Создание постоянных общих объектов

Описаны рекомендации, расположение, значения, управление политикой и соображения безопасности для параметра политики безопасности Создание постоянных общих объектов.

Справка

Это право пользователя определяет, какие учетные записи могут использоваться процессами для создания объекта каталога с помощью диспетчера объектов. Объекты каталога — это объекты Active Directory, файлы и папки, принтеры, разделы реестра, процессы и потоки. Пользователи, которым предоставлено это право, могут создавать постоянные общие объекты, в том числе устройства, семафоры и мьютексы. Это право полезно для компонентов в режиме ядра, расширяющих пространство имен объекта Поскольку это право уже назначено компонентам, выполняющимся в режиме ядра, его не нужно назначать отдельно.

Константа: SeCreatePermanentPrivilege

Возможные значения

  • Пользовательский список учетных записей

  • Не определено

Рекомендации

  • Пользователи, которым предоставлено право Создание постоянных общих объектов, могут создавать другие общие объекты и предоставлять доступ к конфиденциальным данным по сети. Поэтому не следует назначать это право пользователям.

Расположение

Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя

Значения по умолчанию

По умолчанию это право предоставлено только учетной записи LocalSystem.

В следующей таблице приведены фактические и действующие значения по умолчанию политики для последних поддерживаемых версий Windows. Значения по умолчанию также указаны на странице свойств политики.

Тип сервера или объект групповой политикиЗначение по умолчанию

Политика домена по умолчанию

Не определено

Политика контроллера домена по умолчанию

Не определено

Параметры автономного сервера по умолчанию

Не определено

Действующие параметры контроллера домена по умолчанию

LocalSystem

Действующие параметры рядового сервера по умолчанию

LocalSystem

Действующие параметры клиентского компьютера по умолчанию

LocalSystem

 

Управление политикой

В этом разделе описываются различные компоненты и средства, доступные для управления этой политикой.

Чтобы этот параметр политики вступил в силу, перезагружать устройство не требуется.

Изменения прав пользователя вступают в силу при его следующем входе в учетную запись.

Групповая политика

Параметры применяются к объекту групповой политики (GPO) в следующем порядке, что переопределяет параметры на локальном компьютере при следующем обновлении групповой политики.

  1. Параметры локальной политики

  2. Параметры политики сайта

  3. Параметры политики домена

  4. Параметры политики подразделений

Если локальный параметр неактивен (выделен серым цветом), это значит, что в настоящий момент его контролирует объект групповой политики.

Соображения безопасности

В этом разделе описывается, каким образом злоумышленник может воспользоваться компонентом или его конфигурацией, как применить меры противодействия и каковы возможные негативные последствия реализации этих мер.

Уязвимость

Пользователи, которым предоставлено право Создание постоянных общих объектов, могут создавать другие общие объекты и предоставлять доступ к конфиденциальным данным по сети.

Меры противодействия

Не назначайте право Создание постоянных общих объектов пользователям. Процессам, которым требуется это право, следует использовать учетную запись System, которой по умолчанию предоставлено это право, а не отдельную учетную запись пользователя.

Возможные последствия

Нет. По умолчанию используется конфигурация «Не определено».

Связанные разделы

Назначение прав пользователя

 

 

Показ: