Provider di servizi di configurazione dei criteri - UserRights
I diritti utente vengono assegnati per gli account utente o i gruppi. Il nome dei criteri definisce il diritto utente in questione e i valori sono sempre utenti o gruppi. I valori possono essere rappresentati come identificatori di sicurezza (SID) o stringhe. Per altre informazioni, vedere Strutture SID note.
Anche se le stringhe sono supportate per account e gruppi noti, è preferibile usare i SID, perché le stringhe sono localizzate per lingue diverse. Alcuni diritti utente consentono elementi come AccessFromNetwork, mentre altri non consentono elementi, ad esempio DenyAccessFromNetwork.
Esempio generale
Ecco un esempio per impostare il diritto utente BackupFilesAndDirectories per i gruppi Administrators e Authenticated Users.
<SyncML xmlns="SYNCML:SYNCML1.2">
<SyncBody>
<Replace>
<CmdID>2</CmdID>
<Item>
<Meta>
<Format>chr</Format>
<Type>text/plain</Type>
</Meta>
<Target>
<LocURI>./Device/Vendor/MSFT/Policy/Config/UserRights/BackupFilesAndDirectories</LocURI>
</Target>
<Data>Authenticated UsersAdministrators</Data>
</Item>
</Replace>
<Final/>
</SyncBody>
</SyncML>
Di seguito sono riportati alcuni esempi di campi dati. La codifica 0xF000
è il delimitatore/separatore standard.
Concedere un diritto utente al gruppo Administrators tramite SID:
<Data>*S-1-5-32-544</Data>
Concedere un diritto utente a più gruppi (amministratori, utenti autenticati) tramite SID:
<Data>*S-1-5-32-544*S-1-5-11</Data>
Concedere un diritto utente a più gruppi (amministratori, utenti autenticati) tramite una combinazione di SID e stringhe:
<Data>*S-1-5-32-544Authenticated Users</Data>
Concedere un diritto utente a più gruppi (utenti autenticati, amministratori) tramite stringhe:
<Data>Authenticated UsersAdministrators</Data>
L'input vuoto indica che non sono presenti utenti configurati per avere tale diritto utente:
<Data></Data>
Se si usa Intune profili personalizzati per assegnare criteri UserRights, è necessario usare il tag CDATA (<![CDATA[...]]>
) per eseguire il wrapping dei campi dati. È possibile specificare uno o più gruppi di utenti all'interno del tag CDATA usando 0xF000
come delimitatore/separatore.
Nota

è la codifica dell'entità di 0xF000
.
Ad esempio, la sintassi seguente concede i diritti utente ai gruppi di utenti autenticati e replicatori:
<![CDATA[Authenticated UsersReplicator]]>
Ad esempio, la sintassi seguente concede diritti utente a due utenti Microsoft Entra specifici di Contoso, user1 e user2:
<![CDATA[AzureAD\user1@contoso.comAzureAD\user2@contoso.com]]>
Ad esempio, la sintassi seguente concede i diritti utente a un utente o a un gruppo specifico usando il SID dell'account o del gruppo:
<![CDATA[*S-1-12-1-430441778-1204322964-3914475434-3271576427*S-1-12-1-2699785510-1240757380-4153857927-656075536]]>
AccessCredentialManagerAsTrustedCaller
Ambito | Edizioni | Sistema operativo applicabile |
---|---|---|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 versione 1803 [10.0.17134] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/UserRights/AccessCredentialManagerAsTrustedCaller
Questo diritto utente viene usato da Gestione credenziali durante il backup/ripristino. Nessun account deve avere questo privilegio, perché è assegnato solo a Winlogon. Le credenziali salvate degli utenti potrebbero essere compromesse se questo privilegio viene concesso ad altre entità.
Proprietà del framework di descrizione:
Nome della proprietà | Valore proprietà |
---|---|
Formato |
chr (stringa) |
Tipo accesso | Aggiungi, Elimina, Ottieni, Sostituisci |
Valori consentiti | Elenco (delimitatore: 0xF000 ) |
Mapping dei criteri di gruppo:
Nome | Valore |
---|---|
Nome | Accedere a Credential Manager come un chiamante attendibile |
Percorso | Impostazioni di > sicurezza di Windows Impostazioni > impostazioni > locali Assegnazione diritti utente |
AccessFromNetwork
Ambito | Edizioni | Sistema operativo applicabile |
---|---|---|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 versione 1803 [10.0.17134] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/UserRights/AccessFromNetwork
Questo diritto utente determina quali utenti e gruppi possono connettersi al computer tramite la rete. Servizi Desktop remoto non sono interessati da questo diritto utente.
Nota
Servizi Desktop remoto è stato chiamato Servizi terminal nelle versioni precedenti di Windows Server.
Proprietà del framework di descrizione:
Nome della proprietà | Valore proprietà |
---|---|
Formato |
chr (stringa) |
Tipo accesso | Aggiungi, Elimina, Ottieni, Sostituisci |
Valori consentiti | Elenco (delimitatore: 0xF000 ) |
Mapping dei criteri di gruppo:
Nome | Valore |
---|---|
Nome | Accedi al computer dalla rete |
Percorso | Impostazioni di > sicurezza di Windows Impostazioni > impostazioni > locali Assegnazione diritti utente |
ActAsPartOfTheOperatingSystem
Ambito | Edizioni | Sistema operativo applicabile |
---|---|---|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 versione 1803 [10.0.17134] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/UserRights/ActAsPartOfTheOperatingSystem
Questo diritto utente consente a un processo di rappresentare qualsiasi utente senza autenticazione. Il processo può quindi ottenere l'accesso alle stesse risorse locali dell'utente. I processi che richiedono questo privilegio devono usare l'account LocalSystem, che include già questo privilegio, anziché usare un account utente separato con questo privilegio assegnato in modo specifico.
Attenzione
L'assegnazione di questo diritto utente può costituire un rischio per la sicurezza. Assegnare questo diritto utente solo agli utenti attendibili.
Proprietà del framework di descrizione:
Nome della proprietà | Valore proprietà |
---|---|
Formato |
chr (stringa) |
Tipo accesso | Aggiungi, Elimina, Ottieni, Sostituisci |
Valori consentiti | Elenco (delimitatore: 0xF000 ) |
Mapping dei criteri di gruppo:
Nome | Valore |
---|---|
Nome | Agire come parte del sistema operativo |
Percorso | Impostazioni di > sicurezza di Windows Impostazioni > impostazioni > locali Assegnazione diritti utente |
AdjustMemoryQuotasForProcess
Ambito | Edizioni | Sistema operativo applicabile |
---|---|---|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 11 versione 24H2 [10.0.26100] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/UserRights/AdjustMemoryQuotasForProcess
Modificare le quote di memoria per un processo: questo privilegio determina chi può modificare la memoria massima che può essere utilizzata da un processo. Questo privilegio è utile per l'ottimizzazione del sistema su base di gruppo o utente.
Proprietà del framework di descrizione:
Nome della proprietà | Valore proprietà |
---|---|
Formato |
chr (stringa) |
Tipo accesso | Aggiungi, Elimina, Ottieni, Sostituisci |
Valori consentiti | Elenco (delimitatore: 0xF000 ) |
Mapping dei criteri di gruppo:
Nome | Valore |
---|---|
Nome | Regolazione limite risorse memoria per un processo |
Percorso | Impostazioni di > sicurezza di Windows Impostazioni > impostazioni > locali Assegnazione diritti utente |
AllowLocalLogOn
Ambito | Edizioni | Sistema operativo applicabile |
---|---|---|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 versione 1803 [10.0.17134] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/UserRights/AllowLocalLogOn
Questo diritto utente determina quali utenti possono accedere al computer.
Nota
La modifica di questa impostazione può influire sulla compatibilità con client, servizi e applicazioni. Per informazioni sulla compatibilità di questa impostazione, vedere Consentire l'accesso in locale (https://go.microsoft.com/fwlink/?LinkId=24268 ) nel sito Web Microsoft.
Proprietà del framework di descrizione:
Nome della proprietà | Valore proprietà |
---|---|
Formato |
chr (stringa) |
Tipo accesso | Aggiungi, Elimina, Ottieni, Sostituisci |
Valori consentiti | Elenco (delimitatore: 0xF000 ) |
Mapping dei criteri di gruppo:
Nome | Valore |
---|---|
Nome | Consenti accesso locale |
Percorso | Impostazioni di > sicurezza di Windows Impostazioni > impostazioni > locali Assegnazione diritti utente |
AllowLogOnThroughRemoteDesktop
Ambito | Edizioni | Sistema operativo applicabile |
---|---|---|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 11 versione 24H2 [10.0.26100] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/UserRights/AllowLogOnThroughRemoteDesktop
Consenti accesso tramite Servizi Desktop remoto: questa impostazione dei criteri determina quali utenti o gruppi possono accedere alla schermata di accesso di un dispositivo remoto tramite una connessione a Servizi Desktop remoto.
Proprietà del framework di descrizione:
Nome della proprietà | Valore proprietà |
---|---|
Formato |
chr (stringa) |
Tipo accesso | Aggiungi, Elimina, Ottieni, Sostituisci |
Valori consentiti | Elenco (delimitatore: 0xF000 ) |
Mapping dei criteri di gruppo:
Nome | Valore |
---|---|
Nome | Consenti accesso tramite Servizi Desktop remoto |
Percorso | Impostazioni di > sicurezza di Windows Impostazioni > impostazioni > locali Assegnazione diritti utente |
BackupFilesAndDirectories
Ambito | Edizioni | Sistema operativo applicabile |
---|---|---|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 versione 1803 [10.0.17134] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/UserRights/BackupFilesAndDirectories
Questo diritto utente determina quali utenti possono ignorare le autorizzazioni per file, directory, registro e altri oggetti persistenti durante il backup di file e directory. In particolare, questo diritto utente è simile alla concessione delle autorizzazioni seguenti all'utente o al gruppo in questione per tutti i file e le cartelle nel sistema:Traverse Folder/Execute File, Read.
Attenzione
L'assegnazione di questo diritto utente può costituire un rischio per la sicurezza. Poiché gli utenti con questo diritto utente possono leggere qualsiasi file e impostazioni del Registro di sistema, assegnare questo diritto utente solo agli utenti attendibili.
Proprietà del framework di descrizione:
Nome della proprietà | Valore proprietà |
---|---|
Formato |
chr (stringa) |
Tipo accesso | Aggiungi, Elimina, Ottieni, Sostituisci |
Valori consentiti | Elenco (delimitatore: 0xF000 ) |
Mapping dei criteri di gruppo:
Nome | Valore |
---|---|
Nome | Backup di file e directory |
Percorso | Impostazioni di > sicurezza di Windows Impostazioni > impostazioni > locali Assegnazione diritti utente |
BypassTraverseChecking
Ambito | Edizioni | Sistema operativo applicabile |
---|---|---|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 11 versione 24H2 [10.0.26100] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/UserRights/BypassTraverseChecking
Questo diritto utente determina quali utenti possono attraversare gli alberi di directory anche se l'utente potrebbe non disporre delle autorizzazioni per la directory attraversata. Questo privilegio non consente all'utente di elencare il contenuto di una directory, ma solo di attraversare le directory.
Proprietà del framework di descrizione:
Nome della proprietà | Valore proprietà |
---|---|
Formato |
chr (stringa) |
Tipo accesso | Aggiungi, Elimina, Ottieni, Sostituisci |
Valori consentiti | Elenco (delimitatore: 0xF000 ) |
Mapping dei criteri di gruppo:
Nome | Valore |
---|---|
Nome | Ignorare controllo incrociato |
Percorso | Impostazioni di > sicurezza di Windows Impostazioni > impostazioni > locali Assegnazione diritti utente |
ChangeSystemTime
Ambito | Edizioni | Sistema operativo applicabile |
---|---|---|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 versione 1803 [10.0.17134] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/UserRights/ChangeSystemTime
Questo diritto utente determina quali utenti e gruppi possono modificare l'ora e la data nell'orologio interno del computer. Gli utenti a cui viene assegnato questo diritto utente possono influire sull'aspetto dei log eventi. Se l'ora di sistema viene modificata, gli eventi registrati rifletteranno questa nuova ora, non l'ora effettiva in cui si sono verificati gli eventi.
Attenzione
Quando si configurano i diritti utente, sostituisce gli utenti o i gruppi esistenti assegnati in precedenza a tali diritti utente. Il sistema richiede che l'account del servizio locale abbia S-1-5-19
sempre il diritto ChangeSystemTime. Specificare sempre Servizio locale, oltre a tutti gli altri account che è necessario configurare in questo criterio.
Se non si include l'account del servizio locale , la richiesta ha esito negativo con l'errore seguente:
Codice di errore | Nome simbolico | Descrizione dell'errore | Intestazione |
---|---|---|---|
0x80070032 (Esadecimale) |
ERROR_NOT_SUPPORTED | La richiesta non è supportata. | winerror.h |
Proprietà del framework di descrizione:
Nome della proprietà | Valore proprietà |
---|---|
Formato |
chr (stringa) |
Tipo accesso | Aggiungi, Elimina, Ottieni, Sostituisci |
Valori consentiti | Elenco (delimitatore: 0xF000 ) |
Mapping dei criteri di gruppo:
Nome | Valore |
---|---|
Nome | Modifica dell'orario di sistema |
Percorso | Impostazioni di > sicurezza di Windows Impostazioni > impostazioni > locali Assegnazione diritti utente |
ChangeTimeZone
Ambito | Edizioni | Sistema operativo applicabile |
---|---|---|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 11 versione 24H2 [10.0.26100] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/UserRights/ChangeTimeZone
Questo diritto utente determina quali utenti e gruppi possono modificare il fuso orario usato dal computer per visualizzare l'ora locale, ovvero l'ora di sistema del computer più l'offset del fuso orario. L'ora di sistema stessa è assoluta e non è influenzata da una modifica del fuso orario.
Proprietà del framework di descrizione:
Nome della proprietà | Valore proprietà |
---|---|
Formato |
chr (stringa) |
Tipo accesso | Aggiungi, Elimina, Ottieni, Sostituisci |
Valori consentiti | Elenco (delimitatore: 0xF000 ) |
Mapping dei criteri di gruppo:
Nome | Valore |
---|---|
Nome | Modifica del fuso orario |
Percorso | Impostazioni di > sicurezza di Windows Impostazioni > impostazioni > locali Assegnazione diritti utente |
CreateGlobalObjects
Ambito | Edizioni | Sistema operativo applicabile |
---|---|---|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 versione 1803 [10.0.17134] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/UserRights/CreateGlobalObjects
Questa impostazione di sicurezza determina se gli utenti possono creare oggetti globali disponibili per tutte le sessioni. Gli utenti possono comunque creare oggetti specifici della propria sessione se non hanno questo diritto utente. Gli utenti che possono creare oggetti globali potrebbero influire sui processi eseguiti nelle sessioni di altri utenti, il che potrebbe causare errori dell'applicazione o danneggiamento dei dati.
Attenzione
L'assegnazione di questo diritto utente può costituire un rischio per la sicurezza. Assegnare questo diritto utente solo agli utenti attendibili.
Proprietà del framework di descrizione:
Nome della proprietà | Valore proprietà |
---|---|
Formato |
chr (stringa) |
Tipo accesso | Aggiungi, Elimina, Ottieni, Sostituisci |
Valori consentiti | Elenco (delimitatore: 0xF000 ) |
Mapping dei criteri di gruppo:
Nome | Valore |
---|---|
Nome | Creazione oggetti globali |
Percorso | Impostazioni di > sicurezza di Windows Impostazioni > impostazioni > locali Assegnazione diritti utente |
CreatePageFile
Ambito | Edizioni | Sistema operativo applicabile |
---|---|---|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 versione 1803 [10.0.17134] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/UserRights/CreatePageFile
Questo diritto utente determina quali utenti e gruppi possono chiamare un'API (Application Programming Interface) interna per creare e modificare le dimensioni di un file di pagina. Questo diritto utente viene usato internamente dal sistema operativo e in genere non deve essere assegnato ad alcun utente.
Proprietà del framework di descrizione:
Nome della proprietà | Valore proprietà |
---|---|
Formato |
chr (stringa) |
Tipo accesso | Aggiungi, Elimina, Ottieni, Sostituisci |
Valori consentiti | Elenco (delimitatore: 0xF000 ) |
Mapping dei criteri di gruppo:
Nome | Valore |
---|---|
Nome | Creazione di file di paging |
Percorso | Impostazioni di > sicurezza di Windows Impostazioni > impostazioni > locali Assegnazione diritti utente |
CreatePermanentSharedObjects
Ambito | Edizioni | Sistema operativo applicabile |
---|---|---|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 versione 1803 [10.0.17134] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/UserRights/CreatePermanentSharedObjects
Questo diritto utente determina quali account possono essere usati dai processi per creare un oggetto directory usando gestione oggetti. Questo diritto utente viene usato internamente dal sistema operativo ed è utile per i componenti in modalità kernel che estendono lo spazio dei nomi dell'oggetto. Poiché ai componenti in esecuzione in modalità kernel è già assegnato questo diritto utente, non è necessario assegnarlo in modo specifico.
Proprietà del framework di descrizione:
Nome della proprietà | Valore proprietà |
---|---|
Formato |
chr (stringa) |
Tipo accesso | Aggiungi, Elimina, Ottieni, Sostituisci |
Valori consentiti | Elenco (delimitatore: 0xF000 ) |
Mapping dei criteri di gruppo:
Nome | Valore |
---|---|
Nome | Creazione di oggetti condivisi permanentemente |
Percorso | Impostazioni di > sicurezza di Windows Impostazioni > impostazioni > locali Assegnazione diritti utente |
CreateSymbolicLinks
Ambito | Edizioni | Sistema operativo applicabile |
---|---|---|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 versione 1803 [10.0.17134] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/UserRights/CreateSymbolicLinks
Questo diritto utente determina se l'utente può creare un collegamento simbolico dal computer a cui è connesso.
Attenzione
Questo privilegio deve essere concesso solo agli utenti attendibili. I collegamenti simbolici possono esporre vulnerabilità di sicurezza nelle applicazioni che non sono progettate per gestirle.
Nota
Questa impostazione può essere usata insieme a un'impostazione del file system symlink che può essere manipolata con l'utilità della riga di comando per controllare i tipi di collegamenti simbolici consentiti nel computer. Digitare 'fsutil behavior set symlinkevaluation /?' nella riga di comando per ottenere altre informazioni sui collegamenti fsutil e simbolici.
Proprietà del framework di descrizione:
Nome della proprietà | Valore proprietà |
---|---|
Formato |
chr (stringa) |
Tipo accesso | Aggiungi, Elimina, Ottieni, Sostituisci |
Valori consentiti | Elenco (delimitatore: 0xF000 ) |
Mapping dei criteri di gruppo:
Nome | Valore |
---|---|
Nome | Creazione di collegamenti simbolici |
Percorso | Impostazioni di > sicurezza di Windows Impostazioni > impostazioni > locali Assegnazione diritti utente |
CreateToken
Ambito | Edizioni | Sistema operativo applicabile |
---|---|---|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 versione 1803 [10.0.17134] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/UserRights/CreateToken
Questo diritto utente determina quali account possono essere usati dai processi per creare un token che può quindi essere usato per ottenere l'accesso a qualsiasi risorsa locale quando il processo usa un'API (Application Programming Interface) interna per creare un token di accesso. Questo diritto utente viene usato internamente dal sistema operativo. A meno che non sia necessario, non assegnare questo diritto utente a un utente, un gruppo o un processo diverso da Sistema locale.
Attenzione
L'assegnazione di questo diritto utente può costituire un rischio per la sicurezza. Non assegnare questo diritto utente a nessun utente, gruppo o processo che non si vuole assumere il controllo del sistema.
Proprietà del framework di descrizione:
Nome della proprietà | Valore proprietà |
---|---|
Formato |
chr (stringa) |
Tipo accesso | Aggiungi, Elimina, Ottieni, Sostituisci |
Valori consentiti | Elenco (delimitatore: 0xF000 ) |
Mapping dei criteri di gruppo:
Nome | Valore |
---|---|
Nome | Creazione di oggetti token |
Percorso | Impostazioni di > sicurezza di Windows Impostazioni > impostazioni > locali Assegnazione diritti utente |
DebugProgrammi
Ambito | Edizioni | Sistema operativo applicabile |
---|---|---|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 versione 1803 [10.0.17134] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/UserRights/DebugPrograms
Questo diritto utente determina quali utenti possono collegare un debugger a qualsiasi processo o al kernel. Agli sviluppatori che eseguono il debug delle proprie applicazioni non è necessario assegnare questo diritto utente. Gli sviluppatori che eseguono il debug di nuovi componenti di sistema avranno bisogno di questo diritto utente per poter eseguire questa operazione. Questo diritto utente fornisce l'accesso completo ai componenti del sistema operativo sensibili e critici.
Attenzione
L'assegnazione di questo diritto utente può costituire un rischio per la sicurezza. Assegnare questo diritto utente solo agli utenti attendibili.
Proprietà del framework di descrizione:
Nome della proprietà | Valore proprietà |
---|---|
Formato |
chr (stringa) |
Tipo accesso | Aggiungi, Elimina, Ottieni, Sostituisci |
Valori consentiti | Elenco (delimitatore: 0xF000 ) |
Mapping dei criteri di gruppo:
Nome | Valore |
---|---|
Nome | Debug di programmi |
Percorso | Impostazioni di > sicurezza di Windows Impostazioni > impostazioni > locali Assegnazione diritti utente |
DenyAccessFromNetwork
Ambito | Edizioni | Sistema operativo applicabile |
---|---|---|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 versione 1803 [10.0.17134] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/UserRights/DenyAccessFromNetwork
Questo diritto utente determina quali utenti non possono accedere a un computer in rete. Questa impostazione di criterio sostituisce l'impostazione Accedi al computer dall'impostazione dei criteri di rete se un account utente è soggetto a entrambi i criteri.
Proprietà del framework di descrizione:
Nome della proprietà | Valore proprietà |
---|---|
Formato |
chr (stringa) |
Tipo accesso | Aggiungi, Elimina, Ottieni, Sostituisci |
Valori consentiti | Elenco (delimitatore: 0xF000 ) |
Mapping dei criteri di gruppo:
Nome | Valore |
---|---|
Nome | Nega accesso al computer dalla rete |
Percorso | Impostazioni di > sicurezza di Windows Impostazioni > impostazioni > locali Assegnazione diritti utente |
DenyLocalLogOn
Ambito | Edizioni | Sistema operativo applicabile |
---|---|---|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 versione 1803 [10.0.17134] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/UserRights/DenyLocalLogOn
Questa impostazione di sicurezza determina quali account del servizio non possono registrare un processo come servizio.
Nota
Questa impostazione di sicurezza non si applica agli account di sistema, servizio locale o servizio di rete.
Proprietà del framework di descrizione:
Nome della proprietà | Valore proprietà |
---|---|
Formato |
chr (stringa) |
Tipo accesso | Aggiungi, Elimina, Ottieni, Sostituisci |
Valori consentiti | Elenco (delimitatore: 0xF000 ) |
Mapping dei criteri di gruppo:
Nome | Valore |
---|---|
Nome | Nega accesso come servizio |
Percorso | Impostazioni di > sicurezza di Windows Impostazioni > impostazioni > locali Assegnazione diritti utente |
DenyLogOnAsBatchJob
Ambito | Edizioni | Sistema operativo applicabile |
---|---|---|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 11 versione 24H2 [10.0.26100] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/UserRights/DenyLogOnAsBatchJob
Questa impostazione di sicurezza determina quali account non possono accedere come processo batch. Questa impostazione di criterio sostituisce l'impostazione Di accesso come processo batch se un account utente è soggetto a entrambi i criteri.
Proprietà del framework di descrizione:
Nome della proprietà | Valore proprietà |
---|---|
Formato |
chr (stringa) |
Tipo accesso | Aggiungi, Elimina, Ottieni, Sostituisci |
Valori consentiti | Elenco (delimitatore: 0xF000 ) |
Mapping dei criteri di gruppo:
Nome | Valore |
---|---|
Nome | Nega accesso come processo batch |
Percorso | Impostazioni di > sicurezza di Windows Impostazioni > impostazioni > locali Assegnazione diritti utente |
DenyLogOnAsService
Ambito | Edizioni | Sistema operativo applicabile |
---|---|---|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 11 versione 24H2 [10.0.26100] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/UserRights/DenyLogOnAsService
Nega accesso come servizio: questa impostazione di sicurezza determina quali account del servizio non possono registrare un processo come servizio. Questa impostazione di criterio sostituisce l'impostazione dei criteri Di accesso come servizio se un account è soggetto a entrambi i criteri.
Nota
Questa impostazione di sicurezza non si applica agli account di sistema, servizio locale o servizio di rete. Impostazione predefinita: Nessuna.
Proprietà del framework di descrizione:
Nome della proprietà | Valore proprietà |
---|---|
Formato |
chr (stringa) |
Tipo accesso | Aggiungi, Elimina, Ottieni, Sostituisci |
Valori consentiti | Elenco (delimitatore: 0xF000 ) |
Mapping dei criteri di gruppo:
Nome | Valore |
---|---|
Nome | Nega accesso come servizio |
Percorso | Impostazioni di > sicurezza di Windows Impostazioni > impostazioni > locali Assegnazione diritti utente |
DenyRemoteDesktopServicesLogOn
Ambito | Edizioni | Sistema operativo applicabile |
---|---|---|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 versione 1803 [10.0.17134] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/UserRights/DenyRemoteDesktopServicesLogOn
Questo diritto utente determina quali utenti e gruppi non possono accedere come client di Servizi Desktop remoto.
Proprietà del framework di descrizione:
Nome della proprietà | Valore proprietà |
---|---|
Formato |
chr (stringa) |
Tipo accesso | Aggiungi, Elimina, Ottieni, Sostituisci |
Valori consentiti | Elenco (delimitatore: 0xF000 ) |
Mapping dei criteri di gruppo:
Nome | Valore |
---|---|
Nome | Nega accesso tramite Servizi Desktop remoto |
Percorso | Impostazioni di > sicurezza di Windows Impostazioni > impostazioni > locali Assegnazione diritti utente |
EnableDelegation
Ambito | Edizioni | Sistema operativo applicabile |
---|---|---|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 versione 1803 [10.0.17134] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/UserRights/EnableDelegation
Questo diritto utente determina quali utenti possono impostare l'impostazione Trusted for Delegation in un oggetto utente o computer. L'utente o l'oggetto a cui è stato concesso questo privilegio deve avere accesso in scrittura ai flag di controllo dell'account nell'oggetto utente o computer. Un processo server in esecuzione in un computer (o in un contesto utente) attendibile per la delega può accedere alle risorse in un altro computer usando le credenziali delegate di un client, purché l'account client non abbia impostato il flag di controllo dell'account delegato.
Attenzione
L'uso improprio di questo diritto utente o dell'impostazione Trusted for Delegation potrebbe rendere la rete vulnerabile a attacchi sofisticati tramite programmi Trojan Horse che rappresentano i client in ingresso e usare le credenziali per ottenere l'accesso alle risorse di rete.
Proprietà del framework di descrizione:
Nome della proprietà | Valore proprietà |
---|---|
Formato |
chr (stringa) |
Tipo accesso | Aggiungi, Elimina, Ottieni, Sostituisci |
Valori consentiti | Elenco (delimitatore: 0xF000 ) |
Mapping dei criteri di gruppo:
Nome | Valore |
---|---|
Nome | Impostazione account computer ed utente a tipo trusted per la delega |
Percorso | Impostazioni di > sicurezza di Windows Impostazioni > impostazioni > locali Assegnazione diritti utente |
GenerateSecurityAudits
Ambito | Edizioni | Sistema operativo applicabile |
---|---|---|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 versione 1803 [10.0.17134] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/UserRights/GenerateSecurityAudits
Questo diritto utente determina quali account possono essere usati da un processo per aggiungere voci al log di sicurezza. Il log di sicurezza viene usato per tracciare l'accesso al sistema non autorizzato. L'uso improprio di questo diritto utente può comportare la generazione di molti eventi di controllo, potenzialmente nascondendo le prove di un attacco o causando un denial of service. Arrestare immediatamente il sistema se non è possibile registrare l'impostazione dei criteri di sicurezza dei controlli di sicurezza.
Proprietà del framework di descrizione:
Nome della proprietà | Valore proprietà |
---|---|
Formato |
chr (stringa) |
Tipo accesso | Aggiungi, Elimina, Ottieni, Sostituisci |
Valori consentiti | Elenco (delimitatore: 0xF000 ) |
Mapping dei criteri di gruppo:
Nome | Valore |
---|---|
Nome | Generazione di controlli di protezione |
Percorso | Impostazioni di > sicurezza di Windows Impostazioni > impostazioni > locali Assegnazione diritti utente |
ImpersonateClient
Ambito | Edizioni | Sistema operativo applicabile |
---|---|---|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 versione 1803 [10.0.17134] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/UserRights/ImpersonateClient
L'assegnazione di questo diritto utente a un utente consente ai programmi in esecuzione per conto di tale utente di rappresentare un client. La richiesta di questo diritto utente per questo tipo di rappresentazione impedisce a un utente non autorizzato di convincere un client a connettersi (ad esempio, tramite una chiamata di procedura remota (RPC) o named pipe) a un servizio creato e quindi a rappresentare tale client, che può elevare le autorizzazioni dell'utente non autorizzato a livello di amministrazione o di sistema.
Attenzione
L'assegnazione di questo diritto utente può costituire un rischio per la sicurezza. Assegnare questo diritto utente solo agli utenti attendibili.
Nota
Per impostazione predefinita, ai servizi avviati da Gestione controllo servizi è stato aggiunto il gruppo di servizi predefinito ai token di accesso. Ai server COM (Component Object Model) avviati dall'infrastruttura COM e configurati per l'esecuzione con un account specifico viene aggiunto anche il gruppo di servizi ai token di accesso. Di conseguenza, questi servizi ottengono l'utente giusto quando vengono avviati. Inoltre, un utente può anche rappresentare un token di accesso se esiste una delle condizioni seguenti. 1) Il token di accesso rappresentato è per l'utente. 2) L'utente, in questa sessione di accesso, ha creato il token di accesso accedendo alla rete con credenziali esplicite. 3) Il livello richiesto è minore di Rappresentazione, ad esempio Anonimo o Identifica. A causa di questi fattori, gli utenti in genere non hanno bisogno di questo diritto utente.
Warning
Se si abilita questa impostazione, i programmi che in precedenza avevano il privilegio Impersonate potrebbero perderla e potrebbero non essere eseguite.
Proprietà del framework di descrizione:
Nome della proprietà | Valore proprietà |
---|---|
Formato |
chr (stringa) |
Tipo accesso | Aggiungi, Elimina, Ottieni, Sostituisci |
Valori consentiti | Elenco (delimitatore: 0xF000 ) |
Mapping dei criteri di gruppo:
Nome | Valore |
---|---|
Nome | Rappresenta un client dopo l'autenticazione |
Percorso | Impostazioni di > sicurezza di Windows Impostazioni > impostazioni > locali Assegnazione diritti utente |
IncreaseProcessWorkingSet
Ambito | Edizioni | Sistema operativo applicabile |
---|---|---|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 11 versione 24H2 [10.0.26100] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/UserRights/IncreaseProcessWorkingSet
Aumentare un working set di processi. Questo privilegio determina quali account utente possono aumentare o ridurre le dimensioni del working set di un processo. Il working set di un processo è il set di pagine di memoria attualmente visibili al processo nella memoria RAM fisica. Queste pagine sono residenti e disponibili per l'uso da parte di un'applicazione senza attivare un errore di pagina. Le dimensioni minime e massime dei working set influiscono sul comportamento di paging della memoria virtuale di un processo.
Warning
L'aumento delle dimensioni del working set per un processo riduce la quantità di memoria fisica disponibile per il resto del sistema.
Proprietà del framework di descrizione:
Nome della proprietà | Valore proprietà |
---|---|
Formato |
chr (stringa) |
Tipo accesso | Aggiungi, Elimina, Ottieni, Sostituisci |
Valori consentiti | Elenco (delimitatore: 0xF000 ) |
Mapping dei criteri di gruppo:
Nome | Valore |
---|---|
Nome | Aumento di un working set di processo |
Percorso | Impostazioni di > sicurezza di Windows Impostazioni > impostazioni > locali Assegnazione diritti utente |
IncreaseSchedulingPriority
Ambito | Edizioni | Sistema operativo applicabile |
---|---|---|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 versione 1803 [10.0.17134] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/UserRights/IncreaseSchedulingPriority
Questo diritto utente determina quali account possono usare un processo con accesso alla proprietà di scrittura a un altro processo per aumentare la priorità di esecuzione assegnata all'altro processo. Un utente con questo privilegio può modificare la priorità di pianificazione di un processo tramite l'interfaccia utente di Gestione attività.
Warning
Se si rimuove Window Manager\Window Manager Group dal diritto utente Aumenta priorità di pianificazione , alcune applicazioni e computer non funzioneranno correttamente. In particolare, l'area di lavoro INK non funziona correttamente nei computer portatili e desktop UMA (Unified Memory Architecture) che eseguono Windows 10 versione 1903 o successiva e che usano il driver Intel GFX.
Nei computer interessati, la visualizzazione lampeggia quando gli utenti disegnano su aree di lavoro INK, ad esempio quelle usate da Microsoft Edge, Microsoft PowerPoint o Microsoft OneNote. Il lampeggiamento si verifica perché i processi correlati all'input penna tentano ripetutamente di usare la priorità Real-Time, ma viene negata l'autorizzazione.
Proprietà del framework di descrizione:
Nome della proprietà | Valore proprietà |
---|---|
Formato |
chr (stringa) |
Tipo accesso | Aggiungi, Elimina, Ottieni, Sostituisci |
Valori consentiti | Elenco (delimitatore: 0xF000 ) |
Mapping dei criteri di gruppo:
Nome | Valore |
---|---|
Nome | Aumento della priorità di pianificazione |
Percorso | Impostazioni di > sicurezza di Windows Impostazioni > impostazioni > locali Assegnazione diritti utente |
LoadUnloadDeviceDrivers
Ambito | Edizioni | Sistema operativo applicabile |
---|---|---|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 versione 1803 [10.0.17134] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/UserRights/LoadUnloadDeviceDrivers
Questo diritto utente determina quali utenti possono caricare e scaricare dinamicamente i driver di dispositivo o altro codice in modalità kernel. Questo diritto utente non si applica ai driver di dispositivo Plug and Play. È consigliabile non assegnare questo privilegio ad altri utenti.
Attenzione
L'assegnazione di questo diritto utente può costituire un rischio per la sicurezza. Non assegnare questo diritto utente a nessun utente, gruppo o processo che non si vuole assumere il controllo del sistema.
Proprietà del framework di descrizione:
Nome della proprietà | Valore proprietà |
---|---|
Formato |
chr (stringa) |
Tipo accesso | Aggiungi, Elimina, Ottieni, Sostituisci |
Valori consentiti | Elenco (delimitatore: 0xF000 ) |
Mapping dei criteri di gruppo:
Nome | Valore |
---|---|
Nome | Caricamento/rimozione di driver di dispositivo |
Percorso | Impostazioni di > sicurezza di Windows Impostazioni > impostazioni > locali Assegnazione diritti utente |
LockMemory
Ambito | Edizioni | Sistema operativo applicabile |
---|---|---|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 versione 1803 [10.0.17134] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/UserRights/LockMemory
Questo diritto utente determina quali account possono usare un processo per mantenere i dati nella memoria fisica, impedendo al sistema di eseguire il paging dei dati in memoria virtuale su disco. L'esercizio di questo privilegio potrebbe influire in modo significativo sulle prestazioni del sistema riducendo la quantità di RAM (Random Access Memory) disponibile.
Proprietà del framework di descrizione:
Nome della proprietà | Valore proprietà |
---|---|
Formato |
chr (stringa) |
Tipo accesso | Aggiungi, Elimina, Ottieni, Sostituisci |
Valori consentiti | Elenco (delimitatore: 0xF000 ) |
Mapping dei criteri di gruppo:
Nome | Valore |
---|---|
Nome | Blocco di pagine in memoria |
Percorso | Impostazioni di > sicurezza di Windows Impostazioni > impostazioni > locali Assegnazione diritti utente |
LogOnAsBatchJob
Ambito | Edizioni | Sistema operativo applicabile |
---|---|---|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 11 versione 24H2 [10.0.26100] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/UserRights/LogOnAsBatchJob
Questa impostazione di sicurezza consente l'accesso di un utente tramite una funzionalità di coda batch e viene fornita solo per la compatibilità con le versioni precedenti di Windows. Ad esempio, quando un utente invia un processo tramite l'utilità di pianificazione, l'utilità di pianificazione registra l'utente come utente batch anziché come utente interattivo.
Proprietà del framework di descrizione:
Nome della proprietà | Valore proprietà |
---|---|
Formato |
chr (stringa) |
Tipo accesso | Aggiungi, Elimina, Ottieni, Sostituisci |
Valori consentiti | Elenco (delimitatore: 0xF000 ) |
Mapping dei criteri di gruppo:
Nome | Valore |
---|---|
Nome | Accesso come processo batch |
Percorso | Impostazioni di > sicurezza di Windows Impostazioni > impostazioni > locali Assegnazione diritti utente |
LogOnAsService
Ambito | Edizioni | Sistema operativo applicabile |
---|---|---|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 11 versione 24H2 [10.0.26100] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/UserRights/LogOnAsService
Questa impostazione di sicurezza consente a un'entità di sicurezza di accedere come servizio. I servizi possono essere configurati per l'esecuzione con gli account del sistema locale, del servizio locale o del servizio di rete, che dispongono di un diritto predefinito per l'accesso come servizio. A tutti i servizi eseguiti con un account utente separato deve essere assegnato il diritto.
Proprietà del framework di descrizione:
Nome della proprietà | Valore proprietà |
---|---|
Formato |
chr (stringa) |
Tipo accesso | Aggiungi, Elimina, Ottieni, Sostituisci |
Valori consentiti | Elenco (delimitatore: 0xF000 ) |
Mapping dei criteri di gruppo:
Nome | Valore |
---|---|
Nome | Accedi come servizio |
Percorso | Impostazioni di > sicurezza di Windows Impostazioni > impostazioni > locali Assegnazione diritti utente |
ManageAuditingAndSecurityLog
Ambito | Edizioni | Sistema operativo applicabile |
---|---|---|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 versione 1803 [10.0.17134] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/UserRights/ManageAuditingAndSecurityLog
Questo diritto utente determina quali utenti possono specificare le opzioni di controllo dell'accesso agli oggetti per le singole risorse, ad esempio file, oggetti Active Directory e chiavi del Registro di sistema. Questa impostazione di sicurezza non consente a un utente di abilitare il controllo di accesso a file e oggetti in generale. È possibile visualizzare gli eventi controllati nel log di sicurezza del Visualizzatore eventi. Un utente con questo privilegio può anche visualizzare e cancellare il log di sicurezza.
Proprietà del framework di descrizione:
Nome della proprietà | Valore proprietà |
---|---|
Formato |
chr (stringa) |
Tipo accesso | Aggiungi, Elimina, Ottieni, Sostituisci |
Valori consentiti | Elenco (delimitatore: 0xF000 ) |
Mapping dei criteri di gruppo:
Nome | Valore |
---|---|
Nome | Gestione del log di audit e protezione |
Percorso | Impostazioni di > sicurezza di Windows Impostazioni > impostazioni > locali Assegnazione diritti utente |
GestisciVolume
Ambito | Edizioni | Sistema operativo applicabile |
---|---|---|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 versione 1803 [10.0.17134] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/UserRights/ManageVolume
Questo diritto utente determina quali utenti e gruppi possono eseguire attività di manutenzione in un volume, ad esempio la deframmentazione remota. Prestare attenzione quando si assegna questo diritto utente. Gli utenti con questo diritto utente possono esplorare i dischi ed estendere i file in alla memoria che contiene altri dati. Quando i file estesi vengono aperti, l'utente potrebbe essere in grado di leggere e modificare i dati acquisiti.
Proprietà del framework di descrizione:
Nome della proprietà | Valore proprietà |
---|---|
Formato |
chr (stringa) |
Tipo accesso | Aggiungi, Elimina, Ottieni, Sostituisci |
Valori consentiti | Elenco (delimitatore: 0xF000 ) |
Mapping dei criteri di gruppo:
Nome | Valore |
---|---|
Nome | Esecuzione attività di manutenzione volume |
Percorso | Impostazioni di > sicurezza di Windows Impostazioni > impostazioni > locali Assegnazione diritti utente |
ModifyFirmwareEnvironment
Ambito | Edizioni | Sistema operativo applicabile |
---|---|---|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 versione 1803 [10.0.17134] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/UserRights/ModifyFirmwareEnvironment
Questo diritto utente determina chi può modificare i valori dell'ambiente firmware. Le variabili di ambiente del firmware sono impostazioni archiviate nella RAM non volatile dei computer non basati su x86. L'effetto dell'impostazione dipende dal processore. Nei computer basati su x86, l'unico valore dell'ambiente firmware che può essere modificato assegnando questo diritto utente è l'impostazione Ultima configurazione valida nota, che deve essere modificata solo dal sistema. Nei computer basati su Itanium, le informazioni di avvio vengono archiviate nella RAM non volatile. Agli utenti deve essere assegnato questo diritto utente per eseguire bootcfg.exe e modificare l'impostazione Del sistema operativo predefinito in Avvio e ripristino nelle proprietà di sistema. In tutti i computer, questo diritto utente è necessario per installare o aggiornare Windows.
Nota
Questa impostazione di sicurezza non influisce su chi può modificare le variabili di ambiente di sistema e le variabili di ambiente utente visualizzate nella scheda Avanzate di Proprietà di sistema.
Proprietà del framework di descrizione:
Nome della proprietà | Valore proprietà |
---|---|
Formato |
chr (stringa) |
Tipo accesso | Aggiungi, Elimina, Ottieni, Sostituisci |
Valori consentiti | Elenco (delimitatore: 0xF000 ) |
Mapping dei criteri di gruppo:
Nome | Valore |
---|---|
Nome | Modifica dei valori di ambiente firmware |
Percorso | Impostazioni di > sicurezza di Windows Impostazioni > impostazioni > locali Assegnazione diritti utente |
ModifyObjectLabel
Ambito | Edizioni | Sistema operativo applicabile |
---|---|---|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 versione 1803 [10.0.17134] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/UserRights/ModifyObjectLabel
Questo diritto utente determina quali account utente possono modificare l'etichetta di integrità degli oggetti, ad esempio file, chiavi del Registro di sistema o processi di proprietà di altri utenti. I processi in esecuzione con un account utente possono modificare l'etichetta di un oggetto di proprietà di tale utente a un livello inferiore senza questo privilegio.
Proprietà del framework di descrizione:
Nome della proprietà | Valore proprietà |
---|---|
Formato |
chr (stringa) |
Tipo accesso | Aggiungi, Elimina, Ottieni, Sostituisci |
Valori consentiti | Elenco (delimitatore: 0xF000 ) |
Mapping dei criteri di gruppo:
Nome | Valore |
---|---|
Nome | Modifica delle etichette di oggetti |
Percorso | Impostazioni di > sicurezza di Windows Impostazioni > impostazioni > locali Assegnazione diritti utente |
ProfileSingleProcess
Ambito | Edizioni | Sistema operativo applicabile |
---|---|---|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 versione 1803 [10.0.17134] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/UserRights/ProfileSingleProcess
Questo diritto utente determina quali utenti possono usare gli strumenti di monitoraggio delle prestazioni per monitorare le prestazioni dei processi di sistema.
Proprietà del framework di descrizione:
Nome della proprietà | Valore proprietà |
---|---|
Formato |
chr (stringa) |
Tipo accesso | Aggiungi, Elimina, Ottieni, Sostituisci |
Valori consentiti | Elenco (delimitatore: 0xF000 ) |
Mapping dei criteri di gruppo:
Nome | Valore |
---|---|
Nome | Creazione di profilo del singolo processo |
Percorso | Impostazioni di > sicurezza di Windows Impostazioni > impostazioni > locali Assegnazione diritti utente |
ProfileSystemPerformance
Ambito | Edizioni | Sistema operativo applicabile |
---|---|---|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 11 versione 24H2 [10.0.26100] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/UserRights/ProfileSystemPerformance
Questa impostazione di sicurezza determina quali utenti possono usare gli strumenti di monitoraggio delle prestazioni per monitorare le prestazioni dei processi di sistema.
Proprietà del framework di descrizione:
Nome della proprietà | Valore proprietà |
---|---|
Formato |
chr (stringa) |
Tipo accesso | Aggiungi, Elimina, Ottieni, Sostituisci |
Valori consentiti | Elenco (delimitatore: 0xF000 ) |
Mapping dei criteri di gruppo:
Nome | Valore |
---|---|
Nome | Creazione di profilo delle prestazioni del sistema |
Percorso | Impostazioni di > sicurezza di Windows Impostazioni > impostazioni > locali Assegnazione diritti utente |
RemoteShutdown
Ambito | Edizioni | Sistema operativo applicabile |
---|---|---|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 versione 1803 [10.0.17134] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/UserRights/RemoteShutdown
Questo diritto utente determina quali utenti possono arrestare un computer da una posizione remota nella rete. L'uso improprio di questo diritto utente può causare un denial of service.
Proprietà del framework di descrizione:
Nome della proprietà | Valore proprietà |
---|---|
Formato |
chr (stringa) |
Tipo accesso | Aggiungi, Elimina, Ottieni, Sostituisci |
Valori consentiti | Elenco (delimitatore: 0xF000 ) |
Mapping dei criteri di gruppo:
Nome | Valore |
---|---|
Nome | Arresto forzato da un sistema remoto |
Percorso | Impostazioni di > sicurezza di Windows Impostazioni > impostazioni > locali Assegnazione diritti utente |
ReplaceProcessLevelToken
Ambito | Edizioni | Sistema operativo applicabile |
---|---|---|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 11 versione 24H2 [10.0.26100] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/UserRights/ReplaceProcessLevelToken
Questa impostazione di sicurezza determina quali account utente possono chiamare l'API (Application Programming Interface) CreateProcessAsUser() in modo che un servizio possa avviarne un altro. Un esempio di processo che usa questo diritto utente è Utilità di pianificazione. Per informazioni sull'Utilità di pianificazione, vedere Panoramica dell'Utilità di pianificazione.
Proprietà del framework di descrizione:
Nome della proprietà | Valore proprietà |
---|---|
Formato |
chr (stringa) |
Tipo accesso | Aggiungi, Elimina, Ottieni, Sostituisci |
Valori consentiti | Elenco (delimitatore: 0xF000 ) |
Mapping dei criteri di gruppo:
Nome | Valore |
---|---|
Nome | Sostituzione di token a livello di processo |
Percorso | Impostazioni di > sicurezza di Windows Impostazioni > impostazioni > locali Assegnazione diritti utente |
RestoreFilesAndDirectories
Ambito | Edizioni | Sistema operativo applicabile |
---|---|---|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 versione 1803 [10.0.17134] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/UserRights/RestoreFilesAndDirectories
Questo diritto utente determina quali utenti possono ignorare le autorizzazioni per file, directory, registro e altri oggetti persistenti durante il ripristino di file e directory di cui è stato eseguito il backup e determina quali utenti possono impostare qualsiasi entità di sicurezza valida come proprietario di un oggetto. In particolare, questo diritto utente è simile alla concessione delle autorizzazioni seguenti all'utente o al gruppo in questione in tutti i file e le cartelle nel sistema:Traverse Folder/Execute File, Write.
Attenzione
L'assegnazione di questo diritto utente può costituire un rischio per la sicurezza. Poiché gli utenti con questo diritto utente possono sovrascrivere le impostazioni del Registro di sistema, nascondere i dati e acquisire la proprietà degli oggetti di sistema, assegnare questo diritto utente solo agli utenti attendibili.
Proprietà del framework di descrizione:
Nome della proprietà | Valore proprietà |
---|---|
Formato |
chr (stringa) |
Tipo accesso | Aggiungi, Elimina, Ottieni, Sostituisci |
Valori consentiti | Elenco (delimitatore: 0xF000 ) |
Mapping dei criteri di gruppo:
Nome | Valore |
---|---|
Nome | Ripristino di file e directory |
Percorso | Impostazioni di > sicurezza di Windows Impostazioni > impostazioni > locali Assegnazione diritti utente |
ShutDownTheSystem
Ambito | Edizioni | Sistema operativo applicabile |
---|---|---|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 11 versione 24H2 [10.0.26100] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/UserRights/ShutDownTheSystem
Questa impostazione di sicurezza determina gli utenti connessi localmente al computer che possono arrestare il sistema operativo usando il comando Arresta. L'uso improprio di questo diritto utente può causare un denial of service.
Proprietà del framework di descrizione:
Nome della proprietà | Valore proprietà |
---|---|
Formato |
chr (stringa) |
Tipo accesso | Aggiungi, Elimina, Ottieni, Sostituisci |
Valori consentiti | Elenco (delimitatore: 0xF000 ) |
Mapping dei criteri di gruppo:
Nome | Valore |
---|---|
Nome | Arresto del sistema |
Percorso | Impostazioni di > sicurezza di Windows Impostazioni > impostazioni > locali Assegnazione diritti utente |
TakeOwnership
Ambito | Edizioni | Sistema operativo applicabile |
---|---|---|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 versione 1803 [10.0.17134] e versioni successive |
./Device/Vendor/MSFT/Policy/Config/UserRights/TakeOwnership
Questo diritto utente determina quali utenti possono assumere la proprietà di qualsiasi oggetto a protezione diretta nel sistema, inclusi oggetti, file e cartelle di Active Directory, stampanti, chiavi del Registro di sistema, processi e thread.
Attenzione
L'assegnazione di questo diritto utente può costituire un rischio per la sicurezza. Poiché i proprietari di oggetti ne hanno il controllo completo, assegnare solo questo diritto utente agli utenti attendibili.
Proprietà del framework di descrizione:
Nome della proprietà | Valore proprietà |
---|---|
Formato |
chr (stringa) |
Tipo accesso | Aggiungi, Elimina, Ottieni, Sostituisci |
Valori consentiti | Elenco (delimitatore: 0xF000 ) |
Mapping dei criteri di gruppo:
Nome | Valore |
---|---|
Nome | Acquisire la proprietà di file o di altri oggetti |
Percorso | Impostazioni di > sicurezza di Windows Impostazioni > impostazioni > locali Assegnazione diritti utente |