre de stratégie remplace access this computer from the network policy setting if a user account is subject to both policies.

Informations de la stratégie de groupe :

  • Nom convivial de la stratégie de groupe : Refuser l’accès à cet ordinateur à partir du réseau
  • Chemin de la stratégie de groupe : Windows Paramètres/Sécurité Paramètres/Stratégies locales/Attribution des droits utilisateur

UserRights/DenyLocalLogOn

Édition Windows10 Windows11
Accueil Non Non
Pro Oui Oui
Entreprise Oui Oui
Enterprise Oui Oui
Éducation Oui Oui

Étendue:

  • Appareil

Ce paramètre de sécurité détermine les utilisateurs qui ne peuvent pas se connecter à l’ordinateur. Ce paramètre de stratégie remplace le paramètre Autoriser l’ouverture de session locale si un compte est soumis aux deux stratégies.

Notes

Si vous appliquez cette stratégie de sécurité au groupe Tout le monde , personne ne pourra se connecter localement.

Informations de la stratégie de groupe :

  • Nom convivial de la stratégie de groupe : Refuser la connexion localement
  • Chemin de la stratégie de groupe : Windows Paramètres/Sécurité Paramètres/Stratégies locales/Attribution des droits utilisateur

UserRights/DenyRemoteDesktopServicesLogOn

Édition Windows10 Windows11
Accueil Non Non
Pro Oui Oui
Entreprise Oui Oui
Enterprise Oui Oui
Éducation Oui Oui

Étendue:

  • Appareil

Ce droit d’utilisateur détermine quels utilisateurs et groupes ne peuvent pas se connecter en tant que clients des services Bureau à distance.

Informations de la stratégie de groupe :

  • Nom convivial de la stratégie de groupe : Refuser l’ouverture de session via les services Bureau à distance
  • Chemin de la stratégie de groupe : Windows Paramètres/Sécurité Paramètres/Stratégies locales/Attribution des droits utilisateur

UserRights/EnableDelegation

Édition Windows10 Windows11
Accueil Non Non
Pro Oui Oui
Entreprise Oui Oui
Enterprise Oui Oui
Éducation Oui Oui

Étendue:

  • Appareil

Ce droit d’utilisateur détermine quels utilisateurs peuvent définir le paramètre Approuvé pour la délégation sur un objet utilisateur ou ordinateur. L’utilisateur ou l’objet qui reçoit ce privilège doit disposer d’un accès en écriture aux indicateurs de contrôle de compte sur l’objet utilisateur ou ordinateur. Un processus serveur s’exécutant sur un ordinateur (ou dans un contexte utilisateur) approuvé pour la délégation peut accéder aux ressources sur un autre ordinateur à l’aide des informations d’identification déléguées d’un client, tant que le compte client ne peut pas être défini comme indicateur de contrôle de compte délégué.

Attention

Une mauvaise utilisation de ce droit d’utilisateur, ou du paramètre Approuvé pour la délégation, pourrait rendre le réseau vulnérable aux attaques sophistiquées à l’aide de programmes de cheval de Troie qui empruntent l’identité des clients entrants et utilisent leurs informations d’identification pour accéder aux ressources réseau.

Informations de la stratégie de groupe :

  • Nom convivial de la stratégie de groupe : activer la confiance des comptes d’ordinateur et d’utilisateur pour la délégation
  • Chemin de la stratégie de groupe : Windows Paramètres/Sécurité Paramètres/Stratégies locales/Attribution des droits utilisateur

UserRights/GenerateSecurityAudits

Édition Windows10 Windows11
Accueil Non Non
Pro Oui Oui
Entreprise Oui Oui
Enterprise Oui Oui
Éducation Oui Oui

Étendue:

  • Appareil

Ce droit d’utilisateur détermine les comptes qui peuvent être utilisés par un processus pour ajouter des entrées au journal de sécurité. Le journal de sécurité est utilisé pour suivre l’accès non autorisé au système. Une mauvaise utilisation de ce droit utilisateur peut entraîner la génération de nombreux événements d’audit, pouvant masquer des preuves d’une attaque ou provoquer un déni de service. Arrêtez immédiatement le système si le paramètre de stratégie de sécurité des audits de sécurité est activé.

Informations de la stratégie de groupe :

  • Nom convivial de la stratégie de groupe : Générer des audits de sécurité
  • Chemin de la stratégie de groupe : Windows Paramètres/Sécurité Paramètres/Stratégies locales/Attribution des droits utilisateur

UserRights/ImpersonateClient

Édition Windows10 Windows11
Accueil Non Non
Pro Oui Oui
Entreprise Oui Oui
Enterprise Oui Oui
Éducation Oui Oui

Étendue:

  • Appareil

L’attribution de ce droit d’utilisateur à un utilisateur permet aux programmes exécutés pour le compte de cet utilisateur d’emprunter l’identité d’un client. Exiger ce droit de l’utilisateur pour ce type d’emprunt d’identité empêche un utilisateur non autorisé de convaincre un client de se connecter (par exemple, par appel de procédure distante (RPC) ou des canaux nommés) à un service qu’il a créé, puis d’emprunter l’identité de ce client, ce qui peut élever les autorisations de l’utilisateur non autorisé aux niveaux d’administration ou système.

Attention

L’attribution de ce droit d’utilisateur peut constituer un risque pour la sécurité. Attribuez ce droit d’utilisateur uniquement aux utilisateurs approuvés.

Notes

Par défaut, le groupe de services intégré ajouté à ses jetons d’accès est ajouté aux services démarrés par Service Control Manager. Les serveurs COM (Component Object Model) démarrés par l’infrastructure COM et configurés pour s’exécuter sous un compte spécifique ont également le groupe de services ajouté à leurs jetons d’accès. Par conséquent, ces services permettent à cet utilisateur de bien démarrer. En outre, un utilisateur peut également emprunter l’identité d’un jeton d’accès si l’une des conditions suivantes existe.

  1. Le jeton d’accès en cours d’emprunt d’identité est destiné à cet utilisateur.
  2. Dans cette session de connexion, l’utilisateur a créé le jeton d’accès en se connectant au réseau avec des informations d’identification explicites.
  3. Le niveau demandé est inférieur à l’emprunt d’identité, tel qu’Anonyme ou Identifiez. En raison de ces facteurs, les utilisateurs n’ont généralement pas besoin de ce droit utilisateur.

Avertissement

Si vous activez ce paramètre, les programmes qui avaient précédemment le privilège d’emprunt d’identité risquent de le perdre et de ne pas s’exécuter.

Informations de la stratégie de groupe :

  • Nom convivial de la stratégie de groupe : emprunter l’identité d’un client après l’authentification
  • Chemin de la stratégie de groupe : Windows Paramètres/Sécurité Paramètres/Stratégies locales/Attribution des droits utilisateur

UserRights/IncreaseSchedulingPriority

Édition Windows10 Windows11
Accueil Non Non
Pro Oui Oui
Entreprise Oui Oui
Enterprise Oui Oui
Éducation Oui Oui

Étendue:

  • Appareil

Ce droit d’utilisateur détermine les comptes qui peuvent utiliser un processus avec accès aux propriétés d’écriture à un autre processus pour augmenter la priorité d’exécution affectée à l’autre processus. Un utilisateur disposant de ce privilège peut modifier la priorité de planification d’un processus via l’interface utilisateur du Gestionnaire des tâches.

Informations de la stratégie de groupe :

  • Nom convivial de la stratégie de groupe : augmenter la priorité de planification
  • Chemin de la stratégie de groupe : Windows Paramètres/Sécurité Paramètres/Stratégies locales/Attribution des droits utilisateur

Avertissement

Si vous supprimez Window Manager\Window Manager Group du droit d’utilisateur Augmenter la priorité de planification , certaines applications et certains ordinateurs ne fonctionnent pas correctement. En particulier, l’espace de travail INK ne fonctionne pas correctement sur les ordinateurs portables et ordinateurs de bureau UMA (Unified Memory Architecture) qui exécutent Windows 10, version 1903 (ou ultérieure) et qui utilisent le pilote Intel GFX.

Sur les ordinateurs affectés, l’affichage clignote lorsque les utilisateurs dessinent sur des espaces de travail INK tels que ceux utilisés par Microsoft Edge, Microsoft PowerPoint ou Microsoft OneNote. Le clignotement se produit parce que les processus liés à l’entrée manuscrite tentent à plusieurs reprises d’utiliser la priorité Real-Time, mais se voient refuser l’autorisation.


UserRights/LoadUnloadDeviceDrivers

Édition Windows10 Windows11
Accueil Non Non
Pro Oui Oui
Entreprise Oui Oui
Enterprise Oui Oui
Éducation Oui Oui

Étendue:

  • Appareil

Ce droit d’utilisateur détermine les utilisateurs qui peuvent charger et décharger dynamiquement des pilotes d’appareil ou tout autre code en mode noyau. Ce droit d’utilisateur ne s’applique pas aux pilotes d’appareil Plug-and-Play. Il est recommandé de ne pas attribuer ce privilège à d’autres utilisateurs.

Attention

L’attribution de ce droit d’utilisateur peut constituer un risque pour la sécurité. N’affectez pas ce droit d’utilisateur à un utilisateur, à un groupe ou à un processus que vous ne souhaitez pas prendre en charge le système.

Informations de la stratégie de groupe :

  • Nom convivial de la stratégie de groupe : charger et décharger des pilotes d’appareil
  • Chemin de la stratégie de groupe : Windows Paramètres/Sécurité Paramètres/Stratégies locales/Attribution des droits utilisateur

UserRights/LockMemory

Édition Windows10 Windows11
Accueil Non Non
Pro Oui Oui
Entreprise Oui Oui
Enterprise Oui Oui
Éducation Oui Oui

Étendue:

  • Appareil

Ce droit d’utilisateur détermine les comptes qui peuvent utiliser un processus pour conserver les données en mémoire physique, ce qui empêche le système de paginer les données vers la mémoire virtuelle sur le disque. L’exercice de ce privilège peut affecter considérablement les performances du système en réduisant la quantité de mémoire d’accès aléatoire (RAM) disponible.

Informations de la stratégie de groupe :

  • Nom convivial de la stratégie de groupe : verrouiller les pages en mémoire
  • Chemin de la stratégie de groupe : Windows Paramètres/Sécurité Paramètres/Stratégies locales/Attribution des droits utilisateur

UserRights/ManageAuditingAndSecurityLog

Édition Windows10 Windows11
Accueil Non Non
Pro Oui Oui
Entreprise Oui Oui
Enterprise Oui Oui
Éducation Oui Oui

Étendue:

  • Appareil

Ce droit d’utilisateur détermine les utilisateurs qui peuvent spécifier des options d’audit d’accès aux objets pour des ressources individuelles, telles que des fichiers, des objets Active Directory et des clés de Registre. Ce paramètre de sécurité n’autorise pas un utilisateur à activer l’audit d’accès aux fichiers et aux objets en général. Vous pouvez afficher les événements audités dans le journal de sécurité du observateur d'événements. Un utilisateur disposant de ce privilège peut également afficher et effacer le journal de sécurité.

Informations de la stratégie de groupe :

  • Nom convivial de la stratégie de groupe : gérer le journal d’audit et de sécurité
  • Chemin de la stratégie de groupe : Windows Paramètres/Sécurité Paramètres/Stratégies locales/Attribution des droits utilisateur

UserRights/ManageVolume

Édition Windows10 Windows11
Accueil Non Non
Pro Oui Oui
Entreprise Oui Oui
Enterprise Oui Oui
Éducation Oui Oui

Étendue:

  • Appareil

Ce droit d’utilisateur détermine quels utilisateurs et groupes peuvent exécuter des tâches de maintenance sur un volume, comme la défragmentation à distance. Soyez prudent lors de l’attribution de ce droit d’utilisateur. Les utilisateurs disposant de ce droit d’utilisateur peuvent explorer les disques et étendre les fichiers en mémoire contenant d’autres données. Lorsque les fichiers étendus sont ouverts, l’utilisateur peut être en mesure de lire et de modifier les données acquises.

Informations de la stratégie de groupe :

  • Nom convivial de la stratégie de groupe : effectuer des tâches de maintenance de volume
  • Chemin de la stratégie de groupe : Windows Paramètres/Sécurité Paramètres/Stratégies locales/Attribution des droits utilisateur

UserRights/ModifyFirmwareEnvironment

Édition Windows10 Windows11
Accueil Non Non
Pro Oui Oui
Entreprise Oui Oui
Enterprise Oui Oui
Éducation Oui Oui

Étendue:

  • Appareil

Ce droit d’utilisateur détermine qui peut modifier les valeurs d’environnement du microprogramme. Les variables d’environnement du microprogramme sont des paramètres stockés dans la RAM non volatile des ordinateurs non x86. L’effet du paramètre dépend du processeur. Sur les ordinateurs x86, la seule valeur d’environnement de microprogramme qui peut être modifiée en affectant ce droit d’utilisateur est le paramètre Last Known Good Configuration, qui doit être modifié uniquement par le système. Sur les ordinateurs Itanium, les informations de démarrage sont stockées dans la RAM non volatile. Cet utilisateur doit avoir le droit d’exécuter bootcfg.exe et de modifier le paramètre de système d’exploitation par défaut au démarrage et à la récupération dans les propriétés système. Sur tous les ordinateurs, ce droit d’utilisateur est nécessaire pour installer ou mettre à niveau Windows.

Notes

Ce paramètre de sécurité n’affecte pas qui peut modifier les variables d’environnement système et les variables d’environnement utilisateur affichées sous l’onglet Avancé des propriétés système.

Informations de la stratégie de groupe :

  • Nom convivial de la stratégie de groupe : modifier les valeurs de l’environnement du microprogramme
  • Chemin de la stratégie de groupe : Windows Paramètres/Sécurité Paramètres/Stratégies locales/Attribution des droits utilisateur

UserRights/ModifyObjectLabel

Édition Windows10 Windows11
Accueil Non Non
Pro Oui Oui
Entreprise Oui Oui
Enterprise Oui Oui
Éducation Oui Oui

Étendue:

  • Appareil

Ce droit d’utilisateur détermine quels comptes d’utilisateur peuvent modifier l’étiquette d’intégrité des objets, tels que les fichiers, les clés de Registre ou les processus appartenant à d’autres utilisateurs. Les processus exécutés sous un compte d’utilisateur peuvent modifier l’étiquette d’un objet appartenant à cet utilisateur à un niveau inférieur sans ce privilège.

Informations de la stratégie de groupe :

  • Nom convivial de la stratégie de groupe : modifier une étiquette d’objet
  • Chemin de la stratégie de groupe : Windows Paramètres/Sécurité Paramètres/Stratégies locales/Attribution des droits utilisateur

UserRights/ProfileSingleProcess

Édition Windows10 Windows11
Accueil Non Non
Pro Oui Oui
Entreprise Oui Oui
Enterprise Oui Oui
Éducation Oui Oui

Étendue:

  • Appareil

Ce droit d’utilisateur détermine quels utilisateurs peuvent utiliser les outils d’analyse des performances pour surveiller les performances des processus système.

Informations de la stratégie de groupe :

  • Nom convivial de la stratégie de groupe : processus unique de profil
  • Chemin de la stratégie de groupe : Windows Paramètres/Sécurité Paramètres/Stratégies locales/Attribution des droits utilisateur

UserRights/RemoteShutdown

Édition Windows10 Windows11
Accueil Non Non
Pro Oui Oui
Entreprise Oui Oui
Enterprise Oui Oui
Éducation Oui Oui

Étendue:

  • Appareil

Ce droit d’utilisateur détermine les utilisateurs autorisés à arrêter un ordinateur à partir d’un emplacement distant sur le réseau. Une mauvaise utilisation de ce droit utilisateur peut entraîner un déni de service.

Informations de la stratégie de groupe :

  • Nom convivial de la stratégie de groupe : forcer l’arrêt à partir d’un système distant
  • Chemin de la stratégie de groupe : Windows Paramètres/Sécurité Paramètres/Stratégies locales/Attribution des droits utilisateur

UserRights/RestoreFilesAndDirectories

Édition Windows10 Windows11
Accueil Non Non
Pro Oui Oui
Entreprise Oui Oui
Enterprise Oui Oui
Éducation Oui Oui

Étendue:

  • Appareil

Ce droit d’utilisateur détermine les utilisateurs qui peuvent contourner les autorisations de fichiers, de répertoires, de registres et d’autres objets persistants lors de la restauration de fichiers et de répertoires sauvegardés, et détermine les utilisateurs qui peuvent définir n’importe quel principal de sécurité valide en tant que propriétaire d’un objet. Plus précisément, ce droit d’utilisateur est similaire à l’octroi des autorisations suivantes à l’utilisateur ou au groupe en question sur tous les fichiers et dossiers du système : Parcourir le dossier/Exécuter le fichier, Écrire.

Attention

L’attribution de ce droit d’utilisateur peut constituer un risque pour la sécurité. Étant donné que les utilisateurs disposant de ce droit d’utilisateur peuvent remplacer les paramètres du Registre, masquer les données et acquérir la propriété des objets système, affectez ce droit d’utilisateur uniquement aux utilisateurs approuvés.

Informations de la stratégie de groupe :

  • Nom convivial de la stratégie de groupe : Restaurer des fichiers et des répertoires
  • Chemin de la stratégie de groupe : Windows Paramètres/Sécurité Paramètres/Stratégies locales/Attribution des droits utilisateur

UserRights/TakeOwnership

Édition Windows10 Windows11
Accueil Non Non
Pro Oui Oui
Entreprise Oui Oui
Enterprise Oui Oui
Éducation Oui Oui

Étendue:

  • Appareil

Ce droit d’utilisateur détermine quels utilisateurs peuvent prendre possession de n’importe quel objet sécurisable dans le système, y compris les objets Active Directory, les fichiers et dossiers, les imprimantes, les clés de Registre, les processus et les threads.

Attention

L’attribution de ce droit d’utilisateur peut constituer un risque pour la sécurité. Étant donné que les propriétaires d’objets en ont le contrôle total, affectez ce droit d’utilisateur uniquement aux utilisateurs approuvés.

Informations de la stratégie de groupe :

  • Nom convivial de la stratégie de groupe : prendre possession de fichiers ou d’autres objets
  • Chemin de la stratégie de groupe : Windows Paramètres/Sécurité Paramètres/Stratégies locales/Attribution des droits utilisateur