Стандартні і додаткові права користувачів в Windows NT/2000/ХР

В Windows NT/2000/ХР призначені для користувача права діляться на стандартні і додаткові. Додаткові права покликані забезпечити можливість виконання програмістами або адміністраторами певних дій, які не можуть виконувати звичайні користувачі. Нижче представлений перелік основних прав, які можна привласнити користувачеві або групі, а також їх короткий опис.

■ Manages auditing and security log(Управління аудитом і журналом безпеки). Можливість ведення аудиту використовування мережних ресурсів і управління журналами за допомогою засобу Event Viewer.

■ Backup files and directories(Архівація файлів і каталогів). З такими правами користувачі можуть створювати резервні копії навіть тих даних, для читання яких вони не мають відповідних дозволів NTFS.

■ Restore files and directories (Відновлення файлів і каталогів). Аналогічно попередньому праву. Користувачі можуть відновлювати файли з резервних копій навіть в тому випадку, якщо для доступу до диска у них немає відповідних дозволів NTFS.

■ Log on locally using keyboard and mouse(Локальна реєстрація за допомогою клавіатури і миші). Надають можливість локальній реєстрації на робочій станції або сервері.

■ Change system time(Зміна системного часу). Дозволяє змінювати дату і час комп'ютера.

■ Access this computer from network(Доступ до комп'ютера з мережі). Дозволяє реєструватися на комп'ютері по мережі. Іншими словами, надає можливість встановити мережне з'єднання, наприклад, для доступу до файлу, що спільно використовується.

■ Shut down system on computer(Завершення роботи системи). Дозволяє завершити сеанс роботи системи.

■ Add workstations to а domain(Додавання робочих станцій до домена). Користувач з такими правами може додавати нові робочі станції в базу даних домена. Це право є вбудованою можливістю груп Administrators і Server Operators домена.

■ Take ownership files and other objects(Оволодіння файлами і іншими об'єктами). Дозволяє користувачу стати власником файлів або каталогів, що належать іншому користувачу.

■ Force shutdown from а remote system(Примусове віддалене завершення). Надає можливість завершити роботу системи з віддаленого комп'ютера.

■ Load and change device drivers(Завантаження і вивантаження драйверів пристроїв). Дозволяє встановлювати і видаляти драйвери пристроїв.

На додаток до базових є і додаткові права. Вони виявляються корисними для виконання деяких задач, наприклад запуску спеціальних програм як фонова служба або частина операційної системи.

■ Acts as part operating system(Робота в режимі операційної системи). Звичайно це право призначається підсистемам операційної системи. При цьому тека може використовуватися як захищена, довірена частина операційної системи.

■ Bypass traverse checking(Обхід перехресної перевірки). Користувач з таким правом може прочитувати дані з дерева каталога навіть у тому випадку, коли у нього немає доступу до всіх каталогів дерева.

■ Create а pagefile(Створення сторінкового файлу). Звичайно надається групі Administrators. При цьому за допомогою утиліти System панелі управління користувач може створювати додаткові файли віртуальних сторінок.

■ Create а token object (Створення маркерного об'єкту). Дозволяє створювати маркер реєстрації і звичайно не присвоюється окремим користувачам, а лише локальній системі безпеки комп'ютера Windows NT/2000/ХР.

■ Create реrmanent shared objects(Створення постійних об'єктів сумісного використовування). Дозволяє створювати спеціальні структури ресурсів, що використовуються усередині операційної системи. Як правило, це право користувачам не надається.

■ Debug programs (Відладка програм).Маючи таке право, програміст може виконувати відладку низького рівня. Така можливість корисна розробникам додатків і адміністраторам.

■ Generate security audits (Створення журналів безпеки). Необхідно для створення записів в журналі безпеки. Таке право звичайно користувачу не призначається.

■ Increase quotas(Збільшення квот). Дозволяє збільшувати квоти об'єкту операційної системи і звичайно надається обліковим записам адміністраторів.

■ Increase priority (Підвищення пріоритетності процесів). Надає можливість підвищення встановленого раніше пріоритету процесу. Обліковим записам адміністраторів це право за умовчанням не надається.

■ Load and unload device drivers(Завантаження і вивантаження драйверів пристроїв). Надає можливість установки і видалення драйверів пристроїв.

■ Lock pages in memory(Закріплення сторінок в пам'яті). Дозволяє блокувати сторінки фізичної пам'яті так, щоб при виконанні звичайних операцій з віртуальною пам'яттю вони не поміщалися у файли віртуальних сторінок. Така можливість виявляється корисною при роботі з додатком реального часу, проте це право звичайним користувачам не надається.

■ Log in as а batch job(Реєстрація пакетних задач). Користувач може поставити задачу за допомогою утиліти пакетного планування (такий, як команда AT).

■ Log in as а service (Реєстрація служби).Звичайно надається обліковим записам, створеним для запуску програми у фоновому режимі як служби. Управління службами здійснюється за допомогою утиліти Services (Служби) панелі управління. Використовуйте цю утиліту, щоб задати для служби ім'я користувача, після надайте користувачу це право.

■ Modify firmware environment variables(Зміна параметрів середовища устаткування). Дозволяє модифікувати системні змінні оточення і звичайно надається лише адміністраторам.

■ Profile system реrformance(Профілізація завантаженості системи). Дозволяє користувачу збирати інформацію про систему, яка використовується для оцінки її продуктивності. Звичайно це право надається лише адміністраторам.

■ Replace а process level token(Заміна маркера рівня процесу). Звичайно використовується операційною системою. Надає користувачу можливість модифікувати маркер захисту процесу.