Windows - Csoportházirend referencia

GPO 2. rész

Folytatjuk a csoportházirend objektumairól szóló cikksorozatunkat, jelen részben a helyi házirend felhasználói jogaival foglalkozunk. A "Felhasználói jogok kiosztása" ("User Rights Assignment") csoport minden objektumához egy felhasználó lista tartozik azokkal a tagokkal, akik számára engedélyezve van a hozzáférés. Kattintsunk kétszer az adott bejegyzésen és megjelenik egy ablak, benne egy listával, ahová a "Hozzáadás" ("Add") gombbal lehet felvenni és az "Eltávolítás" ("Remove") gombbal pedig törölni tagokat.

Számítógép konfigurációja > Windows beállításai > Biztonsági beállítások > Helyi házirend > Felhasználói jogok kiosztása (Computer Configuration > Windows Settings > Security Settings > Local Policies > User Rights Assignment):
A rendszer leállítása (Shut down the system):
A helyben bejelentkezett felhasználók közül csak a felsoroltak képesek leállítani az operációs rendszert.
A rendszer teljesítményadatainak figyelése (Profile system performance):
A Felügyeleti eszközök > Teljesítmény (Administrative Tools > Performance) segédprogrammal a különböző objektumok teljesítmény adatait lehet figyelni, elemezni. A rendszer szintű objektumok figyelése az itt felsorolt felhasználók számára engedélyezett.
A számítógép elérése a hálózatról (Access this computer from the network):
Csak a felsorolt felhasználók képesek hálózaton keresztül csatlakozni a géphez. Mindegy, hogy ez helyi hálózat, modemes kapcsolat vagy Interneten keresztüli elérés. A házirend nem zárja ki az adott gépen közvetlenül történő bejelentkezést.
A számítógép hálózati elérésének megtagadása (Deny access to this computer from the network):
Az előző házirend pont logikai kiegészítése: a felsorolt felhasználók nem érhetik el az adott gépet a hálózaton keresztül.
Állandó megosztott objektumok létrehozása (Create permanent shared objects):
A Windows 2000 objektum kezelési szolgáltatásában csak a felsoroltak hozhatnak létre új címtár objektumokat. Ez csak az objektum névteret kiegészítő kernel módú komponensekre vonatkozik.
Az operációs rendszer részeként való működés (Act as part of the operating system):
Csak az alacsony szintű hitelesítési szolgáltatások igénylik ezt a jogot, amely megengedi egy folyamatnak, hogy felhasználóként hitelesítse magát egy erőforrás eléréséhez. Ilyenkor a felhasználói név: LocalSystem.
Beégetett programok környezeti értékeinek megváltoztatása (Modify firmware environment values):
A tagoknak lehetőségük van a hardverrel egybeépített programokban lévő teljes rendszerben érvényes, globális környezeti változók módosítására.
Bejelentkezés kötegfájlfolyamatként (Log on as a batch job):
Ha egy felhasználó elindít egy kötegfolyamatot (pl. a feladatütemezővel) az erőforrás hozzáférés és naplózás az ő nevével történik, de bath-user-ként és nem úgy, mint ha közvetlenül hajtotta volna végre a programokat. Ugyanez vonatkozik az Internetről becsatlakozó névtelen felhasználókra is. Kapnak egy általános azonosítót (IUSR_gépnév), ezzel elérik az erőforrásokat, de személyük rejtve marad.
Kötegelt munka bejelentkezésének megtagadása (Deny logon as a batch job):
Az előző pont ellenkezője, megtagadja a kötegfolyamok szerinti bejelentkezést.
Bejelentkezés szolgáltatásként (Log on as a service):
Meghatározza, hogy melyik felhasználói fiók regisztrálhat egy elindított folyamatot szolgáltatásként.
Szolgáltatásként bejelentkezés megtagadása (Deny logon as a service);
Az előző házirend ellenkezője. A felsoroltak nem regisztrálhatnak folyamatot szolgáltatásként.
Biztonsági másolat készítése fájlokról és könyvtárakról (Back up files and directories):
Az itt felsorolt felhasználók biztonsági másolat készítő programokon keresztül olvasási jogokkal hozzáférhetnek olyan fájlokhoz is, amelyekhez egyébként nem lenne jogosultságuk. Ténykedésük csak a biztonsági másolat készítésre terjed ki.
Biztonsági naplózás létrehozása (Generate security audits):
Meghatározza, hogy kik generáltathatnak olyan eseményeket, amelyek az Eseménynapló > Biztonsági napló (Event Viewer > Security Log) alá kerülnek bejegyzésre.
Fájlok és egyéb objektumok saját tulajdonba vétele (Take ownership of files or other objects):
Egy objektum létrehozása után a létrehozó lesz a tulajdonosa, ez a jog azonban átruházható. A felsoroltak számára engedélyezett, hogy birtokba vegyék az alábbi objektumokat: Active Directory objektumok, biztonsági objektumok a rendszerben, nyomtatók, fájlok, mappák, Registry kulcsok, folyamatok és szálak.
Fájlok és könyvtárak helyreállítása (Restore files and directories):
A biztonsági másolatok helyreállítását teszi a tagok számára lehetővé. Ehhez nélkülözhetetlen, hogy a biztonsági másolat készítő programokon keresztül írási jogokkal rendelkezzenek olyan fájlok felett is, amelyekhez egyébként nem lenne jogosultságuk.
Folyamat token lecserélése (Replace a process level token):
Rendszerközeli beállítás, amely lehetővé teszi a tagok számára, hogy a folyamatok (processzek) és az általuk létrehozott alfolyamatok tokenjét (vezérjelét) lecseréljék.
Token objektum létrehozása (Create a token object):
Folyamatok létrehozását teszik lehetővé, amelyek tokenjén keresztül elérhetők a helyi erőforrások.
Folyamatok teljesítményadatainak figyelése (Profile single process):
A Felügyeleti eszközök > Teljesítmény (Administrative Tools > Performance) segédprogrammal a különböző objektumok teljesítmény adatait lehet figyelni, elemezni. Vannak köztük a rendszer generáltak, de lehetséges sajátot is készíteni. Utóbbiak ellenőrzése, figyelése az itt felsorolt felhasználók számára engedélyezett.
Helyi bejelentkezés (Log on locally):
Csak a felsorolt felhasználók jelentkezhetnek be a gépre helyileg, ez nem zárja ki a hálózaton keresztüli kapcsolódás lehetőségét. Kiszolgálókon célszerű csak kevés tag számára elérhetővé tenni ezt a lehetőséget.
Helyi bejelentkezés megtagadása (Deny logon locally):
Az előző házirend ellenkezője: a felsoroltak nem jelentkezhetnek be helyileg, de a hálózaton keresztül kapcsolódás lehetősége továbbra is fennáll.
Könyvtárszolgáltatás-adatok szinkronizálása (Synchronize directory service data):
Ez a házirendpont nincs a Windows 2000-ben használva, későbbi felhasználás céljából lett elkészítve.
Kvóták növelése (Increase quotas):
NTFS fájlrendszer alatt kiosztható, hogy egy felhasználó maximálisan mekkora merevlemez területet birtokolhat. Ezen adatok megváltoztatása csak az itt felsoroltaknak engedélyezett.
Lapozófájl létrehozása (Create a pagefile):
Ha a fizikai RAM betelik a rendszer a merevlemezen található ún. lapozófájlt (pagefile) használja úgy, mint ha memória lenne. Alapértelmezésben minden rendszer alatt megtalálható, de a méretének és helyének megváltoztatása csak a jogosultak számára lehetséges.
Memórialapok zárolása a memóriában (Lock pages in memory):
Megakadályozza a RAM betelése esetén az adatok merevlemezre írását, ami nagyon leronthatja a rendszer teljesítményét. Nem ajánlott a használata.
Munkaállomás felvétele a tartományba (Add workstations to domain):
Amikor egy munkaállomást, amely eddig nem volt tagja az Active Directory-nak, tartományi taggá konfigurálunk a rendszer felhasználói nevet és jelszót kér tőlünk, mert csak az erre felhatalmazottak végezhetik el a felvételt. A házirend listájába azok a felhasználók vannak felsorolva, akik jogosultak a felvételt végrehajtani.
Naplózás felügyelete (Manage auditing and security log):
Minden objektumnál beállítható, hogy milyen feltételek mellett generáljon bejegyzéseket a rendszer eseménynaplójába. A házirend a tagjai számára engedélyezi ezen beállítások elvégzését.
Programok hibakeresése (Debug programs):
Az ún. nyomkövető programokkal figyelhető egyes alkalmazások vagy akár a rendszer viselkedése. Akik számára engedélyezve van ez a házirend, hozzáférhetnek az operációs rendszer kritikusan érzékeny elemeihez is.
Rendszeridő megváltoztatása (Change the system time):
Alapértelmezésben a képernyő jobb alsó sarkában jelenik meg egy óra, ami mutatja a rendszeridőt. Egyes alkalmazások esetében létfontosságú, hogy ez pontos legyen (pl. számítógéppel vezérelt beléptető rendszerek, munkaidő nyilvántartó programok), ezért nem megengedett mindenki számára, hogy megváltoztassa, csak a felsoroltak tehetik meg.
Számítógép eltávolítása tokjából (Remove computer from docking station):
Dokkoló rendszerben működő hordozható gépeknél szoftverből vezérelhető elektro - mechanika gondoskodik arról, hogy az alapgépet nem lehessen eltávolítani a perifériákról. A jogosultság kiosztásával bizonyos felhasználók számára engedélyezetté válik a művelet. Ebben az esetben viszont a gép a kiegészítők (pl.: CD ROM, hangszórók) nélkül tovább üzemel.
Számítógép- és felhasználói fiókok megbízhatóságának engedélyezése (Enable computer and user
    accounts to be trusted for delegation):
A magasabb jogokat birtokló felhasználók - általában a rendszergazdák - munkamegosztás céljából bizonyos műveletek elvégzését átengedhetik más, kevesebb jogot birtokló felhasználó számára, ezt nevezik delegálásnak. Az itt felsorolt fiókokat lehet delegálni.
Szolgáltatók betöltése és eltávolítása (Load and unload device drivers):
A Plug and Play eszközmeghajtók menet közbeni dinamikus betöltése és eltávolítása csak a jogosultak számára lehetséges.
Szülőkönyvtár-jogosultság mellőzése (Bypass traverse checking):
A felsorolt felhasználók azokba a könyvtárakba is betekintést nyerhetnek, amelyekhez nem rendelkeznek hozzáférési jogosultsággal. Ez nem azt jelenti, hogy a tartalmukat el tudják olvasni vagy meg tudják változtatni.
Távirányított rendszerleállítás (Force shutdown from a remote system):
A hálózaton keresztül is lehetséges az operációs rendszerből kilépni és leállítani az erre jogosultaknak. Aki nem szerepel a listában az hálózaton keresztül nem, de egyéb beállítások hiányában helyileg kiléptetheti a gépet.
Ütemezési prioritás növelése (Increase scheduling priority):
A futó programok prioritásának változtatását engedélyezi a tagok számára.

GPO cikksorozat