Читаем Домашний доктор для вашего ПК полностью

Компьютер, учетная запись которого добавлена в домен, может участвовать в выполнении сетевых операций, использующих содержимое Active Directory. Например, рабочая станция, добавленная в домен, получает возможность распознавать учетные записи и группы, существующие в Active Directory. По умолчанию: «Прошедшие проверку». Пользователи, обладающие разрешением на создание объектов-компьютеров в контейнере Active Directory, также могут создавать учетные записи компьютеров в домене. Но для них число создаваемых учетных записей не ограничено значением 10. Кроме того владельцем учетных записей компьютеров, созданных в соответствии с политикой «Добавление рабочих станций в домен», является группа «Администраторы домена», а владельцем учетной записи, созданной на основе разрешения для контейнера, является ее создатель. Если пользователь обладает одновременно разрешением на создание объектов в контейнере и правом «Добавление рабочих станций в домен», компьютер добавляется в домен в соответствии с разрешениями для контейнера, а не правом пользователя.

Настройка квот памяти для процесса

Определяет, какие учетные записи могут использовать процесс, обладающий разрешением «Запись свойства» для доступа к другому процессу, с целью увеличить назначенную последнему квоту ресурсов процессора. Данное право пользователя определено в объекте групповой политики стандартного контролера домена, а также в локальной политике безопасности рабочих станций и серверов. По умолчанию: «Администраторы». Эту привилегию можно использовать для настройки системы, но ее использование может вызвать неблагоприятные последствия, например, в случае атаки типа «отказ в обслуживании».

Разрешать вход в систему через службу терминалов

Определяет, каким пользователям и группам разрешается входить в систему в качестве клиента служб терминалов.

По умолчанию:

• на рабочих станциях и серверах: «Администраторы», «Пользователи удаленного рабочего стола»;

• на контроллерах домена: «Администраторы».

Следует обратить особое внимание на то, что этот параметр не действует на компьютерах Windows 2000 без пакета обновления Service Pack 2.

Архивирование файлов и каталогов

Определяет, какие пользователи могут архивировать содержимое системы, невзирая на имеющиеся разрешения для файлов и каталогов. Эта привилегия эквивалентна предоставлению указанным пользователям и группам следующих разрешений на доступ ко всем файлам и папкам системы:

• обзор папок / выполнение файлов;

• содержание папки / чтение данных;

• чтение атрибутов;

• чтение дополнительных атрибутов;

• чтение разрешений.

По умолчанию данной привилегией обладают: «Администраторы» и «Операторы архива».

Обход перекрестной проверки

Определяет, какие пользователи могут проходить по дереву каталога, независимо от того, имеются ли у них разрешения на доступ к этому каталогу. Эта привилегия не позволяет пользователю выводить список содержимого каталога, а только перемещаться по его структуре. Данное право пользователя определено в объекте групповой политики стандартного контролера домена, а также в локальной политике безопасности рабочих станций и серверов.

По умолчанию:

• на рабочих станциях и серверах:

администраторы;

операторы архива;

опытные пользователи;

пользователи;

все.

• на контроллерах домена:

администраторы;

прошедшие проверку.