Создание глобальных объектовCreate global objects

Область примененияApplies to

  • Windows 10Windows10

В этой статье описаны рекомендации, расположение, значения, Управление политиками и параметры безопасности для параметра политики безопасности " Создание глобальных объектов ".Describes the best practices, location, values, policy management, and security considerations for the Create global objects security policy setting.

СправочникReference

Этот параметр политики определяет, какие пользователи могут создавать глобальные объекты, доступные во всех сеансах.This policy setting determines which users can create global objects that are available to all sessions. Пользователи по-прежнему могут создавать объекты, которые относятся к собственным сеансам, если они не имеют этого права пользователя.Users can still create objects that are specific to their own session if they do not have this user right.

Глобальный объект — это объект, который создается для использования любым количеством процессов или потоков, даже не запущенных в сеансе пользователя.A global object is an object that is created to be used by any number of processes or threads, even those not started within the user’s session. Службы удаленных рабочих столов используют глобальные объекты в своих процессах для упрощения подключений и доступа.Remote Desktop Services uses global objects in its processes to facilitate connections and access.

Константа: СекреатеглобалпривилежеConstant: SeCreateGlobalPrivilege

Возможные значенияPossible values

  • Определенный пользователем список учетных записейUser-defined list of accounts
  • Учетные записи по умолчаниюDefault accounts listed below

РекомендацииBest practices

  • Не назначайте ни одной учетной записи это право.Do not assign any user accounts this right.

НазначениеLocation

Конфигуратион\виндовс компьютеров Сеттингс\секурити Сеттингс\локал ПолиЦиес\усерComputer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment

Значения по умолчаниюDefault values

По умолчанию члены группы Администраторы обладают этим правом, как локальная служба и учетные записи сетевой службы на поддерживаемых версиях Windows.By default, members of the Administrators group have this right, as do Local Service and Network Service accounts on the supported versions of Windows. Служба включена для обеспечения обратной совместимости с более ранними версиями Windows.Service is included for backwards compatibility with earlier versions of Windows.

В приведенной ниже таблице перечислены фактические и действующие значения политики по умолчанию.The following table lists the actual and effective default policy values. Значения по умолчанию также указаны на странице свойств политики.Default values are also listed on the policy’s property page.

Тип сервера или объект групповой политикиServer type or GPO Значение по умолчаниюDefault value
Политика домена по умолчаниюDefault Domain Policy Не определеноNot Defined
Политика контроллера домена по умолчаниюDefault Domain Controller Policy АдминистраторыAdministrators
Локальная службаLocal Service
Сетевая службаNetwork Service
СлужбаService
Параметры по умолчанию отдельного сервераStand-Alone Server Default Settings АдминистраторыAdministrators
Локальная службаLocal Service
Сетевая службаNetwork Service
СлужбаService
Действующие параметры по умолчанию для контроллера доменаDomain Controller Effective Default Settings АдминистраторыAdministrators
Локальная службаLocal Service
Сетевая службаNetwork Service
СлужбаService
Действующие параметры по умолчанию для рядового сервераMember Server Effective Default Settings АдминистраторыAdministrators
Локальная службаLocal Service
Сетевая службаNetwork Service
СлужбаService
Параметры по умолчанию, действующие на клиентском компьютереClient Computer Effective Default Settings АдминистраторыAdministrators
Локальная службаLocal Service
Сетевая службаNetwork Service
СлужбаService

Средства управления политикойPolicy management

Чтобы этот параметр политики вступил в силу, перезапустить устройство не требуется.A restart of the device is not required for this policy setting to take effect.

Любые изменения, внесенные в назначение прав пользователя для учетной записи, вступают в силу при следующем входе в систему владельца учетной записи.Any change to the user rights assignment for an account becomes effective the next time the owner of the account logs on.

Групповая политикаGroup Policy

Параметры применяются в указанном ниже порядке с помощью объекта групповой политики (GPO), который будет перезаписывать параметры на локальном компьютере при следующем обновлении групповой политики:Settings are applied in the following order through a Group Policy Object (GPO), which will overwrite settings on the local computer at the next Group Policy update:

  1. Параметры локальной политикиLocal policy settings
  2. Параметры политики сайтаSite policy settings
  3. Параметры политики доменаDomain policy settings
  4. Параметры политики OUOU policy settings

Если локальная настройка недоступна, это указывает на то, что объект GPO, который в настоящее время управляет этим параметром.When a local setting is greyed out, it indicates that a GPO currently controls that setting.

Вопросы безопасностиSecurity considerations

В этом разделе описывается, каким образом злоумышленник может использовать компонент или его конфигурацию, как реализовать меры противодействия, а также рассматриваются возможные отрицательные последствия их реализации.This section describes how an attacker might exploit a feature or its configuration, how to implement the countermeasure, and the possible negative consequences of countermeasure implementation.

УязвимостьVulnerability

Право на Создание глобальных объектов необходимо для учетной записи пользователя для создания глобальных объектов в сеансах удаленных рабочих столов.The Create global objects user right is required for a user account to create global objects in Remote Desktop sessions. Пользователи по-прежнему могут создавать объекты Session-спекфик, не применяя это право пользователя.Users can still create session-specfic objects without being assigned this user right. Назначение этого права может представлять угрозу безопасности.Assigning this right can be a security risk.

По умолчанию членам группы Администраторы , системной учетной записи и службам, запускаемым диспетчером управления службами, назначаются права пользователей CREATE GLOBAL Objects .By default, members of the Administrators group, the System account, and services that are started by the Service Control Manager are assigned the Create global objects user right. Пользователи, добавленные в группу " Пользователи удаленного рабочего стола ", также имеют это право пользователя.Users who are added to the Remote Desktop Users group also have this user right.

ПротиводействиеCountermeasure

Если для пользователей, не являющихся администраторами, требуется доступ к серверу с помощью удаленного рабочего стола, добавьте пользователей в группу " Пользователи удаленного рабочего стола ", а не ассининг их права.When non-administrators need to access a server using Remote Desktop, add the users to the Remote Desktop Users group rather than assining them this user right.

Возможное влияниеPotential impact

Нет.None. Не определена — Настройка политики домена по умолчанию.Not Defined is the default domain policy configuration.

Еще по темеRelated topics