Windows 2000 使用者權利和權限設定
Overview
發佈日期: 2004 年 11 月 17 日 | 更新日期: 2006 年 5 月 31 日
本頁內容
本單元內容
本單元包含用來識別在 Microsoft® Windows 2000® 作業系統中預設使用者權限指派的表格,並提供一份<Windows 2000 安全性設定>單元所建議的變更清單。
目標
透過本單元即可:
識別在 Windows 2000 系統上的預設使用者權限指派。
識別針對預設使用者權限指派所建議的變更項目,以便提供更安全的環境。
適用於
本單元適用於下列產品及技術:
Microsoft Windows 2000 作業系統
Microsoft Windows 2000 作業系統網域控制站
Microsoft Windows 2000 網域
如何使用本單元
利用本單元來識別 Windows 2000 的預設使用者權限指派,並找出預設設定的變更建議,以便建立更安全的環境。
若要充分瞭解本單元:
**請參閱<Windows 2000 安全性設定>單元。**此單元提供詳盡的安全性設定說明文件,可用來增進 Windows 2000 的安全性。
請參閱<Windows 2000 預設安全性原則設定 >單元。此單元指出可套用到各種 Windows 2000 系統角色的預設安全性原則設定。
請參閱< Windows 2000 安全性設定工具 >單元。此單元著重在可供套用安全設定的 Windows 2000 工具。
使用檢查清單「Windows 2000 安全性設定檢查清單 」。此單元包含安全性檢查清單,可用來評估系統安全性,以確保所有設定變更均已完成。
使用隨附的 How To 文件:
《如何安全地安裝 Windows 2000》
《如何在 Windows 2000 中設定和套用安全性範本》
使用者權利和權限
[表 1] 說明在獨立 Windows 2000 Professional 與 Server 系統以及在 Windows 2000 網域控制台上指派給使用者的預設使用者權限。表中也提供網域安全性原則中的預設使用者權限 (預設均為尚未定義)。網域安全性原則中的指派將會覆寫網域成員的本機安全性原則設定。
使用者權利/權限指派可在「本機及網域安全性原則 GUI」中找到,如下所示:
Windows 2000 Professional:
[系統管理工具] -> [本機安全性原則] -> [安全性設定\本機原則\使用者權限指派]
Windows 2000 Server:
[系統管理工具] -> [本機安全性原則] -> [安全性設定\本機原則\使用者權限指派]
Windows 2000 網域控制站:
[系統管理工具] -> [網域控制站安全性原則] -> [Windows 設定\安全性設定\本機原則\使用者權限指派]
[系統管理工具] -> [網域安全性原則] -> [Windows 設定\安全性設定\本機原則\使用者權限指派]
[表 1]:使用者權利和權限
| 使用者權利/權限 | 說明 | 在獨立 Windows 2000 Professional 電腦上被指派此權限的群組 | 在獨立 Windows 2000 Server 電腦上被指派此權限的群組 | 在 Windows 2000 網域安全性原則(位於網域控制站上) 中被指派此權限的群組 | 在具有 AD 服務 (網域控制站安全性原則) 之 Windows 2000 網域控制站上被指派此權限的群組 |
|---|---|---|---|---|---|
| 登入權限 | |||||
| 從網路 存取 這台電腦 (SeNetwork LogonRights) |
可決定允許哪些使用者經由網路連接到電腦。 | 預設: Administrators Backup Operators Power Users users Everyone 建議 變更: Administrators Backup Operators Power Users Users Authen.User。 |
預設: Administrators Backup Operators Power Users UsersEveryone 建議 變更: Administrators Backup Operators Power Users Users Authen.Users |
預設: (尚未定義) 建議: 不要變更 |
預設: Administrators Authen.Users Everyone 建議 變更: Administrators Authen.Users |
| 以批次工作 登入 (SeBatch LogonRight) |
允許使用者使用批次佇列設備來登入。 | 預設: 無 建議: 不要變更 |
預設: 無 建議: 不要變更 |
預設: (尚未定義) 建議: 不要變更 |
預設: 無 建議: 不要變更 |
| 本機登入
(SeInteractive LogonRight) |
允許使用者在本機登入電腦。 | 預設: Administrators Backup Operators Power Users Users Machinename\Guest 建議變更: Administrators Backup Operators Power Users Users |
預設: Administrators Backup Operators Power Users Users 電腦名稱\Guest 電腦名稱 \ TsInternetUser 建議 變更: Administrators Backup Operators Power Users Users |
預設: (尚未定義) 建議: 不要變更 |
預設: Administrators Account Operators Backup Operators Print Operators Server Operators TsInternetUser 建議 變更: Administrators Account Operators Backup Operators Print Operators Server Operators |
| 以服務方式登入
(SeService LogonRight) |
允許安全性主體以服務方式登入。可以將服務設定為在 LocalSystem 帳戶下執行,該帳戶具有以服務方式登入的內建權限。所有在其他帳戶下執行的服務都必須被指派此權限。 | 預設: 無 建議: 不要變更 |
預設: 無 建議: 不要變更 |
預設: (尚未定義) 建議: 不要變更 |
預設: 無 建議: 不要變更 |
| 拒絕從網路 存取這台 電腦 (SeDenyNetwork LogonRight) |
禁止使用者或群組從網路連接到電腦。 | 預設: 無 建議: 不要變更 |
預設: 無 建議: 不要變更 |
預設: (尚未定義) 建議: 不要變更 |
預設: 無 建議: 不要變更 |
| 拒絕本機登入
(SeDenyInteractive LogonRight) |
禁止使用者或群組在本機登入電腦。 | 預設: 無 建議: 不要變更 |
預設: 無 建議: 不要變更 |
預設: (尚未定義) 建議: 不要變更 |
預設: 無 建議: 不要變更 |
| 拒絕以批次檔 登入 (SeDenyBatch LogonRight) |
禁止使用者或群組經由批次佇列設備登入。 | 預設: 無 建議: 不要變更 |
預設: 無 建議: 不要變更 |
預設: (尚未定義) 建議: 不要變更 |
預設: 無 建議: 不要變更 |
| 拒絕以服務方式 登入 (SeDenyService LogonRight) |
禁止使用者或群組以服務方式登入。 | 預設: 無 建議: 不要變更 |
預設: 無 建議: 不要變更 |
預設: (尚未定義) 建議: 不要變更 |
預設: 無 建議: 不要變更 |
| 充當部分 作業系統 (SeTcbPrivilege) |
允許將處理序驗證為使用者,藉此存取使用者所存取的相同資源。只有低階的驗證服務需要此服務。 可能的存取範圍不一定會受限於預設使用者的存取範圍,因為呼叫處理序可能會要求在存取權杖中加入自定額外存取。另外還需注意的是,呼叫處理序可以建立提供任何及所有存取的匿名權杖。此外,匿名權杖並不會為稽核記錄中的事件追蹤作業提供主要識別身份。 在預設狀況下,LocalSystem 帳戶會使用此權限。 | 預設: 無 建議: 不要變更 |
預設: 無 建議: 不要變更 |
預設: (尚未定義) 建議: 不要變更 |
預設: 無 建議: 不要變更 |
| 新增工作站 到網域 (SeMachineAccount Privilege) |
允許使用者將電腦新增到特定的網域中。若要讓此權限生效,必須將其指派給網域中的使用者,且該使用者必須為網域控制站的本機安全性原則的一員。具有此權限的使用者可以新增多達 10 部工作站到網域中。 在 Windows 2000,此權限的行為是由組織單位的「建立電腦物件」權限和 Microsoft Active Directory® 中的預設「電腦」容器所複製。具有「建立電腦物件」權限的使用者可以將無限數量的電腦加入網域中。 | 預設: 無 建議: 不要變更 |
預設: 無 建議: 不要變更 |
預設: (尚未定義) 建議: 不要變更 |
預設: Authen.Users 建議 變更: Domain Admins |
| 備份檔案及 目錄 (SeBackup Privilege) |
允許使用者避開檔案及目錄權限來備份系統。此權限只有在應用程式嘗試經由 NTFS 備份應用程式介面進行存取時才會選取。否則只會套用一般的檔案及目錄權限。 | 預設: Administrators Backup Operators 建議: 不要變更 |
預設: Administrators Backup Operatorsv 建議: 不要變更 |
預設: (尚未定義) 建議: 不要變更 |
預設: Administrators Backup Operators Server Operators 建議: 不要變更 |
| 略過周遊 檢查 (SeChangeNotify Privilege) |
當使用者瀏覽任一 Microsoft Windows 檔案系統或登錄中的物件路徑,但缺少存取權限時,允許使用者通過這些資料夾。此權限不允許使用者列示資料夾內容,只允許使用者周遊其中的目錄。 | 預設: Administrators Backup Operators Power Users Users Everyone 建議: 不要變更 |
預設: AdministratorsvBackup Operators Power Users Users Everyone 建議: 不要變更 |
預設: (尚未定義) 建議: 不要變更 |
預設: Administrators Authen.Users Everyone 建議: 不要變更 |
| 變更系統 時間 (SeSystemTime Privilege) |
允許使用者設定電腦內部時鐘的時間。 | 預設: Administrators Power Users 建議: 不要變更 |
預設: Administrators Power Users 建議: 不要變更 |
預設: (尚未定義) 建議: 不要變更 |
預設: Administrators Server Operators 建議: 不要變更 |
| 建立權杖 物件 (SeCreateToken Privilege) |
允許處理序呼叫NtCreateToken 或其他建立權杖的 API 來建立存取權杖。 | 預設: 無 建議: 不要變更 |
預設: 無 建議: 不要變更 |
預設: (尚未定義) 建議: 不要變更 |
預設: 無 建議: 不要變更 |
| 建立永久 共用物件 (SeCreate Permanent Privilege) |
允許處理序在 Windows 2000 物件管理員中建立目錄物件。此權限特別適用於延伸 Windows 2000 物件名稱空間的核心模式元件。以核心模式執行的元件已經具備此權限,因此無須再指派。 | 預設: 無 建議: 不要變更 |
預設: 無 建議: 不要變更 |
預設: (尚未定義) 建議: 不要變更 |
預設: 無 建議: 不要變更 |
| 建立分頁檔
(SeCreatePagefile Privilege) |
允許使用者建立和變更分頁檔大小。 | 預設: Administrators 建議: 不要變更 |
預設: Administrators 建議: 不要變更 |
預設: (尚未定義) 建議 變更: Administrators |
預設: Administrators 建議: 不要變更 |
| 偵錯程式 (SeDebugPrivilege) | 允許使用者附加偵錯工具到任何處理序。 | 預設: Administrators 建議: 不要變更 |
預設: Administrators 建議: 不要變更 |
預設: (尚未定義) 建議: 不要變更 |
預設: Administrators 建議: 不要變更 |
| 讓電腦 和使用者 帳戶接受 信任以 執行委派 (SeEnable Delegation Privilege) |
允許使用者變更在 Active Directory 中使用者或電腦的 [受信任可以委派] 設定。授予此權限的使用者或電腦還必須具有寫入物件上之帳戶控制旗標的權限。 | 預設: 無 建議: 不要變更 |
預設: 無 建議: 不要變更 |
預設: (尚未定義) 建議: 不要變更 |
預設: Administrators 建議: 不要變更 |
| 強制從 遠端系統 關機 (SeRemote ShutdownPrivilege) |
允許使用者從網路上的遠端位置關閉電腦。 | 預設: Administrators 建議: 不要變更 |
預設: Administrators 建議: 不要變更 |
預設: (尚未定義) 建議 變更: Administrators |
預設: Administrators 伺服器操作員 建議: 不要變更 |
| 產生安全性 稽核 (SeAuditPrivilege) |
允許處理序在安全性記錄檔中產生項目。安全性記錄檔是用來追蹤未授權系統存取及其他與安全性相關的活動。 | 預設:無 建議: 不要變更 |
預設:無 建議: 不要變更 |
預設:(尚未定義) 建議: 不要變更 |
預設:無 建議: 不要變更 |
| 增加配額
(SeIncrease QuotaPrivilege) |
允許對其他處理序具有「寫入屬性」存取權的處理序,能夠增加指派給其他處理序的處理器資源配額。就系統微調作業而言,這項權限很有用,但是可能會被濫用 (例如用於拒絕服務攻擊)。 | 預設: Administrators 建議: 不要變更 |
預設: Administrators 建議: 不要變更 |
預設: (尚未定義) 建議 變更: Administrators |
預設: Administrators 建議: 不要變更 |
| 增加排程 優先順序 (SeIncreaseBase PriorityPrivilege) |
允許對其他處理序具有「寫入屬性」存取權的處理序,能夠增加其他處理序的執行優先順序。 | 預設: Administrators 建議: 不要變更 |
預設: Administrators 建議: 不要變更 |
預設: (尚未定義) 建議 變更: Administrators |
預設: Administrators 建議: 不要變更 |
| 載入和卸載 裝置驅動程式 (SeLoadDriver Privilege) |
允許使用者安裝和解除安裝隨插即用裝置驅動程式。此權限無法用於非隨插即用的裝置驅動程式;只有系統管理員可以安裝這些裝置驅動程式。請注意,裝置驅動程式是當作受信任 (高度授權) 處理序來執行;如果使用者安裝惡意程式,並提供對資源的破壞性存取權,便可能造成此權限被濫用。 | 預設: Administrators 建議: 不要變更 |
預設: Administrators 建議: 不要變更 |
預設: (尚未定義) 建議 變更: Administrators |
預設: Administrators 建議: 不要變更 |
| 鎖定記憶體分頁
(SeLockMemory Privilege) |
允許處理序將資料保存在實體記憶體中,以免系統將資料分頁至磁碟上的虛擬記憶體。指派此權限可能會導致明顯的系統效能降低。 | 預設: 無 建議: 不要變更 |
預設: 無 建議: 不要變更 |
預設: (尚未定義) 建議: 不要變更 |
預設: 無 建議: 不要變更 |
| 管理稽核 和安全性記錄 (SeSecurity Privilege) |
允許使用者針對個別資源 (例如檔案、Active Directory 物件和登錄機碼) 指定物件存取稽核選項。物件存取稽核實際上不會執行,除非已在「稽核原則」中啟用。具有此權限的使用者也可以從事件檢視器中檢視和清除安全性記錄。 | 預設: Administrators 建議: 不要變更 |
預設: Administrators 建議: 不要變更 |
預設: (尚未定義) 建議 變更: Administrators |
預設: Administrators 建議: 不要變更 |
| 修改韌體 環境 值 (SeSystem Environment Privilege) |
允許經由 API 的處理序或經由系統內容 Applet 的使用者來修改系統環境變數。 | 預設: Administrators 建議: 不要變更 |
預設: Administrators 建議: 不要變更 |
預設: (尚未定義) 建議變更: Administrators |
預設: Administrators 建議: 不要變更 |
| 設定檔單一 處理序 (SeProfile SingleProcess Privilege) |
允許使用者執行 Microsoft Windows NT 與 Windows 2000 效能監視工具來監控非系統的處理序效能。 | 預設: Administrators Power Users 建議: 不要變更 |
預設: Administrators Power Users 建議: 不要變更 |
預設: (尚未定義) 建議: 不要變更 |
預設: Administrators 建議: 不要變更 |
| 設定檔系統 效能 (SeSystemProfile Privilege) |
允許使用者執行 Microsoft Windows NT 與 Windows 2000 效能監視工具來監控系統的處理序效能。 | 預設: Administrators 建議: 不要變更 |
預設: Administrators 建議: 不要變更 |
預設: (尚未定義) 建議 變更: Administrators |
預設: Administrators 建議: 不要變更 |
| 將電腦 從銜接站 移除 (SeUndock Privilege) |
允許可攜式電腦的使用者利用按一下 [開始] 功能表上的 [退出 PC] 來解除鎖定電腦。 | 預設: Administrators Power Users Users 建議: 不要變更 |
預設: Administrators Power Users Users 建議: 不要變更 |
預設: (尚未定義) 建議: 不要變更 |
預設: Administrators 建議: 不要變更 |
| 取代處理序層級權杖
(SeAssignPrimaryToken Privilege) |
允許父處理序取代與子處理序相關的存取權杖。 | 預設: 無 建議: 不要變更 |
預設: 無 建議: 不要變更 |
預設: (尚未定義) 建議: 不要變更 |
預設: 無 建議: 不要變更 |
| 還原檔案及 目錄 (SeRestore Privilege) |
允許使用者在還原已備份檔案和目錄時避開檔案及目錄權限,並允許使用者將有效的安全性主體設為物件擁有者。 | 預設: Administrators Backup Operators 建議: 不要變更 |
預設: Administrators Backup Operators 建議: 不要變更 |
預設: (尚未定義) 建議: 不要變更 |
預設: Administrators Backup Operators Server Operators 建議: 不要變更 |
| 關閉 系統 (SeShutdown Privilege) |
允許使用者關閉本機電腦。 | 預設: Administrators Backup Operators Power Users Users 建議 變更: Administrators Backup Operators Power Users Authenticated Users |
預設: Administrators Backup Operators Power Users 建議 變更: Administrators Backup Operators Power Users Authenticated Users |
預設:(尚未定義) 建議: 不要變更 |
預設: Administrators Account Operators Backup Operators Server Operators Print Operators 建議: 不要變更 |
| 同步處理 目錄 服務資料 (SeSyncAgent Privilege) |
允許服務提供目錄同步處理服務。此權限僅與網域控制站相關。 網域控制站必須具有此權限才能使用 LDAP 目錄同步處理服務。擁有此權限的使用者可以讀取目錄中的所有物件和屬性,無論物件和屬性是否設有保護。在預設的狀況下,此權限會指派給網域控制站的系統管理員和 LocalSystem 帳戶 | 預設: 無 建議: 不要變更 |
預設: 無 建議: 不要變更 |
預設: (尚未定義) 建議: 不要變更 |
預設: Administrator 建議: 不要變更 |
| 取得 檔案或 其他物件的擁有權 (SeTakeOwnership Privilege) |
允許使用者取得系統中任何安全物件的擁有權,包括 Active Directory 物件、檔案和資料夾、印表機、登錄機碼、處理序及執行緒。 | 預設: Administrators 建議: 不要變更 |
預設: Administrators 建議: 不要變更 |
預設: (尚未定義) 建議變更: Administrators |
預設: Administrators 建議: 不要變更 |
| 從終端機裝置 讀取 未經要求的資料 (SeUnsolicited InputPrivilege) |
從終端機裝置讀取未經要求之輸入的必要權限。此權限已作廢且停用。此權限對系統沒有效用。 | 預設: 無 建議: 不要變更 |
預設: 無 建議: 不要變更 |
預設: 無 建議: 不要變更 |
預設: 無 建議: 不要變更 |