使用者權限
權限即為使用者帳戶執行特定系統相關操作的權利,例如將電腦關機或變更系統時間。您可以使用「權限管理」功能來指派 (啟用) 或拒絕 (停用) 權限。
在這個部分中:
使用者權限原則
依預設,「提高權限」原則會套用至新規則項目。當項目的權限提高時,將賦予所選項目更高的權限,而且無需經由管理員執行它。
使用者權限原則提供了使用預設「提高權限」規則的替代方式,並且可進行自訂以符合貴組織的需求。原則可用於讓個別使用者成為「進階使用者」群組的成員,也可以從「管理員」群組將使用者成員資格移除。
建立「使用者權限原則」時,您可以使用以下三個索引標籤來自訂原則:
-
群組成員資格 - 群組成員資格允許您在套用原則時,指定要捨棄或新增的 Windows 使用者群組。您會將群組動作新增至原則內容,然後指定是否要將所選群組套用至新建立的原則,或者是否要捨棄其成員資格。
在您指派成員資格至使用者群組時,您僅會將所選項目新增至群組之中,而不包括任何巢狀群組。舉例來說,若您將群組成員資格指派至「網域管理員」,此舉將不會自動包括「本機管理員」群組,因此必須個別進行新增。
- 權限 - 權限即為使用者帳戶執行特定系統相關操作的權利,例如將電腦關機或變更系統時間。您可以使用「使用者權限管理」功能來啟用、停用或移除權限:
- 無變更 - 讓權限及其原始權杖保留原樣。
- 已啟用 - 將權杖內的標幟設為啟用。
- 已停用 - 將權杖內的標幟設為停用。
- 移除 - 從權杖移除權限。您無法復原此選項。
- 屬性 - 在「屬性」索引標籤內新增原則的說明。如有需要,您可以強制自訂管理員權杖使用中完整性,而不是預設為高完整性。
建立使用者權限管理原則
- 選取程式庫 > 使用者權限原則節點。
- 在「權限管理」功能區上選取新增原則。
- 選取並以滑鼠右鍵按一下新原則,並選取重新命名。
- 為原則提供直覺式名稱。
- 執行下列其中一項或多項:
- 使用「群組成員資格」索引標籤來指定可在認證之下執行應用程式的認證,例如,哪個群組以及是否為群組新增或捨棄成員資格。新增成員資格可允許使用者執行應用程式,就好像使用者是群組成員一樣。
- 使用可供使用者精細控制應用程式之權限的「權限」標籤。
- 使用「屬性」索引標籤來指定整合層級。低或中完整性等級的應用程式無法與高完整性等級的應用程式互通操作。
自 應用程式控制 2020.3 版起,已在「屬性」索引標籤中新增一個核取方塊。此核取方塊可讓您自訂一個管理員權杖並將其指派為完整性等級,而不是高完整性等級。
「使用者權限管理」原則可重覆使用。
將群組成員資格新增到原則
標準使用者通常沒有管理權限。下列流程則展示了為支援中心人員建立「使用者權限原則」的方式。使用者權限管理提供了新增成員資格至所選群組或是捨棄成員資格的功能。建立組態的第一步是建立「使用者權限原則」並指定成員資格 (在此案例為新增成員資格)。
- 在 應用程式控制 控制台中,選取「程式庫」下的使用者權限原則節點。
-
在「權限管理」功能區中,按一下新增原則。
新原則會新增至導覽窗格內的「使用者權限原則」節點之下。
若要排列「使用者權限原則」節點下的原則,以滑鼠右鍵按一下節點並選取「遞增排序」或「遞減排序」。
- 在工作區域中,按一下新原則名稱使名稱可供編輯。
- 輸入原則名稱,例如: SupportDesk。
-
在「權限管理」功能區上,按一下新增群組動作。
「帳戶選項」對話方塊隨即顯示。
-
輸入或導覽至 SupportDesk 群組並按一下確定。
該群組會新增至原則的工作區域內的「群組成員資格」索引標籤中。
- 在索引標籤中,請確保在「動作」欄內可看見「新增成員資格」。這是預設設定
將權限指派至原則
- 選取程式庫 > 使用者權限原則節點。
- 在權限管理功能區上選取新增原則。
- 選取並以滑鼠右鍵按一下新原則,並選取重新命名。
- 為原則提供直覺式名稱。
- 選取可供使用者精細控制應用程式之權限的的權限標籤。
- 識別您要指派的權限。
- 針對權限按一下動作欄內的下拉式箭頭並選取啟用。
範例: 建立允許下載 Microsoft OneDrive 的組態
步驟 1 - 建立提高至管理員權限的原則
- 瀏覽至程式庫 > 使用者權限原則節點。
- 選取新增原則功能區按鈕。
- 選取並以滑鼠右鍵按一下「使用者權限原則」節點下的新原則,然後選取重新命名。
- 輸入原則的直覺式名稱,例如: 提高權限。
- 選取新增群組動作功能區按鈕。
- 輸入管理員使用者群組的名稱或使用「瀏覽」按鈕來導覽至帳戶。
- 請確保已在「動作」欄內選取新增成員資格。
步驟 2 新增應用程式至使用者權限節點
- 選取特定群組的使用者權限節點,例如「每個人」群組。
-
選取新增項目 > 應用程式 > 檔案。
「新增使用者權限管理的檔案」對話方塊隨即顯示。
- 在「檔案」欄位內輸入要新增之 Web 安裝的名稱 (例如 onedrive.exe),或按一下瀏覽按鈕來尋找並選取檔案。
- 在「原則」欄位中,按一下下拉式箭頭圖示,並選取需要的原則 (在此範例中,選擇提高權限)。
- 選取套用原則至子處理序。
- 選取以受信任所有者身分安裝。
- 按一下新增。
步驟 3 新增簽章至允許的項目清單
- 選取相同群組的允許的項目節點。
-
選取新增項目 > 已允許 > 簽章項目。
「新增簽章」對話方塊隨即顯示。
- 導覽至 Web 安裝,然後按一下開啟。
- 儲存組態。
同時還需要考量其他組態項目。例如,您需要允許執行 ActiveX 檔案的 ActiveX 安裝,以及任何控制項呼叫的可執行檔案。您需要考慮處理序規則、受信任廠商、任何數位憑證、允許的項目、提升的項目等等。
權限
下表提供了權限的完整清單,同時說明了系統元件檢查權限的方式及時間點。
| 權限 | 使用者權限 | 權限用途 |
|---|---|---|
| SeAssignPrimaryTokenPrivilege | 取代處理序等級權杖 | 依各種元件進行檢查,例如用來設定處理序權杖的 NtSetInformationJob。 |
| SeAuditPrivilege | 產生安全性稽核 | 需要使用 ReportEvent API 產生安全性事件記錄的事件。 |
| SeBackupPrivilege | 備份檔案和目錄 | 讓 NTFS 可針對任何檔案或目錄授予下列存取權限,而不論安全性描述元是否存在。 READ_CONTROL ACCESS_SYSTEM_SECURITY FILE_GENERIC_READ FILE_TRAVERSE 對於備份開啟檔案時,呼叫者必須指定 FILE_FLAG_BACKUP_SEMANTICS 旗標。使用時也允許登錄機碼的對應存取權限。 |
| SeChangeNotifyPrivilege | 略過周遊檢查 | 供 NTFS 使用,避免檢查多層目錄查詢的中間目錄的權限。當應用程式註冊檔案系統結構變更通知時,也會由檔案系統使用。 |
| SeCreateGlobalPrivilege | 建立通用物件 | 若您要在物件管理員命名空間的目錄中建立區段和符號連結物件,且這些目錄已指派至與呼叫者不同的工作階段,則該處理序將需要此物件。 |
| SeCreatePagefilePrivilege | 建立分頁檔案 | 由 NtCreatePagingFile 所檢查,這是用來建立新分頁檔案的函數。 |
| SeCreatePermanentPrivilege | 建立永久共用物件 | 物件管理員在建立永久物件 (該物件若沒有任何其他參照時不會解除配置) 時進行檢查。 |
| SeCreateSymbolicLinkPrivilege | 建立符號連結 | 在具有 CreateSymbolicLink API 的檔案系統上建立符號連結時依 NTFS 進行檢查。 |
| SeCreateTokenPrivilege | 建立權杖 | NtCreateToken,此函數會建立權杖物件以檢查權限。 |
| SeDebugPrivilege | 偵錯程式 | 若呼叫者已啟用此權限,Process Manager 會使用 NtOpenProcess 或 NtOpenThread 允許存取任何處理序或執行緒,而不論處理序的安全性描述元為何 (除了受保護的處理序以外)。 |
| SeEnableDelegationPrivilege | 讓電腦及使用者帳戶受信任以進行委派 | 由 Active Directory 服務使用以委派驗證的認證。 |
| SeImpersonatePrivilege | 在驗證後模擬用戶端 | 當執行緒要使用權杖進行模擬,且該權杖所代表的使用者與執行緒的處理序權杖使用者不同時,Process Manager 會進行檢查。 |
| SeIncreaseBasePriorityPrivilege | 增加排程優先順序 | 由 Process Manager 進行檢查,且需要此權限以提高處理序的優先順序。 |
| SeIncreaseQuotaPrivilege | 調整處理序的記憶體配額 | 當變更處理序的工作組閾值、處理序的分頁和非分頁集區配額以及處理序的 CPU 速率配額時,強制執行調整。 |
| SeIncreaseWorkingSetPrivilege | 增加處理序工作組 | 需要此權限來呼叫 SetProcessWorkingSetSize 以增加工作組下限。這會間接允許處理序使用 VirtualLock 以鎖定記憶體的工作組下限。 |
| SeLoadDriverPrivilege | 載入及卸載裝置驅動程式 | 依 NtLoadDriver 和 NtUnloadDriver 驅動程式函數進行檢查。 |
| SeLockMemoryPrivilege | 鎖定記憶體中的分頁 | 依 VirtualLock 的核心實作 NtLockVirtualMemory 進行檢查。 |
| SeMachineAccountPrivilege | 新增工作站至網域 | 在網域中建立電腦帳戶時,由網域控制站上的安全性帳戶管理員進行檢查。 |
| SeManageVolumePrivilege | 執行磁碟區維護工作 | 在磁碟區開啟作業期間由檔案系統驅動程式強制執行,需要此權限以執行磁碟檢查和磁碟重組活動。 |
| SeProfileSingleProcessPrivilege | 設定檔單一處理序 | 透過 NtQuerySystemInformation API 要求個別處理序的資訊時,依 Superfetch 和預先擷取器進行檢查。 |
| SeRelabelPrivilege | 修改物件標籤 | 針對另一名使用者所擁有的物件提升其整合層級時,或嘗試提升某個物件的整合層級以高於呼叫者權杖的層級時,由 SRM 進行檢查。 |
| SeRemoteShutdownPrivilege | 強制從遠端系統進行關閉 | Winlogon 會檢查遠端呼叫者的函數是否具有此權限。 |
| SeRestorePrivilege | 還原檔案及目錄 | 此權限讓 NTFS 可針對任何檔案或目錄授予下列存取權限,而不論安全性描述元是否存在: WRITE_DAC WRITE_OWNER ACCESS_SYSTEM_SECURITY FILE_GENERIC_WRITE FILE_ADD_FILE FILE_ADD_SUBDIRECTORY 刪除 對於備份開啟檔案時,呼叫者必須指定 FILE_FLAG_BACKUP_SEMANTICS 旗標。使用時也允許登錄機碼的對應存取權限。 |
| SeSecurityPrivilege | 管理稽核及安全性記錄 | 需要此權限以存取安全性描述元的 SACL、讀取並清除安全性描述元、讀取並清除安全性事件記錄。 |
| SeShutdownPrivilege | 關閉系統 | 此權限會依 NtShutdownSystem 和 NtRaiseHardError 進行檢查,以於互動式控制台上顯示系統錯誤對話方塊。 |
| SeSyncAgentPrivilege | 同步處理目錄服務資料 | 需要此權限以使用 LDAP 目錄同步處理服務並允許持有人讀取目錄中的所有物件和內容,不論這些物件和內容是否受到保護。 |
| SeSystemEnvironmentPrivilege | 修改韌體環境變數 | NtSetSystemEnvironmentValue 和 NtQuerySystemEnvironmentValue 需要此權限以使用 HAL 來修改和讀取韌體環境變數。 |
| SeSystemProfilePrivilege | 設定檔系統效能 | 依 NtCreateProfile 進行檢查,此函數可用來執行系統分析。例如,Kernprof 工具會使用此函數。 |
| SeSystemtimePrivilege | 變更系統時間 | 需要變更時間或日期。 |
| SeTakeOwnership | 取得檔案和其他物件的擁有權 | 需要此權限取得物件的擁有權而不需要授予判別存取權限。 |
| SeTcbPrivilege | 當成作業系統的一部分 | 當隨插即用管理員在權杖中設定工作階段 ID 以建立及管理隨插即用事件時,由安全性參照監視器進行檢查 (呼叫 BroadcastSystemMessageEx 時) |
| SeTimeZonePrivilege | 變更時區 | 需要變更時區。 |
| SeTrustedCredManAccessPrivilege | 存取認證管理員做為信任的呼叫者 | 由認證管理員檢查以確認呼叫者可被信任,其所具備的認證資訊可透過純文字格式進行查詢。依預設僅授予 Winlogon。 |
| SeUndockPrivilege | 從銜接站移除電腦 | 當啟動電腦取消銜接或提出裝置退出要求時,由使用者模式隨插即用管理員進行檢查。 |
| SeUnsolicitedInputPrivilege | 從終端裝置接受未請求的資料 | Windows 目前並未使用此權限。 |