用户权限

建议的设置

从网络访问此计算机

允许一个用户通过网络连接到这台计算机

Administrators

Users

以操作系统方式操作

允许一个进程作为一个安全的、被信任的操作系统的一部分。某些子系统就具有这样的权限。

空白

域中添加工作站

允许用户添加工作站到特定的域，这个权限设置仅在域控制器上有效。Administrators组和Account Operators组本身就具有添加工作站到域的权限，因此不需要在这里再次指派。

空白

调整进程的内存配额

决定哪个用户可以更改进程消耗的最大内存

Administrators
NETWORK
SERVICE
LOCAL SERVICE

允许通过终端服务登录

决定哪些用户或者用户组具有作为终端服务客户端登录的权限。远程用户需要这个权限，但如果同时远程协助被打开，就只有administrators组成员有权限使用这个新特性。

空白

备份文件和目录

允许用户备份文件和目录。这个权限可以跳过文件和文件夹的访问权限。

注意：如果网络中使用了BackupOperators组或者其他类似组，又同时把这个权限指派给了这些组，那一定要小心一点。因为具有这个权限的用户可以越过ACL接触到所有文件，除非FullPrivilegeAuditing审核策略被启用，否则他们对文件的访问是不会留下任何记录的。

Administrators

跳过遍历检查

允许用户遍历目录并且访问文件和子文件夹，即使用户本没有遍历文件夹的权限。

Users

更改系统时间

允许用户修改计算机的系统时钟。

Administrators

创建页面文件

允许用户为虚拟内存创建新的页面文件并且改变页面文件的大小。

Administrators

创建标记对象

允许进程创建可被用来访问本地资源的访问令牌。只有本地特权用户才应该具有这个权限。

空白

创建永久共享对象

允许用户在Windows XP对象管理器中创建特殊的永久目录对象，例如 \\Device。

空白

调试程序

允许用户调试各种低层对象，例如线程。

注意：软件开发人员可能为了以其他用户身份调试程序的需要而需要这个权限，因此只在需要的时候把这个权限指派给开发人员使用的用户和用户组。

空白

拒绝从网络访问这台计算机

阻止特定的用户和/或用户组通过网络访问这台计算机，这个设置会制约“从网络股访问此计算机”这一策略，如果一个用户或组同时被这两个策略设定。

注意：默认情况下，Guest和SUPPORT_388945a0用户都被这个权限拒绝。

无指定

拒绝作为批处理作业登录

拒绝用户和/或用户组作为批处理作业登录。这个设置会制约“作为批处理作业登录”策略，如果一个账户同时被这这两个策略设定。

空白

拒绝作为服务登录

拒绝服务账户将进程作为服务进行注册，这个设置会制约“作为服务登录”策略，如果一个账户同时被这两个策略设定。

空白

拒绝本地登录

拒绝特定的用户和/或组直接从本地登录计算机。这个设置会制约“允许在本地登录”策略，如果一个账户同时被这两个策略设定。

注意：默认情况下，Guest和SUPPORT_388945a0已经被拒绝了这个权限。

无指定

拒绝通过终端服务登录

决定哪些用户和用户组被拒绝作为终端客户服务端登录，这个权限是为远程桌面用户准备的。

注意：若系统中启用了终端服务，这个拒绝选项中的Everyone组会被自动删除。

Everyone

允许计算机和用户账户被信任以便用于委任

允许用户对用户或计算机对象的“受信任委派”进行设置，被授予此权限的用户必须能够对用户或计算机对象上的账户控制标志进行写访问。

无指定

从远程系统强制关机

允许用户通过网络从远程登录的计算机上强制关闭Windows XP计算机。

Administrators

生成安全审核

允许进程将审核记录添加到安全日志。

LOCAL SERVICE

NETWORK SERVICE

增加计划优先级

允许用户提高一个进程的执行优先级，这个操作可以通过任务管理器的用户界面完成。

Administrators

装载和卸载设备驱动程序

允许用户安装和删除设备驱动程序，这个权限对即插即用硬件的驱动程序的安装是很有必要的。

Administrators

内存中锁定页面

允许用户将页面文件锁定在物理内存中，这样它们就不会被保存到硬盘上的分页文件中了。

无指定

作为批处理作业登录

允许用户通过批处理队列工具登录，在Windows XP中，如果必要的话计划任务会自动获得此权限。

无指定

作为服务登录

允许将进程作为服务进行注册。

注意：某些应用程序例如Microsoft Exchange需要一个具有此权限的服务账户，为了判断哪些权限是必要的，需要在应用安全模板之前查看系统中所有被指派了这个权限的用户和用户组。

警告：我们所提供的安全模板会从本策略中删除所有的用户和用户组（除了NETWORK SERVICE），除非你自己修改了这里的设置。

NETWORK SERVICE

允许在本地登录

允许用户登录到系统控制台。

注意：如果网络中使用了BackupOperators或者其他类似的组，给这些组也指派这个权限。

Administrators

Users

管理审核和安全日志

允许用户查看和清空安全日志，以及指定需要审核的访问对象（例如对文件和注册表键的访问）的类型。具有此权限的用户可以通过目标对象属性窗口的安全选项卡的审核选项启用和编辑对特定对象的审核。Administrators组成员已经具有了查看和清空安全日志的权限。

注意：此权限并不能使用户起用文件和对象访问审核，对象审核是通过设置审核策略中的“审核对象访问”策略启用的。

Administrators

修改固件环境值

允许用户修改系统中支持这种配置的，保存在非永久性RAM中的系统环境变量。

Administrators

执行卷维护任务

允许用户执行卷维护任务，例如磁盘清理和磁盘碎片整理。

Administrators

配置单一进程

允许用户使用系统监视工具监视非系统进程的性能。

注意：工作在此系统上的软件开发人员可能需要这个权限，在需要的时候可以给开发人员所使用的帐户和用户组指派该权限。

Administrators

配置系统性能

允许用户使用系统监视工具监视系统进程的性能。

Administrators

从扩展坞中取出计算机

允许用户从扩展坞中取出便携式计算机。

Administrators

Users

替换进程级别标记

允许用户修改进程的安全访问标记，这是系统使用的很有效的权限。

LOCAL SERVICE

NETWORK SERVICE

还原文件和目录

允许用户还原备份的文件和目录，这个设置会跳过文件和目录的访问权限。

注意：如果网络中专门使用了一个组进行备份的还原工作，那么需要给该组用户指派本权限。

Administrators

关闭系统

允许用户关闭Windows XP。

Administrators

Users

同步目录服务数据

允许用户或用户组同步目录服务数据，同时可称作活动目录同步。

无设定

取得文件或其他对象的所有权

允许用户取得文件、目录、打印机或者计算机上的其他对象的所有权，这个权限会取代对象的保护权限。

Administrators