ColoMax
November 13th, 2015, 12:45
تغییر اختیارات یوزرها و گروه ها :
به مثال زیر دقت کنید :
کاربرهای عادی (گروه Users) در یک سیستم نمی توانند ساعت و تاریخ را تنظیم کنند. چگونه بدون اینکه عضویت آنها را ارتقا دهیم (یعنی آنها را جزو گروه قوی تری مثل Power Users کنیم) این امکان را برای آنها فراهم سازیم ؟
به وسیله ابزار Group Policy می توانیم بسیاری از اختیاراتی که در مورد آنها صحبت کردیم را به یوزرها اختصاص دهیم. در مورد مثال بالا دستور Gpedit.msc را اجرا کرده و به آدرس زیر می رویم.
Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> User right assignments
در اینجا گزینه Change the system time را دو بار کلیک می کنیم و نام یوزر یا گروه های مربوطه را که می خواهیم قابلیت تغییر ساعت سیستم را داشته باشند اضافه می کنیم. می بینید که گروه Administrators و Power Users به طور پیش فرض این اختیار را دارند.
همانطور که می بینید در این بخش اختیارات و مجوزهای زیادی وجود دارند. حال به برخی از مهم ترین آنها اشاره می کنیم :
می توانند از همه فایل های سیستم بکاپ بگیرند. (باز هم می بینید که Administrators و Backup Operators به صورت پیش فرض در اینجا وجود دارند)
Backup File and Directories
کسانی که عضو این گروه می شوند می توانند درخت شاخه های مختلف روی درایوهای سیستم را مشاهده کنند حتی اگر مجوز دسترسی به آنها را نداشته باشند. البته نمی توانند محتویات این شاخه ها را ببینند
Bypass Traverse Checking
افرادی که نمی توانند به این سیستم از پای خود آن Login کنند اما ممکن است از طریق شکه بتوانند به سیستم وصل شوند.
Deny Logon Locally
کسانی که توانایی نصب و حذف درایورهای سخت افزارها را دارند.
Load and Unload Device Drivers
کسانی که می توانند برنامه هایی را اجرا کنند که این برنامه ها می توانند دیتای مربوط به خود را روی حافظه RAM نگه دارند و مانع از انتقال آن به حافظه مجازی شوند. مسلم است که با این کار سرعت و اولویت برنامه های آنها بالا می رود. البته خود برنامه مذکور نیز باید چنین چیزی را از سیستم عامل درخواست کند.
Lock Pages in Memory
کسانی که می توانند عملکرد فرآیندهای غیر سیستمی را مشاهده و نظارت نمایند.
Profile Single Process
کسانی که می توانند عملکرد فرآیندهای سیستمی را مشاهده و نظارت نمایند.
Profile System Process
کسانی که می توانند برنامه هایی را اجرا کنند که در آن برنامه ها یک سرویس، سرویس دیگری را فرا می خواند و باعث شروع به کار آن می شود. (مثل Task Scheduler)
Replace a Procees level token
Take ownership of files or other objects
کسانی که می توانند مالکیت یک فایل یا شاخه یا ... را تغییر دهند. گروه Administrators به طور پیش فرض این اختیار را دارد و مراقب باشید این مجوز را به هیچ کس ندهید چرا که در آن صورت به تمامی فایل های سیستم دسترسی پیدا خواهد کرد.
به مثال زیر دقت کنید :
کاربرهای عادی (گروه Users) در یک سیستم نمی توانند ساعت و تاریخ را تنظیم کنند. چگونه بدون اینکه عضویت آنها را ارتقا دهیم (یعنی آنها را جزو گروه قوی تری مثل Power Users کنیم) این امکان را برای آنها فراهم سازیم ؟
به وسیله ابزار Group Policy می توانیم بسیاری از اختیاراتی که در مورد آنها صحبت کردیم را به یوزرها اختصاص دهیم. در مورد مثال بالا دستور Gpedit.msc را اجرا کرده و به آدرس زیر می رویم.
Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> User right assignments
در اینجا گزینه Change the system time را دو بار کلیک می کنیم و نام یوزر یا گروه های مربوطه را که می خواهیم قابلیت تغییر ساعت سیستم را داشته باشند اضافه می کنیم. می بینید که گروه Administrators و Power Users به طور پیش فرض این اختیار را دارند.
همانطور که می بینید در این بخش اختیارات و مجوزهای زیادی وجود دارند. حال به برخی از مهم ترین آنها اشاره می کنیم :
می توانند از همه فایل های سیستم بکاپ بگیرند. (باز هم می بینید که Administrators و Backup Operators به صورت پیش فرض در اینجا وجود دارند)
Backup File and Directories
کسانی که عضو این گروه می شوند می توانند درخت شاخه های مختلف روی درایوهای سیستم را مشاهده کنند حتی اگر مجوز دسترسی به آنها را نداشته باشند. البته نمی توانند محتویات این شاخه ها را ببینند
Bypass Traverse Checking
افرادی که نمی توانند به این سیستم از پای خود آن Login کنند اما ممکن است از طریق شکه بتوانند به سیستم وصل شوند.
Deny Logon Locally
کسانی که توانایی نصب و حذف درایورهای سخت افزارها را دارند.
Load and Unload Device Drivers
کسانی که می توانند برنامه هایی را اجرا کنند که این برنامه ها می توانند دیتای مربوط به خود را روی حافظه RAM نگه دارند و مانع از انتقال آن به حافظه مجازی شوند. مسلم است که با این کار سرعت و اولویت برنامه های آنها بالا می رود. البته خود برنامه مذکور نیز باید چنین چیزی را از سیستم عامل درخواست کند.
Lock Pages in Memory
کسانی که می توانند عملکرد فرآیندهای غیر سیستمی را مشاهده و نظارت نمایند.
Profile Single Process
کسانی که می توانند عملکرد فرآیندهای سیستمی را مشاهده و نظارت نمایند.
Profile System Process
کسانی که می توانند برنامه هایی را اجرا کنند که در آن برنامه ها یک سرویس، سرویس دیگری را فرا می خواند و باعث شروع به کار آن می شود. (مثل Task Scheduler)
Replace a Procees level token
Take ownership of files or other objects
کسانی که می توانند مالکیت یک فایل یا شاخه یا ... را تغییر دهند. گروه Administrators به طور پیش فرض این اختیار را دارد و مراقب باشید این مجوز را به هیچ کس ندهید چرا که در آن صورت به تمامی فایل های سیستم دسترسی پیدا خواهد کرد.